WordPressウェブサイトをより安全にする15の方法

公開: 2020-10-08

WordPressは人気のあるCMS(コンテンツ管理システム)です。 これは、さまざまなテーマと便利なプラグインを備えた、最もユーザーフレンドリーなコンテンツ管理システムの1つです。 WordPressを使用してニッチなウェブサイトを作成できます。 これが、WordPressがインターネット上のWebサイトの約36%を有効にする理由です。 ただし、人気にはコストがかかる可能性があります。 WordPressは市場でそのような有利な位置を占めているため、ハッカーに攻撃されることがよくあります。 WordPressは、ウェブサイトをすぐに準備するための人気のある選択肢であり、多くの機能も備えています。 したがって、サイバー脅威を心配することなくプラットフォームを楽しむために、WordPressWebサイトをより安全にすることが賢明です。 また、ほとんどの人は、本格的なビジネスWebサイトを持っている場合にのみ、セキュリティ対策を実施するために余分なお金を費やす必要があると誤って考えています。 ただし、ポートフォリオページ、eコマースストア、またはその他の種類のWebサイトに使用する場合でも、保護対策を講じた方がよいでしょう。 WordPress Webサイトをより安全にし、ハッカーがビジネスを台無しにするのを防ぐための15の簡単な方法を見てみましょう。

目次を隠す
1.常に優れたホスティング会社を選択してください。
2.管理者のユーザー名を変更します。
3.常に強力なパスワードを使用します。
4.編集者または寄稿者アカウントを使用してWebサイトに投稿します。
5.管理領域を強化します。
6.ファイルを常に最新の状態に保ちます。
7.バックアッププラグインを利用します。
8. 2FAを利用します:
9.SSLとHTTPSを使用します。
10.セキュリティヘッダーを利用します。
11.アイドル状態のユーザーからログアウトします。
12.ホットリンクをブロックします。
13.ログインのセキュリティの質問を追加します。
14.最新のPHPバージョンを実行していることを確認します。
15.ディレクトリブラウジングを無効にします。

1.常に優れたホスティング会社を選択してください。

常に優れたホスティング会社を選択してください ピン

これは、Webサイトのセキュリティを確保するための最初の最も重要なステップである必要があります。 便利なセキュリティ機能を備えていることが証明されている優れたホスティング会社を使用してください。 注意すべき機能は、PHP(最新バージョン)、ファイアウォール、MySQL、24時間年中無休のセキュリティ監視およびApacheです。 また、定期的なマルウェアチェックを実行し、毎日バックアップをとるホスティングサービスを使い続ける必要があります。 優れたホスティングサービスには、DDOS防止策もあります。 WordPressのセキュリティをレイヤーと考える場合、選択するホスティングサービスは最初のレイヤーであるか、ウォールハッカーが突破してサイトに侵入しようとします。 したがって、優れたホスティングサービスの費用が少し高くても、そのピンチを利用して、信頼できる信頼できるホスティングサービスを選択していることを確認してください。

2.管理者のユーザー名を変更します。

管理者のユーザー名を変更する ピン

以前にWordPressを使用したことがあるか、新しいユーザーである場合は、WordPressが「Admin」をデフォルトのユーザー名として保持していたことに気付くでしょう。 ほとんどのユーザーは、このユーザー名をわざわざ変更することはありません。 これに伴う問題は、ハッカーがブルートフォースでWebサイトを攻撃しようとすると、ユーザー名が正しくなる可能性がかなり高いことです。 WordPressのユーザー名として「Admin」を使用しないでください。 最近でも、WordPressでは、ユーザーに「管理者」ユーザー名を与える代わりに、最初からユーザー名を設定することができます。 ただし、以前にWordPress Webサイトをインストールしたことがある場合は、ユーザー名を確認し、それでも「管理者」に設定されている場合は変更してください。 そうである場合は、[ユーザー]を参照してから[新規追加]を選択することにより、Webサイトに別の管理者ユーザー名を作成できます。 ここで、一意のユーザー名とパスワードを入力できます。 必ず管理者として設定し、[新しいユーザーの追加]ボタンをクリックしてください。

3.常に強力なパスワードを使用します。

強力なパスワード ピン

WordPress Webサイトとホスティングサービスのパスワードは、強力で安全である必要があります。 強力なパスワードを作成するには、常に大文字とアルファベット、数字、記号などのさまざまな小文字を組み合わせて使用​​してください。 また、LastPassやDashlaneなどのパスワード管理ソフトウェアを使用して安全なパスワードを生成および保存するのにも理想的です。

4.編集者または寄稿者アカウントを使用してWebサイトに投稿します。

あなたのウェブサイトに投稿するために編集者または寄稿者アカウントを利用してください ピン

これは、WordPressWebサイトにセキュリティを追加する優れた方法です。 WordPressを使用すると、ブログを書いたりWebサイトに投稿したりするために他のユーザーにアクセスする必要があるが、管理者権限を付与しない場合に、寄稿者アカウントと編集者アカウントを作成できます。 あなたはあなた自身のためにそのようなアカウントを1つ作成し、それらを使用してウェブサイトに投稿することができます。 これは、ハッカーがあなたのサイトに損害を与えることを困難にするでしょう。 彼らがあなたの寄稿者や編集者のプロフィールをハッキングすることに成功したとしても、彼らは管理上の制御や特権を持っていません。

5.管理領域を強化します。

管理領域を強化する ピン

管理領域の保護に可能な限り集中する必要があります。 このためには、Webサイトの管理者ログインに使用されるデフォルトのURLを変更し、失敗したログイン試行の回数に制限を設ける必要があります。 これにより、ユーザーがその制限を超えた場合にユーザーがロックアウトされます。 WordPressの管理URLは「yourdomain.com/wp-admin」のようになります。 ユーザーが「管理者」ユーザー名を変更する傾向があるのと同じように、多くの場合、管理者URLを変更する必要はありません。 これにより、ハッカーは管理領域のログインページに直接アクセスして、Webサイトへのハッキングを試みることができます。 管理URLを変更するには、WPSHideLoginなどのプラグインを利用できます。 また、失敗する試行の数を制限するために、LoginLockdownプラグインを使用することもできます。

6.ファイルを常に最新の状態に保ちます。

常にファイルを更新してください ピン

古いファイルは見過ごされがちであり、Webサイトに重大なセキュリティリスクをもたらします。 あなたのウェブサイトは、さまざまなハッキングやエクスプロイトに対してオープンになります。 したがって、アップデートがリリースされたらすぐにインストールする必要があります。 定期的に使用しているプラ​​グインを確認する習慣をつけてください。 使用しなくなったプラグインを削除します。 役に立たない余分なプラグインを保持すると、Webサイトの大部分が追加され、ハッカーにより多くのエントリポイントが提供されます。

7.バックアッププラグインを利用します。

プラグインをバックアップする ピン

まだ行っていない場合は、Webサイトのバックアップを取る習慣をつける必要があります。 バックアップシステムは、Webサイトの最悪のシナリオがハッキングされた場合に、Webサイトを復元するのに役立ちます。 あなたのウェブサイトの定期的なバックアップスケジュールを作成するために使用できるUpdraftPlusのような多くの信頼できる便利なバックアッププラグインがあります。 ファイルが感染しないように、バックアップファイルをオフサイトに保存することを忘れないでください。

8. 2FAを利用します:

2FA ピン

Google Authenticatorプラグインを使用して、サイトを保護するための2FA(2要素認証)セットアップをセットアップします。 つまり、ログインクレデンシャルを使用してログインするだけでなく、サイトにログインするためにモバイルアプリで生成されたコードを入力する必要があります。 これは少なくともあなたのウェブサイトへの試行錯誤攻撃を止めるでしょう。 したがって、それは有用な戦術になる可能性があります。 2FAは、WordPressの最高のセキュリティプラグインの1つであるWordfenceの無料機能として利用できます(Web Design Devで使用しています)。

9.SSLとHTTPSを使用します。

HTTPSとSSL ピン

インターネットを閲覧したり、インターネットに精通した人々に囲まれていたりすると、サイトにHTTPSプロトコルとSSLセキュリティ証明書が必要だと強調する人々のことを聞いたことがあるでしょう。 HTTPSは、Hypertext TransferProtocolSecureの略です。 SSLはSecureSocketLayersの略です。

HTTPSを使用すると、訪問者のブラウザでホスティングサーバーとの保護された接続を保護できるため、サイトとの安全な接続が実現します。 このHTTPSプロトコルはSSLを介して保護されます。 したがって、SSLとHTTPは、訪問者のブラウザとWebサイトの間で交換されるすべての情報が暗号化されることを保証するのに役立ちます。 サイトでこれらの両方の機能を使用することは、セキュリティの向上に役立つだけでなく、検索エンジンのランキングに大きなメリットをもたらします。 これにより、訪問者への信頼が確立され、コンバージョン率も向上します。

10.セキュリティヘッダーを利用します。

セキュリティヘッダー ピン

WordPress Webサイトにセキュリティを追加するもう1つの効率的な方法は、セキュリティヘッダーを実装することです。 これらのセキュリティヘッダーは、ハッキング攻撃を防ぎ、セキュリティの脆弱性の悪用の数を減らすためにサーバーレベルで設定されます。 コードを追加してこれらのセキュリティプラグインを手動でインストールするか、セキュリティヘッダーなどのプラグインを使用して自動的に追加することができます。

11.アイドル状態のユーザーからログアウトします。

アイドル状態のユーザーからログアウトする ピン

頻繁には使用しないがサインアウトしないWebサイトへのログインが多い場合は、その習慣を変更してください。 使用しているユーザーIDのいずれかがほとんどの時間アイドル状態になっている場合は、非アクティブな状態が一定時間続いた後、それらのアカウントから必ずログアウトしてください。 これには、すべての非アクティブなセッションを簡単に終了するための非アクティブなログアウトなどのプラグインを使用することもできます。 これは、新しいブログ投稿を追加するためにWebサイトにログインし、他の副次的なタスクに気を取られて、セッションが簡単に乗っ取られ、ハッカーがこのウィンドウを使用してサイトに感染する可能性があるため、重要です。

12.ホットリンクをブロックします。

ホットリンク ピン

ホットリンクとは、ビデオや画像などのWebサイトの資産に直接リンクすることにより、誰かの帯域幅を盗むことです。 あなたがオンラインで画像を見つけて、あなたのサイトでそれを共有したいと思っていると仮定しましょう。 このためには、最初に許可を得るか、その画像にプレミアムを支払う必要があります。 そうでなければ、そうすることは違法になる可能性が高いです。 ただし、許可を得ることができた場合は、画像のURLを使用して、投稿に写真を配置することができます。 その写真はあなたのサイトに表示されますが、別のサイトのサーバーでホストされるため、これは問題があります。

これは、画像がサーバーに残るかどうかを制御できないため、面倒です。 そして人々はあなたのウェブサイトでもこれを行うことができます。 WordPress Webサイトを本当に保護したい場合、ホットリンクを使用すると、読み込み速度が低下し、サーバーのコストが高くなる可能性があります。 「オールインワンWPセキュリティおよびファイアウォール」プラグイン組み込みツールを使用して、ブロックおよびホットリンクを行うことができます。

13.ログインのセキュリティの質問を追加します。

ログインのセキュリティの質問 ピン

時には基本に固執することも大いに役立ちます。 2要素認証と、ユーザーがWebサイトにログインする前に回答する必要のある追加のセキュリティの質問があると、ハッカーがWebサイトにアクセスするのがより困難で煩わしくなります。 セキュリティの質問は、金融機関、電子メールプラットフォーム、またはメンバーシップサイトにも関連している可能性があります。 本質的に、セキュリティの質問は、Webサイトの2番目のパスワードとして機能します。 完璧なセキュリティの質問は、あなただけが答えを知っている質問です。 答えが質問に関連していなければ、物事をより難しくすることは理にかなっています。 もちろん、あなたは自分で答えを覚えるのに十分賢くなければなりません。 この基本的なトリックは、WordPressサイトを何倍にも保護するのに役立ちます。

14.最新のPHPバージョンを実行していることを確認します。

最新のphpバージョン ピン

最新のPHPバージョンを最新の状態に保つことは、Webセキュリティに関しては簡単です。 しかし、あなたは統計に驚かれることでしょう。 WordPressユーザーのわずか3.6%が、最新のPHPバージョンである7.2でWebサイトを実行しています。 WordPress Webサイトの12%以上が、まだサポートされていない5.4バージョンで実行されています。

最新のPHPバージョンを使用していないということは、新しいバージョンでいくつかのセキュリティギャップが発見され、修正されたことを意味します。 ただし、それらはあなたのサイトでは利用できません。 また、バグと修正は各PHPバージョン更新変更ログリストで公然と言及されているため、ハッカーはWebサイトにアクセスするための抜け穴を簡単に知ることができます。

15.ディレクトリブラウジングを無効にします。

ディレクトリブラウジングを無効にする ピン

WordPress Webサイトを攻撃する人々は、ディレクトリブラウジングを利用して、サイトに脆弱性があるプラグインやテーマを見つけることができます。 これらの欠陥は、サイトをハッキングするために使用される可能性があります。 彼らはあなたのウェブサイトにアクセスし、悪意のあるスクリプト、広告、不要なリンクを挿入する可能性があります。 また、ファイルを調べたり、ディレクトリ構造を調べたり、画像をコピーしたり、その他の情報にアクセスしたりすることもできます。 したがって、ディレクトリのインデックス作成と参照のオプションをオフにしておくことをお勧めします。 これを実行するには、FTPクライアントを介してWordPress Webサイトにアクセスし、サイトのルートディレクトリにある「.htaccess」ファイルを編集して、下部に次の行を追加する必要があります–オプション–インデックス。

これらはあなたのWordPressウェブサイトをより安全にする15の方法でした。 最大限の保護とセキュリティを確保するために、これらすべての指示とガイドラインに従い、Webサイトでそれらを有効にしてください。 上記のすべての方法は、WordPress Webサイトに保護の層を追加し、ハッカーが必要なものを入手することをより困難にします。 これらのガイドラインは、Webサイトのコンテンツと機密情報の保護を開始するのに最適な場所です。 ウェブサイトの安全性が高いほど、訪問者にとっても安全であるため、オンラインでの存在感を高めるのにも役立ちます。 訪問者と検索エンジンの両方がそれを高く評価しており、それはあなたに市場での信頼を与えます。