• ホームページ
  • 記事
  • ガイド
  • 2021 年の WordPress セキュリティに関する 12 のヒント – ハッカーによる Web サイトのハッキングを阻止する

2021 年の WordPress セキュリティに関する 12 のヒント – ハッカーによる Web サイトのハッキングを阻止する

公開: 2022-08-27

現在、インターネット上のすべての Web サイトの 40% が WordPress を使用しています。 私が間違っていなければ、あなたもその一人です!

WordPress は、ここ数年で非常に人気が高まっています。 しかし、大好評は熟練したハッカーも誘います!

毎日、悪意のあるソフトウェア コードが含まれているとして、10,000 以上の Web サイトが Google によってブラックリストに登録されています。 これにより、Web サイトのセキュリティが最も重要な問題になります。

今日の記事では、オンラインの脆弱性やハッカーの攻撃から Web サイトを保護するのに役立つ12 の効果的な WordPress セキュリティ対策と安全のヒントについて説明します!

それでは、これ以上苦労することなく、すぐに飛び込みましょう。

あなたのサイトがハッキングされました
目次
[隠れる]
  • WordPress セキュリティのヒントと WordPress セキュリティ プラグインの使用
    • 1) 優れたホスティング サービスを使用する
    • 2) 優れたセキュリティ プラグインを使用する
    • 3) 別のログインページを設定する
    • 4) 強力なユーザー名とパスワードを使用する
    • 5) ログイン試行回数の制限を設定する
    • 6) 二要素認証を実装する
    • 6) DDoS 攻撃に対する保護に Cloudflare を使用する
    • 7) 無効化されたプラグインとテーマの使用を避ける
    • 8) WordPress、プラグイン、テーマを定期的に更新する
    • 9) 非アクティブなプラグインとテーマを削除する
    • 10) ユーザー登録をオフにする
    • 11) 定期的にバックアップを取る
    • 12) SQLインジェクションを避けるためにWordPressのテーブルプレフィックスを変更する
  • WordPress セキュリティプラグインの使い方
  • 結論

WordPress セキュリティのヒントと WordPress セキュリティ プラグインの使用

1)優れたホスティング サービスを使用する

優れたホスティング サービスは、ウェブサイトを成功させるための重要な要素です。 ホスティング サーバーで行われるハッキングの試行回数が上限に達していることをご存知ですか?

悪いホスティング - サイバー犯罪

セキュリティ サービスが不十分なホスティング会社は、サイバー犯罪の温床になっています。

Bluehost はセキュリティ侵害で有名です! 彼らのサーバーは、コードに明らかなエラーや抜け穴があるため、何度もハッキングされています.

あなたのウェブサイトは Bluehost でホストされていますか? ページの読み込み速度が非常に遅い、または頻繁に Web サイトがダウンすることがありますか? 次に、他のホストに切り替える時が来ました。

ホスティングが悪いと、Web サイトのすべてのデータが危険にさらされる可能性があります。 自分自身を救うために、ホスティングサービスを選択するときは常に細心の注意を払う必要があります.

2)優れたセキュリティ プラグインを使用する

プラグインは、サイトのセキュリティとパフォーマンスに大きな違いをもたらします。 ただし、ホスティングが満足のいくものでない場合、Web サイトは常にハッキングされるリスクがあります。 したがって、優れたホスティングは必須です。

WordPress 用の 2 つの非常に効率的なセキュリティ プラグインをお勧めします。

  1. ワードフェンスセキュリティ
  2. iThemes セキュリティ
iThemes インストール ss

これらのプラグインはどちらも強力ですが、一部の Web サイトでは Wordfence Security の読み込み速度が遅いため、Web サイトには iThemes Security を使用しています。

3) 別のログインページを設定する

URL: yourwebsite.com/wp-admin から WordPress Web サイトのログイン ページにアクセスできることにお気づきでしょうか しかし、落とし穴があります。

ハッカーの観点から考えると、この情報は大当たりです。 URL の末尾にwp-adminを追加することで、文字通りどの WordPress サイトのログイン ページにもアクセスできます。

ログインページでは、常に最大のハッキング試行が行われます。

ハッキングされる可能性は一切避けなければなりません。 iThemes Security を使用すると、ログイン ページを wp-admin からyourwebsite.com/this_is_my_siteのような別のものに変更できます。 または文字通り一般的ではないもの。

ただし、3 ~ 4 か所に安全に保管しておいてください。 この URL を紛失した場合、サイトにアクセスする他の方法はありません。

iThemes Security を使用してログイン ページを変更する方法は次のとおりです。

ワードプレスのログインページのURL変更

4)強力なユーザー名とパスワードを使用する

WordPress は、ウェブサイトのデフォルトのユーザー名を'admin'として提供しています。 また、ほとんどのユーザーは覚えやすく便利なため、わざわざ変更することはありません。

しかし、「admin」のような一般的なユーザー名を使用すると、ハッカーは既にユーザー名を知っているため、パスワードを簡単に見つけることができます。

ブルート フォース攻撃などの手法を使用してパスワードを推測し、貴重なデータを盗むことができます。 (総当り攻撃とは何か疑問に思っていますか? 読み続けて調べてください。)

したがって、WordPress ユーザーとして、ハッカーの一歩先を行き、サイトに強力なパスワードを強制することから始めてください。

iThemes Security プラグインを使用すると、これらの設定をすぐに構成できます。

ワードプレスは強力なパスワードを強制します

5)ログイン試行回数の制限を設定する

それで、ブルートフォースアタックについて話していました。 これは一種のサイバー攻撃で、ハッカーは正しいパスワード/ターゲット パスワードを見つけるまで、さまざまなパスワードの組み合わせを試みてアカウントにログインします。

脆弱なパスワードは数秒でクラックできます。 強いものは時間がかかる場合があります。 パスワードの推測プロセスにはかなりの時間がかかるため、この攻撃はExhaustive Search とも呼ばれます。

これは、誰かのパスワードを解読するための非常に信頼できる方法です。最終的には、すべての組み合わせを試した後、どんなに強力なパスワードであっても確実に目的のパスワードを見つけることができるからです。

統計によると、2017 年にはブルート フォース攻撃が原因で発生したセキュリティ侵害の約 5% が発生しました。 したがって、この攻撃を実行するのがいかに簡単か想像できます!

ただし、ログイン試行回数に制限を設定することで、これらのアクティビティを制御できます。

たとえば、ユーザーが 3 回以上アカウントにログインしようとすると、24 時間ロックアウトされます。 これにより、セキュリティが向上します。 iThemes Security は、ログイン試行の優れたカスタマイズ設定を提供します。

ワードプレスのセキュリティ制限ログイン試行回数

6)二要素認証を実装する

すでに見てきたように、ハッカーはブルート フォース攻撃を使用して、最終的にすべてのパスワードの組み合わせを見つけることができます。 つまり、パスワードがどれほど強力であっても、アカウントは決して安全ではありません!

これは、2FA がその存在を示す場所です。 2FA (2 要素認証)は、アカウントをパスワードで保護した後の追加のセキュリティ レイヤーです。

これは、ユーザーが知っていること(パスワードなど) と持っているもの(指紋やその他の識別機能など) の 2 つの要素を組み合わせて、ユーザーの身元を確認する 2 つ目の方法を提供します。

ワードプレス2fa

誰かがあなたのアカウントにログインしようとするたびに、2 要素認証が一意の OTP (ワンタイム パスワード) を SMS 経由でデバイスに送信します。 そのコードを入力すると、アカウントにアクセスできるようになります。

この方法は、最も安全で効果的な方法であり、最大限のセキュリティを確保するために、すべてのユーザーが自分のアカウントで使用する必要があります。

6) DDoS 攻撃に対する保護に Cloudflare を使用する

DDoS (分散型サービス拒否)は、ハッカーが「ボットネット」と呼ばれるゾンビ コンピューターのネットワークを使用して、通常のトラフィックを妨害し、Web サイトを破壊するサイバー攻撃です。

DDoS 攻撃の主な目的は、Web サーバーが処理しきれないほど多くのリクエストを Web サイトに送信することにより、正規のユーザーが Web サイトを利用できないようにすることです。

平たく言えば、人の通行を許さない迷惑な渋滞のようなものです。

では、どうすればこの渋滞を防ぐことができるでしょうか。 この場合、 Cloudflareはあなたの命の恩人です! DDoS 攻撃、ウイルス、ボット、その他の侵入要素など、あらゆる悪意のあるオンライン アクティビティから Web サイトを保護します。

また、ページの読み込み速度を向上させ、検索エンジンのランキングに役立ち、無料の SSL 証明書を提供して、サードパーティからのオンライン通信のセキュリティを強化します.

次の簡単な手順で、無料の SSL 証明書と DDoS 攻撃に対する保護を利用できます。

クラウドフレア保護を使用したワードプレス
  1. Cloudflare.comでアカウントを作成する
  2. ウェブサイトを追加
  3. お好みに合わせて無料/有料プランをお選びください
  4. DNS レコードに Cloudflare のネームサーバーを追加します。

これにより、Web サイトが Cloudflare にリンクされ、その優れたセキュリティ機能を楽しむことができます。

7)無効化されたプラグインとテーマの使用を避ける

ほとんどの WordPress ユーザーは、Nulled テーマ/プラグインを使用していることにさえ気づいていません。

Nulled テーマとプラグインは、無料で配布されるプレミアム機能です。 配布者は、ソース コードに独自の悪意のあるコードを追加して、データを盗む可能性があります。

Nulled テーマ/プラグインのもう 1 つの欠点は、更新がないことです。 開発者は、ソフトウェアのセキュリティ問題を修正するために頻繁にアップデートをリリースします。

ただし、Nulled テーマの場合、配布者は合法的な開発者ではありません。 そのため、利用可能なアップデートはありません。 したがって、サードパーティのハッカーに対して非常に脆弱です。

最後に、Nulled テーマにはサポートまたはカスタマイズ オプションがありません。 ページ上のフォント、フォントの色、ウィジェットの位置、またはその他の要素を変更することはできません。

したがって、Nulled テーマは絶対に使用しないでください。 常に GPL (GNU General Public Licence) テーマを選択する必要があります。 GPL ライセンスは、そのソフトウェア コードを使用および変更する自由をユーザーに与える、無料で特定されたライセンスです。

そのため、購入またはインストールする前に、テーマが GPL ライセンスに該当することを確認してください。

8) WordPress、プラグイン、テーマを定期的に更新する

テーマとプラグインの開発者は、常に欠陥を修正し、テーマ/プラグインをアップグレードし続けています。 したがって、常に 15 日ごとに更新してください。そうしないと、ハッキングされる危険性があります。

また、スムーズなエクスペリエンスを楽しむために、WordPress Web サイトを最新バージョンに更新することを忘れないでください。

ワードプレス更新プラグイン

たとえば、誰かがテーマ/プラグインのコードを悪用して人々のデータをハッキングする方法を見つけた場合などです。 あなたもこのテーマ/プラグインを使用しています。

更新を忘れると、この悪意のあるハッキング攻撃に対して脆弱になります!

9)非アクティブなプラグインとテーマを削除する

投稿に画像ギャラリーを表示したいとしましょう。 プラグインをインストールすると、作業が完了した後、何年も使用されていないプラグイン フォルダーに置かれます。 これは私たち一人一人に起こったことではありませんか?

ワードプレスの非アクティブなプラグイン

ハッカーが非アクティブなテーマやプラグインを介してデータを改ざんしようとしたため、この慣行は貴重なデータを危険にさらす可能性があります. そのため、使用しなくなった場合は必ず削除してください。

現在、あなたのウェブサイトにはいくつの非アクティブなプラグインがありますか? コメント欄で教えてください!

10)ユーザー登録をオフにする

どのようなウェブサイトをお持ちですか? ユーザーはサイトでアカウントを作成する必要がありますか? そうでない場合は、「ユーザー登録」を無効にすることをお勧めします。

基本的なブログ目的で WordPress Web サイトを使用している場合は、ユーザー登録ページからハッキングの試みが行われる可能性があるため、この機能をオフにしておいてください。

11)定期的にバックアップを取る

これは言うまでもありません – ウェブサイトのバックアップを定期的に取ってください。 ただし、覚えておくべき重要なことは、オフサイト バックアップである必要があるということです。

ワードプレスのオフサイトバックアップ

オフサイト バックアップでは、プライマリ サーバーとは別のサーバーでデータを暗号化、圧縮、保護します。 これには、次のような多くの利点があります。

  • 収納スペースを節約します
  • システム全体がクラッシュした場合に備えて、データのバックアップがあります
  • ウェブサイトのダウンタイムを防止
  • オンライン攻撃からデータを保護

ただし、バックアップの作成方法と復元方法を知っておく必要があります。

最大人数がバックアップを取ることができますが、それらを復元するときに問題が発生します。 サイトのセキュリティを確保するには、これらの基本的なスキルをすぐに習得してください。

12) SQLインジェクションを避けるためにWordPressのテーブルプレフィックスを変更する

WordPress テーブルには、ログイン情報など、Web サイトに関するすべての情報が含まれています。 したがって、ハッカーにとって最も好まれる標的です。

お気づきの場合は、WordPress データベース テーブルのプレフィックスはデフォルトでwp_です。 あなたや私のような通常のユーザーはそれを変更する必要性を感じないため、攻撃者はこのデフォルトのプレフィックスを標的にして、当社の Web サイトで SQL インジェクションを実行しやすくなります。

ワードプレスはSQLインジェクションを避ける

SQL インジェクションは、ハッカーがテーマ/プラグインの脆弱性を利用してユーザーのデータベース テーブルを保持し、データベースの所有者と同じレベルの権限を取得するハッキング手法です。

怖くないですか? iThemes セキュリティ プラグインは、テーブル プレフィックスを編集し、SQL インジェクションをゼロ労力で防止するための簡単なオプションを提供します!

ワードプレスでデータベーステーブルのプレフィックスを変更

WordPress セキュリティプラグインの使い方

WordPress Security Plugin の使用方法については、このビデオをご覧ください。 iThemes Security Pro の無料版を使用して、WordPress のすべてのセキュリティ対策をセットアップしました。

結論

というわけで、今日は以上でした。 この記事が、これらのヒントに従い、セキュリティ プラグインを利用することで、WordPress Web サイトを安全に保つのに役立つことを願っています。

他にどのようなセキュリティ対策を Web サイトに実装していますか? 以下のコメントセクションでそれらを共有してください。

また、このコンテンツが気に入ったら、必ずこのブログを購読してください。 これは Kripesh の承認です。 次の記事でお会いしましょう。 皆さん、気をつけて学び続けてください!