WordPressブログを保護する10の手順

Webアプリケーションの管理ゾーンは、長い間ハッカーのお気に入りのターゲットであり、そのセキュリティは開発者にとって非常に懸念されています。 これはWordPressにも適用されます。新しいブログをインストールすると、システムはランダムに生成された一意のリアルタイムパスワードを使用して管理者アカウントを作成し、システム設定へのユニバーサルアクセスをブロックし、認証ページを使用して制御します。



この記事では、WordPressのセキュリティを強化する問題に焦点を当てています。管理パネルとブログ設定の両方であり、 承認後にのみ表示されるwp-adminフォルダーの内容全体を意味します。 「 承認後 」というフレーズを意図的に強調しました-ブログまたはサイト全体の「邪悪なハッカー」と管理パネルを分けるのはたった1つの簡単なリクエストであることを明確に認識してください。 後者は、選択した強力なパスワードと同じくらい保護されています。







クラッカーのタスクを複雑にする場合があるため、手動で実行できる一連の操作を提供しています。 これらのソリューションは100％の保護を保証するものではありませんが、その助けを借りてブログのセキュリティを大幅に向上させることができます。

1. wordpressフォルダーの名前を変更します。

バージョン2.6から、 wp-contentフォルダーへのパスを変更できるようになりました。 残念ながら、これはwp-adminフォルダーにはまだ適用されません。 セキュリティを意識したブロガーはこれに同意し、将来のバージョンでそれが可能になることを望み始めました。 これが発生するまで、問題に対する次の代替ソリューションを使用することをお勧めします。 WordPressファイルでアーカイブを解凍すると、「WordPress」フォルダーが表示されます。フォルダーの名前を変更し（理想的には「 wordpress_live_Ts6K」のようなわかりにくい名前に）、ルートディレクトリのwp-config.phpファイルを適宜設定します。

この変更により何が得られますか？

• まず、すべてのWordPressファイルがサイトのルートにある他のファイルと混合されることはないため、ルートレベルの明確性を高めます。
• 第二に、WordPressの複数のコピーを、相互作用を除いて、異なる名前のフォルダーに並行してインストールできるため、テストに最適です。
• 3番目の利点は、セキュリティに直接関係しています。管理ゾーン（およびブログ全体）はルートフォルダーに存在しないため、ハッキングアクションを実行するには、まずそれを見つける必要があります。 これは人間にとっては問題ですが、ボットに関しては時間の問題です。

ルートディレクトリにインストールされているいくつかのバージョン-可能です！



注： WordPressシステムファイルがルートディレクトリに存在せず、インストールフォルダーの名前が上記の推奨事項に従って変更された場合、ブログはwp-config.ruで引き続き利用できます。 なんで？ ブログの「一般設定」セクションに移動し、例に示すように、「WordPressアドレス（URL）」フィールドにサーバー上の実際のブログアドレスを入力します。





ブログのアドレスは美しく、目立たないものでなければなりません



これにより、ブログを美しい仮想アドレスで表示できます。

2. wp-config.phpファイルを改善する

WordPress構成ファイルwp-config.phpには、データベースにアクセスするためのサイト設定と情報が含まれています。 セキュリティに関連する他の設定もあります（以下のリストに表示されます）。 このファイルにそのような値がない場合、またはデフォルト値のみがある場合は、それに応じて追加または変更する必要があります。

• セキュリティキー：バージョン2.7以降、WordPressには4つのセキュリティキーがあり、正しくインストールする必要があります。 WordPressを使用すると、これらの行を自分で作成する必要がなくなり、セキュリティの観点から適切なキーが自動的に生成されます。 wp-config.phpファイルの対応する行にキーを挿入するだけです。 これらのキーは、ブログのセキュリティを確保するために必要です 。
• 新しくインストールされたWordPressブログのテーブルプレフィックスは、標準の「wp_」ではなく、プレフィックス値が複雑であればあるほど、MySQLデータベースのテーブルへの不正アクセスが発生する可能性は低くなります。 悪い： $ table_prefix = 'wp_'; 。 はるかに良い： $ table_prefix = 'wp4FZ52Y_'; この値を忘れないでください。一度入力するだけで、もう必要ありません。
• サーバーでSSL暗号化を使用できる場合は 、管理ゾーンを保護するためにSSL暗号化を有効にすることをお勧めします。 これを行うには、wp-config.phpファイルに次のコマンドを追加します。define（ 'FORCE_SSL_ADMIN'、true）;

構成ファイルの他のシステム設定を調整することもできます。 利用可能な設定の明確で包括的なリストは、 コードページで利用できます。





正しいセキュリティキーのインストールを怠らないでください！

3. wp-config.phpファイルを移動します

また、バージョン2.6以降、WordPressではwp-config.phpファイルを最高レベルに移動できます。 このファイルには他のファイルよりもはるかに重要な情報が含まれており、サーバーのルートフォルダーにアクセスすることは常に非常に難しいため、他のファイルと同じディレクトリに保存しない方が理にかなっています。 WortdPressは、 wp-config.phpファイルの検索で自動的に最上位フォルダーに移動します 。 ユーザーが自分でパスを構成しようとしても、何の役にも立ちません。

4. wp-config.phpファイルを保護する

すべてのISPサーバーで、ルートディレクトリよりも高いレベルにデータを転送できるわけではありません。 つまり、誰もが前のステップを実行する権利を持っているわけではありません。 または、他の理由：たとえば、特定のフォルダー構造を持つ複数のブログがある場合、すべてのファイルをルートに配置することはできません。ファイルの名前は各ブログで一致するためです。 この場合、 .htaccessファイルを使用して、外部からwp-config.phpファイルへのアクセスをブロックできます。 これは次のコードです。



[コード]＃wpconfig.phpを保護

  <files wp-config.php>
注文拒否、許可
すべてを拒否 

[/コード]



.htaccessファイルがwp-config.phpファイルと同じディレクトリにあることを確認することは非常に重要です 。

5.管理者アカウントを削除します。

インストールプロセス中に、WordPressはデフォルトのニックネーム「admin」で管理者アカウントを作成します。 一方では、これは非常に論理的であり、他方では-既知のニックネームを持つユーザー、つまり 管理ID-1は、パスワード推測プログラムを使用するハッカーにとって予測可能なターゲットです。 アドバイスは次のとおりです。

• 管理者権限とニックネームを持つ別のユーザーを作成します。
• 作業セッションを終了します。
• 新しいアカウントでログインします。
• 管理者アカウントを削除します。

新しいブログがなく、 管理者アカウントで投稿またはコメントを既に投稿している場合は、削除時に提案されたオプションから、「すべての投稿とリンクをリンク：」オプションを選択し、新しいユーザー名を選択します。







注：理想的には、誰もあなたのユーザー名を認識しないように、新しいユーザーのユーザー名が投稿に表示されるユーザー名と異なることが望ましいです。

6.強力なパスワードを選択します。

潜在的な攻撃の確率と頻度は、ブログの人気度に直接依存します。 また、この時点までに、サイトにセキュリティチェーンに脆弱なリンクがないことを確認することをお勧めします。



ほとんどの場合、パスワードはこのチェーンの中で最も弱いリンクです。 なんで？ ほとんどのユーザーのパスワードを選択する方法は、しばしば無頓着で不注意です。 多くの研究は、ほとんどのパスワードが、見つけるのが難しくない小文字の単音節の既存の単語であることを示しています。 パスワードクラッカーには、最も一般的に使用されるパスワードのリストさえあります。



WordPressは、ダイヤルされたパスワードの強度の直観的なインジケーターを実装し、色の複雑さのレベルを示します。







少なくとも7文字を使用し、 小文字と大文字を組み合わせて、 ！などのサービス文字を使用することをお勧めします。 "？$％^＆（） 。

7. wp-adminフォルダーを保護します。

「2つの頭が1つよりも優れている」というproveに続いて、管理ゾーンの保護を2倍にする方法があります。 保護は.htaccessファイルによって規制されます。このファイルは、ユーザーのユーザー名とパスワードを保存する.htpasswdファイルとともにwp-adminフォルダーに配置する必要があります。 フォルダーにアクセスした後、ユーザー名とパスワードを入力する必要がありますが、違いはこの場合、WordPress自体ではなくサーバー側で認証が制御されることです。



.htaccessおよび.htpasswdファイルを簡単かつ迅速に生成するには、 このサービスを使用します 。

8.認証ページでのエラーの表示を禁止します。

WordPressのログインページは、ブログの管理領域への入り口であり、エラーのない検証後に利用可能になります。 各ユーザーには無制限の認証試行があり、デフォルトでは毎回、役立つWordPressがエラーの内容を正確に示します。 つまり、入力されたログインが正しくない場合-WordPressはそう言います。 これはユーザーにとって便利ですが、ハッカーにとっても便利です。



システムが正確に何が間違って入力されているかを示すと、ログイン/パスワードの組み合わせを選択する可能性がどれほど早く減少するかを推測するのは簡単です。 簡単なコード行でこの問題を解決できます。テーマのfunctions.phpファイルに追加するだけです。



[php] add_filter（ 'login_errors'、create_function（ '$ a'、 "return null;"））; [/ php]



認証ページの元の/変更された外観。

9.失敗した認証試行の回数を制限します。

WordPressは、成功したかどうかにかかわらず、承認の統計を保持しません。 これは管理者にとって非常に不便です。なぜなら、管理者は、より頻繁になった場合に何らかの措置を講じる不正アクセスの試みがあったかどうかを確認する機会がないからです。 ログインロックダウンとログイン試行制限プラグインの2つのソリューションを提供しています。 インストール後、彼らは認証をログインするだけでなく、一定時間試行している人のIPをブロックすることにより、失敗した認証試行の回数を制限します。

10.最新の状態に保ちます。

最後に、原則として、WordPressの開発者は、エンジンに脆弱性が見つかった場合、非常に迅速に対応します。 そのため、可能な限り調整して更新してください。 幸いなことに、WordPress自体が新しいバージョンのリリースを発表しています。 これはプラグインにも適用されます-それらのバージョンを最新の状態に保ちます。







覚えておいてください ：アドオンやアドオンに関しては、少ないほど良いです。 管理者は、本当に必要なプラグインのみをインストールしてアクティブにしていることを確認する必要があります。 これらのプラグインはすべてサードパーティの開発者によって開発されているため、各プラグインは潜在的なリスクおよびセキュリティリスクです。

あなたはどうですか？

ブログをハッキングからどのように保護しますか？ これに何を使用していますか？



みんなのためにWordPressから翻訳！