脆弱性を見つけてWordPressサイトを保護する方法

WordPress Webサイトのセキュリティ問題の大部分は、実際に制御するのが簡単です。 このシステムのコアは開発に長い道のりを歩んできており、かなり安全です。 これは多くの人にとって予想外のように思えるかもしれませんが、開発者はセキュリティを真剣に考え、パッチを非常に迅速にリリースします。 WordPressの強みの1つは、更新が容易であり、開発サイクルが高速であることです。



問題のかなりの部分は、エンドユーザーの近視眼、安全性の低いコードを含むテーマとプラグインの選択、および不十分なホスティング品質によるものです。 このガイドは、WordPressサイトのセキュリティを確保し、最も一般的なハッキングの抜け穴を排除するのに役立ちます。

WordPressを最新の状態に保つ

開発者は、古いバージョンの穴にパッチを適用しません。 サイトを保護するには、新しいパッチでCMSとプラグインを最新の状態に保つことが重要です。 ほとんどの場合、更新ボタンをクリックするだけです。



さらに、セキュリティの問題を回避するために、インストールされているすべてのプラグインとテーマを定期的に更新する必要があります。 この問題に対する最適なアプローチは次のとおりです。更新が利用可能になった瞬間から2〜3日以内に待機します。 フォーラムで問題の報告を確認してください。問題がない場合は、サイトを更新してください。



万一、更新プログラムが何かを壊した場合、以前のバージョンにロールバックするか（シェルまたはSFTPアクセスを使用）、バックアップからサイトを復元します。

コンピューターでインターネット接続のセキュリティを維持する

これは当たり前のように思えますが、自宅のコンピューターまたはWiFiルーターにキーロガーとマルウェアが存在するため、攻撃者は簡単にサイトに侵入することができます。

公式リポジトリからのみプラグインとテーマをインストールします

Googleまたは任意のサイトからダウンロードしたプラグインとテーマがマルウェアに感染する可能性があることは秘密ではありません。 最近の調査では、Googleの「無料のWordPressテーマ」の最高の結果のうち10の8がコードにマルウェアが含まれていることがわかりました。 公式リポジトリおよび他の評判の良いソースからテーマとプラグインをダウンロードしてください。 ランダムなWebサイトで取得したものを使用すると、独自のリソースのセキュリティを危険にさらします。

強固なホスティングを選択する

優れたホスティング事業者は、サイトをバックアップするだけでなく、同じサーバーにあるリソースの相互感染も防ぎます。 残念ながら、このような現象は大規模なホスティング事業者の間でも非常に一般的であるため、選択の問題に徹底的に取り組む必要があります。



有能なサーバー管理に加えて、サポートサービスの能力にも注意を払う必要があります。その従業員は、セキュリティ問題に迅速に対応し、それらをタイムリーに解決できる能力を備えている必要があります。



ホスティングプロバイダーを定期的にチェックして、オペレーティングシステムとサーバーソフトウェアの最新バージョンを使用していることを確認してください。

本当に良いパスワードを作成する

多くの人は、軽いパスワードを使用するという悪い習慣を持っています。 ただし、本当に重要なことには、長く複雑な組み合わせを使用する価値があります。 からのパスワード：



1.ランダムに生成された数字、文字、特殊文字のセット。

2.意味に関係のない単語のフレーズ（正しい馬の馬のバッテリー）。

3.覚えやすい文の各単語の最初の文字。いくつかの場所に数字と句読点を追加します。



パスワードの記憶に問題がある場合、またはパスワードを紛失することを恐れている場合は、さまざまなブラウザ拡張機能と、それらを保存するサードパーティアプリケーションがあります。



サイトごとに個別のパスワードを作成することが重要です。そうしないと、攻撃者がアカウントを解読しやすくなります。

標準の管理者ログインを削除します

デフォルトのデフォルトの管理者ログインと特権は、あらゆるエクスプロイトの簡単なターゲットです。 このユーザーアカウントは、ホスティングにWordPressをインストールした直後に削除する必要があります。 これを行うには、次の手順を実行します。



1.基本的な管理者アカウントにログインします。

2.一意の名前で新しいユーザーを作成し、管理者権限を付与します（後者は非常に重要です）。

3.新しいユーザーデータでログインし、管理者アカウントを削除します。



さらに、新規インストール中に、デフォルトのユーザー名を管理者から別のユーザー名に変更できます。

WordPressでニックネームを変更する

ボットは常にサイトをクロールし、メッセージ作成者のタグを見つけようとし、見つかった名前をログインとして使用します。 これは、ブルートフォースで破壊するための非常に効果的な攻撃ベクトルです。 この脆弱性を修正するには、アカウントにログインし、実際のユーザー名とは異なるパブリックエイリアスを設定します。

定期的なバックアップを設定する

この手順は、サイトのセキュリティに関心がある人にとって必須です。 優れたソリューションは、WordPressデータベースだけでなく、サーバーディスクの内容の定期的なバックアップを設定することです。 バックアップを保存できるプラグインとサービスがいくつかあります。 さらに、バックアップが進行中かどうかをホスティング業者に尋ねる価値があります。



作成されたバックアップは、少なくとも月に1回はチェックして、正しく作成されていることを確認する必要があります。必要に応じて、サイトを簡単に復元できます。

WordPressセキュリティキーを取得する

このシステムは、Cookieに保存される情報に暗号化されたセキュリティキーを使用します。 これらのキーはWP-configに移動します。 キーの乱数ジェネレーターは、WordPressの公式Webサイトのリンクにあります。 それに従って、ブラウザでページを更新して新しいキーを取得し、それらをWP-configにコピーします。

データベースのプレフィックスを変更します（インストールの直前に！）

このアイテムは、ゼロから作成されたサイトにのみ適しています。 作業リソースで手順が正しく実行されない場合は、完全に終了できます。 新規インストールを開始する場合、データベースプレフィックスを変更するオプションがあります。 デフォルトでは、WordPressはプレフィックス「wp_」を設定します。これにより、クラッカーの作業がはるかに簡単になります。 ユニークなものに変更することで、このセキュリティホールを排除できます。



さらに、匿名データベースのユーザーであるテストデータベースを削除する価値があります。 メインデータベースにインターネットからアクセスできないことを確認します。

使用するプラグインとトピックの数を制限する

多くのトピックとプラグインが安全ではないという事実に加えて、それらの多数はサイトを深刻に遅くします。 使用するプラグインとそれらの数を減らし、使用を停止したプラグインを削除します。 システムをクリーンに保つと、攻撃者による脆弱性の悪用の可能性が減るだけでなく、マルウェア感染が発生した場合の問題の修正も容易になります。

WP-configファイルを1つ上のディレクトリに移動してロックします

WP-configファイルには、サイトデータベースにアクセスするためのすべての資格情報が含まれています。 インターネットからアクセス可能なルートディレクトリの外部に配置することで、より高く移動できます。 これは、ブラウザベースの攻撃から構成ファイルを保護するのに役立ちます。 また、600に設定してアクセス許可を変更することをお勧めします。

ログイン試行回数を制限する

セキュリティプラグインを使用することは遅滞する可能性があります。 さらに、既に安全ではない保護に依存することは悪い考えです。 一方、Limit Login Attemptsプラグインは、ブルートフォースを使用したハッキン​​グを防ぎ、サイトへのアクセス試行の失敗回数を制限するため、非常に便利な選択肢です。 また、ログインしようとしたIPアドレスを記録することもできます。

ファイルとディレクトリのアクセス許可を確認する

ファイルとディレクトリへのアクセス権は、ホスティング設定にかなり複雑な依存関係を持つことができます。 ほとんどの場合、ファイルの権利は664または640に、フォルダーの場合は755または750に設定する必要があります。ホストを構成するまで、値を777に設定しないでください。 アクセス権を設定するための黄金律は、サイトが動作し続ける可能な最小値を設定することです。 許可の最後の桁は常に0、4、または5であり、6または7ではありません。

バージョン情報を隠す

インストールされているWordPressのバージョンに関する情報を非表示にすることは、ボットがサイトをクロールするのを防ぐ非常に簡単な手順です。 テーマのfunction.phpファイルに、次を配置する必要があります。



//ヘッドとフィードからバージョン情報を削除します

function complete_version_removal（）{

return '';

}

add_filter（ 'the_generator'、 'complete_version_removal'）;

SSL認証を有効にする

サイトにSSL証明書がある場合は、このプロトコルを使用して許可を有効にしてください。 ログインまたはWP-config.phpファイルの管理者セクション全体に対してのみインストールできます。 SSLは、WordPressに送信する情報を暗号化し、特に中間の人々を保護するのに優れています。

検索ボットにディレクトリを閲覧させない

Google検索は、不必要なアドレスをクロールし、ハッカーにその可用性を明らかにすることができます。 Googleボットや他のボットを禁止し、次のrobots.txtの指示（すべてのボットがそれらをサポートしているわけではありません）を禁止して、コンテンツ以外のインデックスを作成することをお勧めします。 robots.txtファイルはサイトのルートフォルダーにあり、プレーンテキストファイルです。

ユーザー登録を無効にする

個人ブログを持っている場合、または多数のユーザーが資料を公開することを意図していないサイトを作成している場合は、adminセクションでアカウントを登録する機能を無効にする価値があります。 コメンテーターには、ソーシャルメディアアカウントを使用します。

ユーザーがテーマとプラグインを編集および更新できないようにします

管理インターフェースを介して重要なファイルを編集および更新する権限をユーザーから削除する必要があります。

.htaccessルールを設定する

ルートセクションの.htaccessファイルに追加できる基本的なルールを以下に示します。より高度なルールについては、高度なマニュアルで説明しています。 それらが存在しないと、サイトがハッキングされる可能性があります。



//ディレクトリのインデックス作成を制限します

オプションすべて-インデックス



// htaccessファイルを保護し、

//これはデフォルトでapache設定ファイルで行われます。

//しかし、あなたは決して知らない。



注文許可、拒否

すべてを拒否



//サーバー署名を無効にします

ServerSignatureオフ



//ファイルのアップロードを10 MBに制限します

LimitRequestBody 10240000



// wpconfig.phpを保護します。

//ステップ6を実行した場合、これは必要ありません。



注文許可、拒否

すべてを拒否

Readmeおよびその他のジャンクファイルを削除する

readme.htmlファイルはWordPressのルートディレクトリにあり、多くのプラグインとテーマにも同様のファイルがあります。 フィンガープリントやスヌーピングに使用でき、多くの場合バージョン情報が含まれているため、それらを削除することをお勧めします。 これらのファイルやその他の不要なファイルからサイトのフォルダーを削除します。

開発用に別のバージョンのサイトを作成する

メインリソースに適用する前に、サイトのコピーを使用して更新プログラムと新機能をテストします。 追加のホスティング料金を支払いたくない場合は、コンピューターまたはラップトップにWordPressをローカルにインストールすることもできます。

機密情報を不必要に処理しないでください。

正当な理由がない限り、クレジットカード情報、社会保障番号、医療情報、その他の機密情報をサイトに保存しないでください。 ハッカーはほとんどの場合、こうした情報を入手する機会があるリソースをハッキングすることを選択します。 持っていない場合、あなたのサイトはサイバー犯罪者の標的となる可能性が低くなります。

WordPressサイトがハッキングされた場合はどうなりますか？

リソースがハッキングされる可能性があるという事実に常に備えておく必要があります。 明確なアクションプランを用意することで、侵入者を迅速に阻止し、悪影響を防ぐことができます。



1.サイトをオフラインにします（メンテナンスモード）。 これにより、クラッカーからサイトへの損害を増やす機会を奪ったり、Webリソースの制御を取り戻そうとする試みを防ぐことができます。



2.ハッキングをホスティングプロバイダーに報告して、役立つようにします。



3.後で学習する場合は、ハッキングされたサイトのバックアップコピーを作成します。



4.サーバーログを参照して、攻撃者がサイトをハッキングした方法を判断します。 これは、この問題を修正する方法を学ぶのに役立ちます。また、クラッカーが何をしたかを知るためにも必要です。



5.更新可能なすべてを更新します。



6.すべてのファイル、ページ、投稿、コメント、または攻撃者によって追加されたプロセスを削除します。 すべてを見つけたかどうか疑問がある場合は、新しいWordPressサイトを最初から作成し、ハッキングする前に作成した最後のバックアップに復元します。