WordPressは、使用されている最も人気のあるブログプラットフォームの1つです。そして、非常に人気があるため、ハッカーの一般的な標的となっています。幸いなことに、WordPressブログのセキュリティを強化するのに役立つ、さまざまな無料のプラグインとサービスのエコシステムがサポートされています。一般的に、Webサイトの安全を確保し、脅威と脆弱性に対処する方法についてはすでに説明しました。この投稿では、WordPressのセキュリティを強化して、自己ホスト型WordPress Webサイトを保護する方法について説明します。
WordPress Webサイトを保護する方法
1] Windowsコンピューターにマルウェアがないことを確認します。コンピューターに不正なキーロガーがインストールされている場合、WordPressやWebサーバーのセキュリティはまったく関係ありません。
2] 常に、WordPressとプラグインの最新バージョンがインストールされていることを確認してください。Webサーバーにも脆弱性がある可能性があります。したがって、Webホストがサーバーソフトウェアの最新で安全で安定したバージョンを実行していることを確認してください。さらに良いことに、これらのことを代行してくれる信頼できるホストを使用していることを確認してください。
3] 強力なユーザー名と強力なパスワードを使用します。大文字、小文字のアルファベット、数字、特殊文字を組み合わせて15文字以上にした複雑なパスワードを使用するのが最善です。すべての執筆者にも強力なパスワードを使用するようにしてください。
4] WordPressインストールの管理者ユーザー名をデフォルトのadminから、自分自身またはサイトの名前とは無関係で強力なものに変更します。別の管理者アカウントを作成し、新しい管理者ユーザーとしてログインして、古いデフォルトのadminユーザー名アカウントを削除することができます。または、Admin username changerまたはAdmin renamer extendedプラグイン、または以下で説明するセキュリティプラグインのいずれかを使用して、デフォルトのadminユーザー名を変更することができます。
5] ログイン目的でキャプチャを使用します。
BWSのキャプチャプラグインは、ぜひチェックしてみたい優れたプラグインです。演算と複雑さのレベルを選択できます。
6] ログイン試行の制限プラグインは、各IPのCookieによるログイン試行の頻度を制限します。設定された回数のみ許可され、その後ユーザーはロックアウトされます。許可される試行回数、ロックアウト期間、再試行回数など、すべての設定を構成できます。このプラグインは、ブルートフォース攻撃を防ぐのに役立ちます。
ユーザーが間違ったユーザー名またはパスワードを使用すると、このメッセージが表示されます。
7] Rename wp-loginプラグインを使用して、WordPressパネルのログインURLをデフォルトの/wp-admin/から他のものに 変更します。このプラグインは、ブルートフォース攻撃を防ぐのにも役立ちます。
8] セキュリティスキャナープラグインを使用して、WordPressインストールファイルを定期的にスキャンします。Sucuri Security – SiteCheck Malware Scannerプラグインを使用すると、WordPressダッシュボードでSucuri SiteCheckを使用してWordPressサイトをスキャンできます。マルウェア、スパム、ブラックリスト、.htaccessリダイレクト、隠されたevalコード、その他のセキュリティの問題をチェックします。
さらに、WordPressとPHPが最新の状態であることを確認し、Webファイアウォールがサイトを保護している場合は、WordPressのバージョンを一般公開しないようにします。また、アップロードディレクトリを保護し、ファイルのパーミッションを強化してwp-contentとwp-includesへのアクセスを制限し、WordPressコアファイルの整合性をチェックします。ログイン試行、ログイン失敗、ファイルの変更などを含む多数のアクションを監視します。
Sucuriはまた、サイトがGoogle Safe Browsing、Norton Safe Web、Phish Tank、SiteAdvisor、Eset、Yandexなど、どこかにブラックリストに登録されているかどうかをチェックし、それについて通知します。
Sucuri以外にも、Secure WordPressプラグイン、Exploit Scanner、WordFence Security、WordPress Sentinel、Quttera、VIP Scanner、iThemes Security(以前のBetter WP Security)、BulletProof Security、All In One WP Security & Firewallなどが、チェックしたい他の優れたスキャナーおよびセキュリティプラグインです。これらのプラグインのほとんどは、サイトのマルウェアをスキャンするだけでなく、ファイルパーミッションの強化、ReadMeファイルの削除、WordPressバージョンの非表示などにも役立ちます。
これらのワンクリック修正の中には、サイトの一部の機能を損なう可能性があるものもあるため、WordPressインストールに重大な変更を加える前に、データベースまたはサイト全体をバックアップすることを忘れないでください。ですから、ここでは注意してください。
8] Cloudflare無料コンテンツ配信ネットワークを使用してすべてのトラフィックをフィルタリングし、WordPress Webサイトがターゲットになるリスクを最小限に抑えます。これは、訪問者とWebサイトがホストされているサーバーとの間のプロキシとして機能します。Cloudflare Basicは無料ですが、少額を支払うことでWeb Application Firewallサービスも利用できます。SQLインジェクション、クロスサイトスクリプティング、コメントスパム、その他の不正行為などのリアルタイム攻撃をネットワークエッジで停止します。Google Project Shieldは、選択したWebサイトに無料のDDoS保護を提供します。
9] 使用するプラグインの数を最小限に抑えます。使用しないプラグインは非アクティブ化するか、削除します。
10] サイトのバックアップを定期的に作成し、クラウドサービスやデスクトップにアップロードします。BackWPUp、VaultPress、BackupBuddy、DropBox for WordPress,BackUpWordPressは、チェックしたい優れたバックアッププラグインです。
これはほとんどのWordPressサイトには十分かもしれませんが、さらに詳しく知りたい場合は、WordPress.orgのこの投稿を読んでください。
新しいブロガー向けの役立つヒントに関する私の投稿をチェックしたい人もいるかもしれません。
コメントする