WordPress のセキュリティ調査で、リスクは分かっているのになぜ行動を起こさないのか?

公開: 2024-09-09

WordPress は世界で最も人気のあるコンテンツ管理システムですが、その人気には重大なリスクが伴います。 WordPress サイトを運営している場合、思っている以上に攻撃にさらされています。

驚くべきことに、Melapress 2024 セキュリティ調査結果の回答者が運営する WordPress サイトの 72% が、少なくとも 1 回のセキュリティ侵害を経験しています。これらの数字は警鐘であり、サイトの保護がオプションではなく、不可欠であることを示しています。

この記事では、セキュリティ調査の結果の一部について説明し、Web サイトが別の統計にならないように保護するために実行できる簡単な手順を推奨します。

数字は嘘をつきません。今こそ行動を起こす時です。

WordPress サイトの 72% 以上が侵害されている

あなたのサイトがまだ攻撃されていない場合は、幸運だと考えてください。ただし、満足しないでください。

ハッカーは自動ツールを使用して WordPress サイトの脆弱性をスキャンします。つまり、あなたも気付かないうちにターゲットになる可能性があります。脆弱なパスワード、古いプラグイン、またはパッチが適用されていない WordPress バージョンは、サイバー犯罪者にとっては扉が開いているようなものです。

この憂慮すべき統計に含まれないようにするには、サイトが保護されていることを確認してください。 WordPress のバージョンとプラグインを定期的に更新することは良い第一歩ですが、それは 1 つの層にすぎないことを覚えておいてください。

セキュリティ上の懸念と行動は一致していますか?

WordPress サイトの管理に伴うセキュリティ リスク (脆弱なパスワード、古いプラグイン、2FA の欠落など) についてはすでにご存知かもしれませんが、知っているだけでは十分ではありません。

私たちは常に、懸念事項とベストプラクティスの実際の実装との間にギャップがあることを目にしてきました。リスクを認識するのは簡単ですが、多くのサイト所有者は手遅れになるまで行動を起こしません。私たち自身も過去にこのような罪を犯したことがありますが、楽しい経験ではありません。

Melapress の調査結果をチェックしてください。

出典: WordPress セキュリティ調査統計: 2024 年版 – Melapress

私たちの大部分がセキュリティのリスクを認識しており、自分自身を守るために何をする必要があるかを知っていますが、常に必要なことを実行しているわけではないことは明らかです。

行動を起こす前に、物事がうまくいかないのを待ってはいけません。以下は、Melapress の創設者である Robert Abela 氏の調査結果に対する考えを引用したものです。

今年の WordPress セキュリティ調査の結果は、有望な傾向と、より注意が必要な領域の両方を浮き彫りにしています。多くの管理者が 2 要素認証などの強力なセキュリティ対策を採用していることは明らかです。しかし、チームを訓練し、包括的な復興計画を実施するためには、やるべきことがまだ残っています。これらの洞察が、私たちや他の多くの人々にとって、これらの課題に対処するソリューションの開発に役立つと信じています。

ロバート・アベラ氏、メラプレス創設者

WordPress サイトを保護するための実践的な推奨事項

私たちは WP Major で WordPress のセキュリティについて何度か記事を書き、ロバート自身を含むセキュリティの専門家に意見やヒントを共有してもらいました。 WordPress サイトを保護するための実践的な推奨事項を次に示します。

WordPress セキュリティプラグインをインストールする

セキュリティについては自分で対策を講じるのに十分な知識があると感じているかもしれませんが、WordPress サイト運営のこの重要な部分をホストやその他のサードパーティにアウトソーシングすることが常に最善のアイデアであるとは限りません。

時間をかけて基本を理解し、いくつかのセキュリティ対策を実装することをお勧めします。さらに一歩進めて、何か問題が発生したときの回復計画を立てることをお勧めします。正直に言って、問題が発生する可能性は高いからです。

まずは、重要な WordPress セキュリティ プラグインに関する推奨事項とセキュリティ プラグインの比較を確認してください。

2 要素認証 (2FA) を実装する

WordPress のログイン エクスペリエンスにセキュリティ層を追加することが不可欠です。 2 要素認証の略である 2FA では、パスワードが侵害された場合でも、2 番目の要素 (Google Authenticator などの電話アプリや SMS で送信されたコードなど) によって不正アクセスがブロックされます。

二要素認証

Melapress 自体は、まさにこれを無料で行うのに役立つ WP 2FA と呼ばれるプラグインを提供しています。他にも無料で利用できる 2FA セキュリティ プラグインがいくつかありますので、探してみてください。

どのプラグインを選択するにせよ、これは WordPress サイトの保護を開始するための最も簡単かつ重要な対策の 1 つです。

パスワードポリシーを強化する

脆弱なパスワードはハッカーの一般的な侵入口ですが、非常に多くのサイト所有者がデフォルトまたは基本的なパスワードを使用していることに今でも驚かされます。名前や生年月日をパスワードとして使用する時代は終わりました。ハッカーにとってもう少し困難にする必要があります。

サイトを安全に保つには、Web サイトのすべてのユーザーに対して、長さ、複雑さ、有効期限ポリシーなどの強力なパスワード ガイドラインを確立することが不可欠です。

WordPress 自体がパスワードのベスト プラクティスのリストを提供していますが、さらに一歩進んで、注意していただきたいその他のパスワード セキュリティ ガイドラインもいくつか設けています。

上に示したようなパスワードをどうやって覚えられるのか疑問に思っているのなら、そんなことはありません。 1Password などのパスワード マネージャーを使用してすべてのログイン情報を保存すると、覚えておく必要があるパスワードは 1 つだけになります。

CAPTCHA を使用してスパムを防止する

CAPTCHA は、スパムボットがフォームに溢れたり、サイトを攻撃したりするのをブロックするのに非常に効果的です。ログインセクションまたはコメントセクションに CAPTCHA を追加すると、不要なトラフィックを大幅に削減できます。

CAPTCHA 4WP は、これを行うための豊富な機能を提供するプラグインの 1 つです。さらに良いことに、WooCommerce、Contact Form 7 などとすぐに使える統合機能が多数用意されています。 WordPress サイトに CAPTCHA を実装するための完全なガイドをご覧ください。

フォームを保護する

フォームは多くの WordPress サイトで共通の脆弱性です。適切な入力検証を確保し、上で説明した CAPTCHA を使用し、フォーム送信率を制限することはすべて、ブルート フォース攻撃やスパム攻撃から保護するのに役立ちます。

私たちは、ハッカーが Web フォームを使用してサイトに侵入する方法を説明し、サイトのデータを安全に保つために WordPress フォームを保護する方法を説明する WordPress フォーム セキュリティに関する究極のガイドをまとめました。

パスワード保護ページ

WordPress ページのパスワード保護はあまり知られていないソリューションかもしれませんが、実際のところ、誰もがそれを必要とするわけではありません。

特定の人にのみ表示されるページなど、サイト上に機密コンテンツがある場合は、パスワード保護を設定して、必要な人だけがアクセスできるようにしてください。

ユーザーの行動を追跡する

セキュリティ対策を実施するのが最初の仕事です。それが完了したら、ユーザー (および潜在的なハッカー) がサイト上でどのように行動しているかを追跡します。ここでアクティビティ ログが役に立ちます。

アクティビティ ログに関する 3 部構成のシリーズがありますので、ぜひご覧ください。

  1. WordPress 監査ログがユーザーのアカウンタビリティを向上させる方法
  2. WordPress アクティビティ ログを使用してテクニカル サイトの問題をトラブルシューティングする
  3. WordPress セキュリティにおけるログの重要な役割

違反を待つ必要はありません

Melapress の調査データは、WordPress サイトを管理している人にとって警鐘を鳴らします。プラグインの更新、ログイン フォームの保護、2FA の使用など、サイトが新たな統計にならないようにするには、今すぐ行動を起こすことが最善の方法です。

私たちは長年にわたり、セキュリティに関するアドバイスとして Melapress チームに依存してきましたが、それには正当な理由があります。 2019 年の Melapress 創設者 Robert Abela へのインタビューをチェックして、彼らの背景とセキュリティに関する彼らのアドバイスを信頼できる理由をすべて学びましょう。

最後になりましたが、サイトが侵害されたと思われる場合、サイトがハッキングされた後に行う必要がある 5 つのことを以下に示します。