トップ10のWordPressセキュリティ問題とそれらを修正する方法

公開: 2020-09-16
ワードプレスのセキュリティ問題
@Cloudwaysをフォローする

WordPressは、世界で最も広く使用されているオープンソースCMSの1つです。 何百万ものWebサイトに電力を供給し、35%の市場シェアを保持しています。 これにより、WordPressはブロガー、デザイナー、WooCommerceストアの所有者、その他のビジネス所有者の間でアルファCMSになります。

非常に人気があるにもかかわらず、多くのWordPressユーザーはWordPressサイトを保護するための基本を知りません。 さらに悪いことに、多くのユーザーは、SSL証明書をインストールするだけでサイトを保護できるという(非常に危険な)誤解を信じています。 したがって、WordPressサイトを保護するためのさまざまな効果的な方法について説明することが重要です。

Sucuriの共同創設者であるDreArmedaは、次のように信じています。

「人々はWordPressの最大のセキュリティ問題であり続けます。」、 DreArmedaがWordPressのセキュリティについて説明します

また、WordPressのセキュリティの脆弱性の半分は過失が原因で発生していると思います。 これが、WordPressWebサイトがサイバー犯罪者の標的になりやすい重要な理由です。 多くの初めてのユーザーは、WordPressをインストールするだけで、WordPressWebサイトのデフォルトのセキュリティを信頼できます。

この投稿では、WordPressのセキュリティ問題に対処するためのいくつかの基本的なヒントとあまり一般的ではないヒントを紹介します。

さぁ、始めよう!

目次
  1. 適切なWebホスティングに投資する
  2. スケジュールされたバックアップを取得する
  3. 強力なパスワードを作成する
  4. ログイン試行を制限する
  5. WordPressのログインURLとデフォルトのユーザー名を変更します
  6. WordPressユーザーを最新の状態に保つ
  7. 未使用のプラグインまたはテーマを削除する
  8. SQLインジェクションとURLハッキングを防ぐ
  9. WordPressの機密ファイルへのアクセスを拒否する
  10. WordPressのバージョンを非表示にし、データベースのデフォルトのプレフィックスを変更する
  11. ボーナスのヒント:CloudwaysがWordPressサイトの保護にどのように役立つか

基礎

WordPressのセキュリティは、主に簡単な修正と常識に基づいています。 アイデアは、一般的に知られているWordPressのセキュリティ問題を最小限に抑え、Webサイトのセキュリティを強化する修正を適用することです。

ヒント#1:適切なWebホスティングに投資する

ウェブサイトのセキュリティは、安全なマネージドWordPressホスティングプロバイダーから始まります。 これは、オンラインプレゼンスを構築する上で不可欠な側面になっています。 安全なウェブホストは、業界で実績のあるセキュリティプロセスを実施するだけでなく、ウェブサイトに問題が発生した場合に備えて支援します。 ほとんどすべてのそのようなプロバイダーは、あなたのウェブサイトが事件に見舞われた場合に開始する効果的な災害復旧戦略を持っています。

あなたにウェブホスティングオプションのアイデアを与えるために、あなたがあなたのワードプレスウェブサイトをホストすることができる5つのタイプのウェブホスティングソリューションがあります:

共有ホスティング:単一のサーバーマシンが複数のユーザーアカウント間で共有されます。 単一のアカウントがハッキングされると、サーバー全体が危険にさらされます。 多くの場合、抜け穴が多すぎるため、サーバーは実際には保護されていません。

専用ホスティング:あなたは実際にサーバーを所有しており、あなたのウェブサイトだけがサーバーでホストされています。 サーバーを所有しているため、サーバーのセキュリティはサイバーセキュリティの専門知識に限定されます。

VPSホスティング: VPSホスティングでは、物理マシンの専用部分を取得します。 専用ホスティングと同様に、セキュリティの責任者はあなたです。 サイバーセキュリティに精通していない場合は、早い学習者であるか、サーバーのセキュリティのアウトソーシングに多額の費用をかける必要があります。

クラウドホスティング:クラウドホスティングソリューションでは、接続された物理サーバーマシンのネットワークの一部を所有します。 クラウドホスティングソリューションは定義上安全ですが、専用サーバーとして、セキュリティに多くの労力と時間を費やす必要があります。

マネージドクラウドホスティング:その名のとおり、マネージドクラウドホスティングソリューションは、サーバー側のセキュリティ、パフォーマンス、更新など、クラウドサーバーのすべての側面を管理します。 これがCloudwaysの機能です。複数のセキュリティレイヤー(1つはプラットフォームレベルのファイアウォール)を提供し、安全なホスティング環境を実現するため、サーバーのセキュリティについて心配する必要はありません。

セキュリティ疲労。 圧倒されていると感じていますか?

Cloudwaysを試して、WordPressWebサイトのセキュリティを強化してください。

今すぐ改善!

ヒント2:スケジュールされたバックアップを活用する

一見すると、スケジュールされたバックアップはWordPressのセキュリティ対策のようには見えないかもしれません。 ただし、この重要なステップは、災害が発生したときに命の恩人になる可能性があります。 このような場合、Webサイトのバックアップは、災害から数時間以内にサイトをオンラインに戻すための優れた方法です。

WordPressのバックアップは、オフサイトバックアップとホスティングプロバイダー経由のバックアップの2つのレベルで実行できます。

1-オフサイトのWordPressバックアップ

WordPressサイトをDropbox、Googleドライブ、Amazon S3などのオフサイトストレージソリューションにバックアップするUpdraftPlusプラグインのおかげで、WordPressサイトのバックアップは非常に簡単です。

アイデアを詳細に調べたい場合は、WordPressサイトをバックアップするための広範なガイドがあります。

注:2-ローカルWordPressバックアップ

ホスティングプロバイダーのサーバーでWordPressサイトをバックアップすると、ローカルバックアップが作成されます。 多くのWordPressクラウドホスティングプロバイダーは、サーバー全体を同じサーバー上で自動または手動でバックアップできるローカルバックアッププロセスを提供しています。

あなたがCloudwaysの顧客であるなら、あなたは良い手にあります。 あなたは、ローカルバックアップ(同じサーバー)を持つことができ、サーバ全体もアマゾンS3にバックアップすることができます。 WordPressサーバーをバックアップするためのガイドを確認してください。

ヒント3:強力なパスワードを持っている

強力なパスワードは非常に基本的ですが、多くのWordPressの脆弱性から保護するために、見過ごされがちなWordPressセキュリティの必須事項です。

理想的には、パスワードは人が推測しにくいものであり、大文字と小文字を区別するアルファベット、句読点、数字を含める必要があります(たとえば、 #[電子メールで保護] $)。

専門家は、ソーシャルメディアアカウントや電子メールアカウントなど、さまざまなWebサイトにさまざまなパスワードを使用することも提案しています。

サイトに強力なパスワードの習慣を適用するには、プラグインを使用して強力なWordPressパスワードポリシーを適用する必要があります。 これにより、すべてのユーザーが強力なパスワードを使用できるようになります。

ブルートフォース攻撃:強力なパスワードは、サイトが危険にさらされるまでユーザー名とパスワードのさまざまな組み合わせを試みるブルートフォース攻撃に対する最初の防御です。 弱いパスワードは、ブルートフォース攻撃に対して決してうまくいきません。

CAPTCHAは、ブルートフォース攻撃に対する最良の保護の1つと見なされています。 以前、Googleは、訪問者が手動で獣医を取得する必要がないプロジェクト「GoogleInvisiblereCAPTCHA」を開始しました。 デフォルトでは、これは非表示であり、訪問者が人間ではないとGoogleが疑った場合にのみ開始されます。

Googleの目に見えないreCAPTCHAをWordPressに追加する方法の詳細を読む

ヒント4:ログイン試行を制限する

デフォルトでは、WordPressは、訪問者がログイン時にユーザー名とパスワードを複数回試すことができる回数に制限を設けていません。 これが、ユーザーが意図せずに引き起こした多くのWordPressセキュリティ問題の背後にある理由です。

これを防ぎ、WordPress Webサイトにセキュリティの層を追加するには、サイト管理者は、ハッカーがこの問題を悪用するのを防ぐログイン試行制限プラグインをインストールし、サイトにブルートフォースログイン攻撃を仕掛ける必要があります。

このスマートツールは、WordPressサイトの管理パネルでこの攻撃を試みる可能性のあるハッカーのIPをブロックします。 プラグインは、ユーザーごとの失敗した試行の数を制限することによってこれを行います。

二要素認証の使用:二要素認証(2FA)は、2層認証を使用して、不正なサイトログインの可能性を最小限に抑える業界標準のセキュリティ手法です。 WordPress Webサイトに2FAを追加する場合は、WordPressサイトに2要素認証を追加する方法を次に示します。

ヒント5:WordPressのログインURLとデフォルトのユーザー名を変更する

WordPressを起動した後、管理パネルに移動して、要件に応じてサイトを変更できます。 WordPress管理ダッシュボードにアクセスできない場合、これは不可能です。

WordPressのログインURLを変更する:デフォルトのWP-adminログインURLを変更すると、ハッカーがWebサイトにブルートフォース攻撃を仕掛けるのが難しくなります。 この簡単な手順で、WordPressサイトのセキュリティが大幅に強化されます。

利用できるプラグインはたくさんありますが、デフォルトのWordPress管理URLを変更するには、WPS HideLoginプラグインをお勧めします。 プラグインには700,000以上のアクティブなインストールがあり、5つ星のレビューがあります。

WordPressのデフォルトユーザー名を変更する:ウェブサイトで発生する可能性のある最も基本的なセキュリティの抜け穴は、管理者ユーザー名「admin」です。 それは推測するのが簡単すぎます。 プラグインを使用してこのユーザー名を変更することもできますが、これにはもっと簡単な方法があります。ダッシュボードに移動し、新しいユーザーを作成して、「管理者」の役割を割り当てます。

さまざまなWordPressユーザーロール:WordPressを使用すると、複数のユーザーが事前定義されたロールを使用してWordPressサイトに貢献できます。 ウェブサイトの管理者は、カスタムWordPressユーザーロールのガイドに従って、別のユーザーロールを変更または作成することもできます。

ヒント6:WordPressを最新の状態に保つ

チームWordPressは、コアファイルの更新を定期的にリリースします。 これらのパッチは、既知の問題を修正し、一般的にWordPressWebサイトのセキュリティを強化する自己完結型のインストールファイルとして利用できます。

ウェブサイトのCMSを維持することは、ウェブサイトを運営する上で不可欠な側面です。 攻撃者が脆弱なWebサイトをうろついている可能性が常にあるため、サイト所有者はリリースから数時間以内にパッチを適用するのが理想的です。

これは、インストールされているプラ​​グインとテーマにも当てはまります。 プラグイン開発者は、WordPressコアファイルのリリースサイクルに従って、プラグインが新しいWordPressバージョンと歩調を合わせていることを確認します。

注:常にWordPressステージング環境でパッチをテストして、すべてが意図したとおりに機能し続けることを確認してくださいホスティングにステージング環境がない場合は、最初にバックアップを取り、更新を開始することをお勧めします。

一方、マネージドWordPressホスティングを使用している場合は、エンジニアがWordPressコアファイルにパッチを適用し、セキュリティが損なわれないようにします。 自分自身に対する最大のセキュリティ脅威。

ヒント7:未使用のプラグインまたはテーマを削除する

新しいテーマとプラグインをテストすることは、最新リリースを直接体験するための良い方法です。 ただし、テストが終了すると、WordPressユーザーは通常、適切なアンインストールではなく、プラグインを非アクティブ化します。

未使用または非アクティブなテーマとプラグインは、WordPressWebサイトに深刻な脅威をもたらすことに注意してください。 したがって、WordPressデータベースにデータが残っていないことを確認するために、使用されていないすべてのプラグインとテーマをすぐに削除することが非常に重要です。 WordPressプラグインを適切にアンインストールする方法に関する適切なガイドは次のとおりです。

一般的な予防策として、常に最新バージョンのテーマとプラグインを信頼できるリソースからダウンロードして、プラグインまたはテーマがサイトに新しいセキュリティの抜け穴を開かないようにしてください。

それほど基本的ではない

WordPressのセキュリティの基本を理解したところで、Webサイトのセキュリティを強化するための次の高度なヒントを確認してください。

ヒント8:SQLインジェクションとURLハッキングを防ぐ

SQLインジェクションは、攻撃者がWebサイトのさまざまな領域(特にコメントボックスとテキスト領域)にSQLコマンドを埋め込む攻撃です。 これらのコマンドはSQLデータベースを危険にさらす可能性があり、データベースに保存されている機密情報を明らかにする可能性があります。

PHPステートメントを追加してURLを変更することは、WordPressのセキュリティに対する別の潜在的な脅威であり、攻撃者がデータベースやその他のWebサイトコンポーネントへの攻撃を引き起こす可能性があります。

ほとんどのWordPressWebサイトは、これらの攻撃に対抗するための巧妙なトリックを備えたApacheサーバーでホストされています。 すべてのApacheサーバーには、Webサイトのアクセスルールを定義するファイル.htaccessがあります。

SQLインジェクションとURLハッキングの発生率を減らすには、次のコードを.htaccessファイルに追加して、強力なルールセットを作成します。

 <IfModule mod_rewrite.c>
RewriteEngineオン
RewriteBase /
RewriteCond%{REQUEST_METHOD} ^(HEAD | TRACE | DELETE | TRACK)[NC]
RewriteRule ^(。*)$-[F、L]
RewriteCond%{QUERY_STRING} \。\。\ / [NC、OR]
RewriteCond%{QUERY_STRING} boot \ .ini [NC、OR]
RewriteCond%{QUERY_STRING}タグ\ = [NC、OR]
RewriteCond%{QUERY_STRING} ftp \:[NC、OR]
RewriteCond%{QUERY_STRING} http \:[NC、OR]
RewriteCond%{QUERY_STRING} https \:[NC、OR]
RewriteCond%{QUERY_STRING}(\ <|%3C)。* script。*(\> |%3E)[NC、OR]
RewriteCond%{QUERY_STRING} mosConfig_ [a-zA-Z _] {1,21}(= |%3D)[NC、OR]
RewriteCond%{QUERY_STRING} base64_encode。* \(。* \)[NC、OR]
RewriteCond%{QUERY_STRING} ^。*(\ [| \] | \(| \)| <|> | e | "|; | \?| \ * | = $)。* [NC、OR]
RewriteCond%{QUERY_STRING} ^。*(&#x22; |&#x27; |&#x3C; |&#x3E; |&#x5C; |&#x7B; |&#x7C;)。* [NC、OR ]
RewriteCond%{QUERY_STRING} ^。*(%24&x)。* [NC、OR]
RewriteCond%{QUERY_STRING} ^。*(%0 |%A |%B |%C |%D |%E |%F | 127 \ .0)。* [NC、OR]
RewriteCond%{QUERY_STRING} ^。*(globals | encode | localhost | loopback)。* [NC、OR]
RewriteCond%{QUERY_STRING} ^。*(request | select | insert | union | declare)。* [NC]
RewriteCond%{HTTP_COOKIE}!^。* WordPress_logged_in _。* $
RewriteRule ^(。*)$-[F、L]
</ IfModule>

ご覧のとおり、コードは入力フィールドに入力されるデータを「サニタイズ」します。 さらに、このような入力はすべて、SQLクエリステートメントではなく文字列として扱われます。

ヒント9:WordPressで機密ファイルへのアクセスを拒否する

WordPressのインストールには、 wp-config.php 、install.php、 readme.htmlファイルなどの機密ファイルがいくつか含まれています。 これらのファイルは、すべての外部アクセスから隠しておく必要があります。

繰り返しますが、.htaccessはあなたの親友です。 次の行をファイルに追加して、重要なファイルが破損するのを防ぐことができます。 次のコードスニペットは、ユーザーディレクトリリストへのアクセスを防ぎ、機密性の高いサーバーとWordPressファイルを不正アクセスから隠します。

 オプションすべて-インデックス

<ファイル.htaccess>
注文許可、拒否
すべてから拒否
</ファイル>

<ファイルreadme.html>
注文許可、拒否
すべてから拒否
</ファイル>

<ファイルlicense.txt>
注文許可、拒否
すべてから拒否
</ファイル>

<ファイルinstall.php>
注文許可、拒否
すべてから拒否
</ファイル>

<ファイルwp-config.php>
注文許可、拒否
すべてから拒否
</ファイル>

<ファイルerror_log>
注文許可、拒否
すべてから拒否
</ファイル>

<ファイルfantastico_fileslist.txt>
注文許可、拒否
すべてから拒否
</ファイル>

<ファイルfantversion.php>
注文許可、拒否
すべてから拒否
</ファイル>

WordPressを最適化するための.htaccessファイルの使用についてさらに深く掘り下げたい場合は、WordPressの.htaccessファイルの詳細な説明を以下に示します。

ヒント#10:データベースのデフォルトプレフィックスを変更する

WordPressバージョンを非表示:デフォルトでは、WordPressは現在のバージョン番号をテーマのヘッドセクションに自動的に追加します。 優れたセキュリティのヒントは、WordPressのバージョンを公開しないことです。これは、攻撃者がヘッダーに記載されているバージョンのすべての既知の脆弱性に対して攻撃を仕掛ける可能性があるためです。

WordPressのバージョンを非表示にするには、テーマのfunctions.phpファイルに次の簡単なコード行を含める必要があります。

 remove_action( 'wp_head'、 'wp_generator');

データベースのデフォルトのWordPressプレフィックスの変更:WordPressデータベース内のすべてのテーブルには、プレフィックスこれは素晴らしい機能のように見えますが、WordPressハッカーにとっては、当て推量の一部を削除することで、物事を大幅に簡素化します。

ユーザーは、WordPressのインストール中にユーザーデータベーステーブルのデフォルトのWordPressプレフィックスを変更することで、この予測可能性を制限できます。 これは、いくつかの場所でユーザーデータベースを操作することにより、すでにアクティブなWebサイトに対しても実行できます。 WordPressWebサイトのさまざまな防御を実装する最高のWordPressセキュリティプラグインの1つを使用することをお勧めします。

CloudwaysはWordPressサイトの保護に役立ちます

WordPress Webサイトを保護するためのこの詳細なガイドの後で、WordPressを単独で保護することはできないことに言及する価値があります。 WordPressユーザーは、Webサイトに安全な環境を提供する安全なホスティング環境も選択する必要があります。

Cloudwaysが安全なWordPressホスティング環境を提供する方法は次のとおりです。

  • ファーストクラスのクラウドインフラストラクチャ:Cloudwaysは、セキュリティを最大の関心事とする一流のクラウドインフラストラクチャプロバイダーと提携しています。 クラウド上でWordPressサイトをホストすると、高レベルのセキュリティが保証されます。
  • ファイアウォール:Cloudwaysを介して起動されるすべてのサーバーには、Webサイトの防御の最前線として機能するファイアウォールがプリインストールされています。
  • サーバーの監視:サーバーの監視は、Webサイトをダウンさせる可能性のある予期しないトラフィックの急増を特定するのに役立ちます。
  • ボット保護:ボット保護は、悪意のあるトラフィックを識別してブロックし、辞書攻撃、Webスクレイピング、ブルートフォース攻撃などの攻撃から保護することを目的としています。 また、WordPressアプリケーションのサーバーリソースの使用量を減らすのにも役立ちます。 これらの攻撃は、Webサイトへの不正アクセスを取得したり、Webサイトを圧倒したりすることを目的としていますが、ボット保護はこれらすべてのアクティビティを監視し、検出時にプロアクティブにブロックします。
  • SSHおよびSFTPアクセス:多くのホスティングプロバイダーは、依然としてFTPを使用してファイルにアクセスしています。 ただし、Cloudways SFTP(Secure File Transfer Protocol)を使用すると、接続は暗号化されて安全になります。 サーバーでホストされているプロジェクトで複数のチームが作業している場合は、サーバー全体ではなく、特定のアプリケーションへのアクセスを割り当てることができます。
  • 更新されたOSとアプリケーション:Cloudwaysの専門家は最新のリリースを監視し、安定性と互換性のテスト後にそれらの可用性を保証します。
  • ランダムに生成されたクレデンシャル:Cloudwaysを介して起動されたすべてのアプリケーションには、推測が難しいデフォルトのランダムに生成されたクレデンシャルがあります。
  • バックアップ:災害が発生した場合、サイトのバックアップが災害復旧を迅速化するための最善の策です。 バックアップの頻度は1時間程度に設定できます。
  • 無料のSSL証明書:Cloudwaysは、自動更新機能を備えたワンクリックのSSL証明書のインストールを提供します。
  • 無料のステージング環境: Cloudwaysは、すべてが意図したとおりに機能し続けることを保証するための無料のWordPressステージング環境を提供します。
  • 24時間年中無休のライブチャットサポート:サーバーのセキュリティとパフォーマンスについてまだ心配ですか? Cloudwaysサポートは24時間いつでもご利用いただけます。
  • 電話サポート:これは、いつでも直接対応できるサポートが必要な場合のプレミアムサポートアドオンです。

よくある質問

Q:WordPressが安全でない問題を修正するにはどうすればよいですか?

A:このガイドに従って、私が言及したすべてのポイントを確認してください。それがあなたに大いに役立つことを願っています。

Q:WordPress Webサイトを保護するためにSSL証明書を使用する必要がありますか?

A:はい、そうすべきです。ほとんどのホスティング会社は無料のワンクリックSSL証明書を提供しています。

Q:WordPressにはセキュリティの問題がありますか?

A: WordPressは、今日使用されている最も人気のあるコンテンツ管理システム(CMS)です。 多数のテーマとプラグインの助けを借りて、好みや好みに応じてWebサイトを簡単にカスタマイズできます。 ただし、WordPressのセキュリティは多くの人が懸念している主要な問題の1つです。

結論

WordPressのセキュリティのヒントは、効果的で安全なWebサイトを保証します。 ただし、多くの人は、WordPress Webサイトの防御が継続的なプロセスであり、サイバースペースで出現する新しいツールやトリックに直面して継続的な注意を払う必要があることを忘れています。

WordPressユーザーは、セキュリティ監査プラグインを使用してWordPressで何が起こったかをログに記録し、セキュリティの脅威に対してWordPress環境を強化する優先WordPressセキュリティプラグインを使用することを強くお勧めします。

私が何かを逃したと思うなら、遠慮なく追加してください。 できるだけ早くリストに追加します。 ご不明な点がございましたら、下のコメント欄に投稿してください。

よくある質問

Q. WordPressにはセキュリティの問題がありますか?

すべてのプラットフォームと同様に、WordPressにもセキュリティの問題があります。 ただし、WordPressのセキュリティのベストプラクティスに従えば、WordPressのセキュリティの問題を簡単に回避できます。

Q. WordPressが安全でないのはなぜですか?

WordPressのセキュリティ問題の多くは、サイト管理者がプラグインとテーマに関する標準的な慣行を無視することを選択したために発生します。 多くの場合、これは、セキュリティ監査を実施し、Webサイトのセキュリティを維持するために抜け穴を処理することで、回避できます。

Q. WordPressは簡単にハッキングされますか?

いいえ。最近のバージョンのWordPressは非常に安全です。 この基本的なセキュリティは、WordPressセキュリティプラグインをインストールし、尊敬される開発者からのテーマとプラグインのみを選択し、WordPressセキュリティのベストプラクティスに従うことでさらに強化できます。

Q. WordPressのセキュリティを向上させるにはどうすればよいですか?

WordPressのセキュリティは、いくつかの基本的なヒントに従うことで改善できます。
1.安全なホスティングソリューションを選択します。
2. SSL証明書をインストールします(ビジネスWebサイトの必須要件)
3.信頼できるWordPressセキュリティプラグインを設定します
4.プラグインを介してログインレート制限をインストールします
5.TFAがアクティブであることを確認します