WordPressログインページを保護する方法(完全ガイド)

公開: 2022-08-16

WordPress Web サイトを成功させるための重要な要素は、監視とセキュリティ対策を実装することです。 結局のところ、ハッキングされたサイトは、サイトがビジネス目的か個人目的かに関係なく、多くの頭痛の種になる可能性があります. 収益に影響を与え、訪問者の情報を危険にさらし、評判を損なう可能性があります。

ハッカーの典型的な入り口は WordPress のログイン ページです。 以下は、WordPress のログイン セキュリティを強化して、悪意のある攻撃者がサイトを侵害しないようにする 14 の方法の概要です。

WordPress ログインページを保護する理由

セキュリティのヒントのリストに入る前に、最初に、ブルート フォース攻撃などから WordPress のログイン ページを保護する必要がある理由について簡単に説明しましょう。

  • WordPress は非常に人気があるため、サイバー犯罪者は多くの場合、多数のサイトで悪用できる新しい脆弱性を探しています。
  • ハッカーは WordPress に精通しているため、Web サイトがいつ時代遅れになり、各バージョンにどのようなセキュリティ上の欠陥があるかを知っています。
  • ハッカーは、ログイン ページからアクセスするために、高度な開発知識や特別なスキルを常に必要とするわけではありません。

安全な WordPress ログイン ページを維持することは、Web サイトの長期的な成功と全体的なパフォーマンスにとって不可欠です。

WordPress のログイン セキュリティを強化する方法

安全な WordPress ログインを作成する必要がある理由はわかりましたが、それを実現するにはどうすればよいでしょうか? WordPressログインページを適切に保護する14の方法を集めたので、データや顧客情報の安全性を偶然に任せる必要はありません.

1. WordPress セキュリティプラグインをインストールする

高品質の WordPress セキュリティ プラグインをインストールすることで、ほとんどのセキュリティ上の問題をわずか数分で解決できます。 多くのプラグインは、サイトの特定の側面の保護や特定の種類の攻撃に対する保護に特化していますが、平均的なサイトにはより包括的なアプローチが最適です. オールインワンのセキュリティ プラグインには、監査ログ、マルウェア スキャン、ファイアウォール、ログイン セキュリティ ツールなどの機能が 1 つのソリューションに含まれます。

推奨事項のリストの一番上にあるのは、Jetpack Security です。

Jetpack セキュリティのホームページ

Jetpack セキュリティは、多数のセキュリティ タスクを自動的に処理することで機能します。 また、無料と有料の両方の機能により、WordPress Web サイトを持つすべての人が一定レベルの保護を利用できます. セキュリティ侵害を防ぐために機能する強力な機能を備えていますが、発生したインシデントを診断して回復するのにも役立ちます. これらには以下が含まれます:

  • ブルート フォース攻撃保護
  • スパム防止
  • マルウェアのスキャン
  • ダウンタイムの監視
  • バックアップ
  • アクティビティ ログ
  • 二要素認証

ここに記載されている残りの手順は自分で進めることができますが、Jetpack Security などのプラグインを使用すると、ログインの強化プロセスが合理化されます。

2. WordPress のログイン URL を変更して非表示にする

ログイン ページをより安全にするもう 1 つの方法は、のぞき見されないように隠すことです。 デフォルトでは、すべての WordPress サイトのログイン アドレスは http://www.yourwebsitename.com/wp-admin です。これは、泥棒に自宅の住所を教えるようなものです。 したがって、これをあいまいにするためにできることは何でも良い考えです。

WordPress のログイン URL を変更することは、ハッカーの仕事をより困難にする障壁を設ける優れた方法です。 これを行うプラグインを見つけることができますが、自分で行うこともできます。

このためには、Web サイトへの FTP アクセスが必要です。 取得したら、次のチュートリアルの指示に従ってください: WordPress ログイン URL: 検索、変更、および非表示にする方法.

3. 強力なパスワードを使用して WordPress にログインする

より強力なパスワードにアップグレードすることで、サイトのセキュリティを強化することもできます. 強力なパスワード対策を実装すると、ハッカーやボットがパスワードを「推測」できる可能性が大幅に低くなります。 「fluffy21」は覚えやすいかもしれませんが、特に「Fluffy」が最愛のペットの名前である場合は、推測するのが非常に簡単です。

名前、年齢、またはペットに基づいてパスワードを選択する代わりに、文字と数字、大文字と小文字、およびいくつかの記号を組み合わせたパスワードを作成する方がはるかに優れています. いくつかの方法で強力なパスワードを作成できます。

  • 組み込みの強力なパスワード ツール。 WordPress には強力なパスワード ツールが用意されており、自然に選択しがちなパスワードよりも強力なパスワードを作成するように促されます。
  • パスワードジェネレーター。 多くのパスワード ジェネレーターを使用すると、直感的に推測できない強力なパスワードを簡単に作成できます。
  • パスワードキーパー/マネージャー。 強力なパスワードの唯一の問題は、覚えにくいということです。 パスワードキーパーまたは管理ツールを使用すると、この問題が解消されます。 人気のあるオプションには、LastPass、DashLane、および 1Password があります。
LastPass ホームページ

4.ログインページをパスワードで保護する

デフォルトでは、誰でも WordPress サイトのログイン ページにアクセスできます。 前述のように、ログイン URL を非表示にしたり変更したりできますが、 wp-adminフォルダーがまだアクセス可能な場合、ハッカーに見つけられる可能性があります。

そのため、ログイン ページにアクセスする前に別の保護層を追加することをお勧めします。 これは、 wp-adminフォルダーをパスワードで保護することで実現できます。 Web ホストが cPanel を使用している場合、このプロセスは比較的簡単です。

ホスティング プロバイダー アカウントにログインし、cPanel にアクセスしてから、 Directory Privacyフォルダーに移動します。

サイトのファイルを表示しているときに、 public_html/wp-adminに移動します。 password protect this directoryを読み取るチェックボックスが表示されているはずです。 チェックボックスをオンにします。 次に、wp-admin フォルダーにアクセスするための新しいユーザー名とパスワードを作成します。 変更を保存します。

いつものようにサイトにログインしてみてください。 WordPress へのログイン許可を得る前に、別の認証情報を入力する必要があります。

注: ログイン ページの場所を移動した場合でも、このプロセスは同じです。 wp-admin でない場合でも、ログイン ページが存在するフォルダーをパスワードで保護します。

5. ログイン試行回数を制限する

WordPressログインページを保護するために必要なもう1つのことは、ログイン試行を制限することです. ハッカーはボットを使用して、コードを解読するまで繰り返しログインを試みることができます。つまり、パスワードを見つけ出し、Web サイトにアクセスできます。 残念ながら、WordPress はデフォルトで無制限のログインを許可しています。

この潜在的なアクセス ポイントを防ぐために、ログイン試行を制限できます。 プラグインはこれを実現するための最良の方法です。 実際、Jetpack Security は、オールインワン セキュリティ ソリューションの一部としてブルート フォース攻撃保護を提供しています。

Jetpack によってブロックされたブルート フォース攻撃の数

ブルート フォース攻撃は、ハッカーがアクセスする前であっても、Web サイトの機能を非常に破壊する可能性があります。 たとえば、サイトの速度が大幅に低下したり、サイトがまったく応答しなくなったりする可能性があります。 ログイン試行を繰り返すと、最終的には成功する可能性があり、ハッカーはマルウェアを挿入したり、リンクを挿入したり、その他の方法で混乱を引き起こしたりする可能性があります。 これらの攻撃は、個人情報を危険にさらす可能性もあります。

Jetpack Security に含まれるブルート フォース攻撃保護機能は、攻撃をブロックし、悪意のあるハッカーがデータにアクセスするのを防ぐために必要なツールを提供します。 悪意のある IP がサイトに到達する前にブロックすることで機能します。 また、攻撃の合計数を提供し、既知の IP アドレスをホワイトリストに登録できます。

6. WordPress ログインフォームに秘密の質問を追加する

ログイン プロセスにセキュリティの質問を 1 つ (または 2 つ) 追加して、ログイン フォームのセキュリティを強化することもできます。 そのため、ユーザーはユーザー名とパスワードを入力するだけでなく、セキュリティの質問に答えてアクセスする必要があります。

この 1 つのステップにより、Web サイトのハッキングがはるかに困難になります。 そして、実装は比較的簡単です。

No-Bot Registration プラグインは、これを実現する優れた方法です。 Plugins → Add New に移動してダウンロードし、プラグインの名前を入力します。 表示されたら、ダウンロードしてアクティブ化します。

No-Bot 登録プラグイン

有効化したら、WordPress ダッシュボードから[設定]に移動します。 ここでは、プラグインをセットアップし、セキュリティの質問が使用されるときのルールを構成できます (登録、ログイン、またはパスワードを忘れたページ)。

これは、単純で論理的な質問に答えるだけでよいため、CAPTCHA よりもはるかにユーザーフレンドリーです。

7. WordPress に 2 要素認証を追加する

次に、二要素認証を有効にできます。 Gmail を含む多くの Web サイトやアプリが、この一般的なセキュリティ オプションを使用しています。 これは、サインイン プロセスを完了する前に入力する必要がある SMS コードを携帯電話に送信することによって機能します。

これは、身元を確認し、許可されたユーザーにのみアクセスが許可されるようにするために使用されます。 プロセスに追加する認証のすべてのレイヤーにより、誰かがサイトをハッキングすることが大幅に困難になります。 悪意のある人物がログイン情報にアクセスできたとしても、2FA プロセスを阻止できる可能性は低いでしょう。

WordPress に 2 要素認証を追加する最も簡単な方法は、2FA プラグインを使用することです。 いくつかのセキュリティ プラグインにはこの機能が含まれていますが、やはり Jetpack セキュリティは安全な認証によって強力になります。

安全な認証を使用すると、標準の WordPress.com 資格情報を使用してログインし、デフォルトのログイン フォームを完全に無効にするかバイパスすることができます。 さらに、サイトをさらに保護するために、2 要素認証をすべてのユーザーの要件にすることもできます。

8. WordPress サイトに SSL 証明書をインストールする

もう 1 つの保護手段は、SSL 証明書をインストールすることです。 無料で SSL 証明書を取得するのは簡単です。

SSL は、ほとんどの Web サイトがデータを保護する方法です。 また、URL フィールドの「HTTP」に「S」が追加され、「HTTPS」と表示されるため、サイトが安全であることを確認できます。 ブラウザは、多くの場合、緑色のロック アイコンなどの他の視覚的表示を使用して、サイトに有効な SSL 証明書があることを訪問者に知らせます。

セキュリティへの影響を超えて、サイトが保護されていないことがわかった場合、訪問者はサイトをナビゲートし続けることができなくなります。 さらに、SSL 証明書を使用しているサイトは検索エンジンで上位に表示される傾向があり、ブラウザによっては、SSL 証明書を持っていない場合に訪問者に警告を表示することさえあります.

この手順をスキップしないでください。 無料の SSL 証明書を取得する方法について説明します。

9. ログインに失敗した後、WordPress のログイン ヒントを無効にする

ログインのヒントは、実際の WordPress ユーザーにとって非常に役立ちますが、ユーザー名とパスワードに関する情報が多すぎる場合があります。 WordPress サイトにログインしようとしてユーザー名を間違えると、「ユーザー名はこのサイトに登録されていません。 ユーザー名がわからない場合は、代わりにメールアドレスを試してください。」

登録されていないユーザー名に関するエラー メッセージ

正しいユーザー名または電子メール アドレスを入力しても、間違ったパスワードを入力すると、同様のことが起こります。

不正なパスワード エラー

ログイン ヒントを削除するには、サイトのfunctions.phpファイルに数行のコードを追加する必要があります。

 function no_wordpress_errors(){ return 'There is an error.'; } add_filter( 'login_errors', 'no_wordpress_errors' );

誰か (本物であれボットであれ) が間違ったユーザー名またはパスワードを入力すると、デフォルトではなく「エラーが発生しました」というメッセージが表示されます。

10. WordPress のインストールとプラグインを最新の状態に保つ

ハッカーは、古いインストールを介して WordPress サイトへのエントリ ポイントを見つけます。 WordPress が更新されるたびに、修正されたすべてのバグ修正とセキュリティ ホールがオンラインに投稿されます。 インストールが古い場合、ハッカーはサイトを侵害するための取扱説明書を持っています。

新しい WordPress コア アップデートが展開されたら、できるだけ早くサイトをバックアップしてアップデートをインストールする必要があります。

しかし、気をつけなければならないのはそれだけではありません。 サードパーティ製のソフトウェア (プラグインやテーマなど) も弱点になる可能性があります。 プラグインとテーマはさまざまな開発会社によってさまざまな標準とアプローチで作成されているため、更新を維持することがさらに重要です。

これが、インストールするプラグインとテーマを選択する必要がある理由でもあります. ソーシャル共有プラグインが 2 年間更新されていない場合は、定期的に更新されるプラグインを見つける時期かもしれません。

11. WordPress のバージョン番号を隠す

ログイン ページのセキュリティを向上させる簡単な方法は、WordPress のバージョン番号を非表示にすることです。 少なくとも、これにより、ハッカーは、どのセキュリティ ホールを悪用するかを決定するために、より徹底的に調べるようになります。 そして、かなり簡単に削除できます。

functions.phpファイルを見つけて (サイトをバックアップした後)、次のコード行をファイルに追加します。

 remove_action('wp_head', 'wp_generator');

12.WordPressのログインユーザー名を隠す

実行できるもう 1 つの手順は、WordPress のログイン ユーザー名を非表示にすることです。 多くの場合、非常に安全なパスワードを作成することに重点が置かれますが、これは優れていますが、ユーザー名についても考慮する必要があります。 多くの場合、それは一般に公開されており、ハッカーが悪用できる機会です。

ユーザー名を詮索の目から隠す最も簡単な方法は、ブログの投稿や著者のアーカイブに表示されないようにすることです。

ブログ投稿からユーザー名を削除するには、WordPress にログインした状態で、ユーザー → プロフィール → ニックネームに移動するだけです。 ここからニックネームを変更して、ユーザー名がサイト訪問者に表示されないようにすることができます。 そのため、「blogperson02」の代わりに、あなたの名、姓名、または構成した別のニックネームが表示されます。

ユーザー名が著者のアーカイブに表示されないようにするには、Yoast SEO などの SEO プラグインが必要です。

他のプラグインと同じように Yoast をインストールし、WordPress ダッシュボードのSEO → 検索外観 → アーカイブメニューに移動します。 ここには、著者のアーカイブを無効にするオプションがあります。 これを行い、[変更を保存] をクリックします。

Yoast で著者のアーカイブを無効にする

13.WordPressの自動ログアウトタイマーを短くする

アカウントを頻繁に使用するときは、アカウントにログインしたままにするのが一般的です。 ただし、特に複数の人がサイトにアカウントを持っている場合は、潜在的な侵害が発生する可能性があります. 自動ログアウト タイマーを実装することは、これらのセキュリティ ホールを閉じる優れた方法です。

セッションが無人のままになると、自動的にログアウトされます。 デフォルトでは、WordPress は 48 時間後にユーザーをログアウトします。 「Remember Me」ボックスをチェックすると、ユーザーは 14 日間ログインしたままになります。 サードパーティのプラグインを使用して、これらの時間枠を少し変更できます。 この機能専用の 1 つが非アクティブ ログアウトです。

インストールしたら、 Settings → Inactive Logout → Basic Managementに移動します。 次に、ログアウトをトリガーするアイドル時間を選択します。

14.古い未使用のWordPressユーザーアカウントを削除する

最後に、使用されなくなったアカウントを削除することも、WordPress のセキュリティを向上させるのに役立ちます。 サイトに複数のオープン アカウントがあるということは、それぞれがプライベート データへのアクセス ポイントであることを意味します。 また、これらのアカウントのパスワードを定期的に更新していないと、重大な弱点が生じる可能性があります。

これを回避するには、古くて使用されていないアカウントを削除してください。 これを定期的なサイトの保守計画の一部にしてください。

また、権限を必要とするユーザーにのみ権限を付与する必要があります。 すべてのユーザーに編集者または管理者権限が必要なわけではありません。

同様に、リストされているアカウントに注目してください。 ハッカーが偽のアカウントを作成することがあります。 表示された場合は、すぐに削除して、残りのセキュリティ対策を強化してください。 WordPress ウェブサイトがハッキングされた場合の対処法を学びましょう。

WordPressログインページを保護する

ウェブサイトを所有するということは、そのコンテンツとユーザーに対してある程度の責任を負うことを意味します。 もちろん、これは、顧客情報を収集する場合に当てはまります。 しかし、WordPress サイトをどのように使用するかに関係なく、ログイン ページのセキュリティを強化することは、長期にわたってデータを安全に保つための優れた方法です。

ここで紹介するヒントは、WordPress のセキュリティ メンテナンスをすぐに効率化するのに役立ちます。

最初の一歩を踏み出す準備はできましたか? Jetpack セキュリティの使用を開始します。