WordPressセキュリティでモグラたたきをする
公開: 2020-01-11この時代のウェブサイトの保護は(たとえ小さなものであっても)ますます困難になっています。 また、WordPressを使用している場合は、背中に大きな古いブルズアイがあるかもしれません。 悪意のある人々と執拗なボットの間で、毎日の毎分が戦場になっています。
これの本当に驚くべき部分は、ほとんどすべての正しいことを実行でき、それでもハッキングされたサイトになってしまうことです。 先に進み、プラグインとテーマを最新の状態に保ちます。 セキュリティプラグインを実行するか、参入障壁を設定します。 それをすべて行うと、まだ妥協した立場にいることに気付くかもしれません。
つい最近、私はこの難しい事実を自分自身で見つけました。 私は、「正しい方法」で物事を行っていると思っていたにもかかわらず、多くの問題に直面しているサイトで同僚を助けました。 座ってその経験について考えるようになりました。 それで、ここに私が学んだことについてのいくつかの考えと、WordPressウェブサイトをより安全にするために私たちが取ることができるさらなるステップに関するいくつかの理論があります。
過去はあなたを悩ませることができます
WordPressコア、プラグイン、テーマにはすべて独自のセキュリティ上の欠陥があります。 プラグインとテーマが同じタイプの処理を受けることを期待して祈る一方で、コアは通常すぐにパッチが適用されます。 しかし、これまで見てきたように、穴を塞ぐだけでは必ずしも十分ではありません。
あなたのサイトが数年前に構築された場合、あなたはあなたが知らなかった脆弱性にさらされていたかもしれません。 多分彼らはパッチを当てられた…あるいはそうではないかもしれない。 問題が修正されたとしても、パッチをインストールするか、アイテムを完全に削除するまで、サイトが一定期間公開されている可能性があります。 その間に何が起こったのですか? しばらくはわからないかもしれません。
たとえば、前述の問題のあるサイトをふるいにかけると、/ wp-includes /ディレクトリに悪意のあるファイルが見つかりました。 それぞれが、そのディレクトリ内の他の正当なファイルの名前と変更日を模倣した.phpファイルでした。 さて、ファイルがずっとそこにあったように見えるように、ファイルが何らかの形でバックデートされた可能性があります。 しかし、それを額面通りに考えると、休止状態のマルウェアのケースがあったように思われます。 特定の日時にペイロードを配信するコンピュータウイルスと同じように、この悪意のあるコードは「呼び出しを受信」して動作を開始した可能性があります。
重要なのは、間違ったプラグインを間違ったタイミングでインストールする可能性があるだけで、将来的に頭痛の種になる可能性があるということです。 最新の状態を維持することは素晴らしい戦略ですが、絶対確実ではありません。 最近、悪意のあるコードを意図的に配布しているプラグインをいくつか見るだけで、キャッチ22になっていることがわかります。
絶え間なく変化する風景
聞かれたら、数年前よりも今は仕事が上手だと言う人が多いと思います。 私たちはその新しい知識を学び、進化させ、私たちの仕事に適用します。 そのため、Webサイトを構築する際の選択肢も進化します。 私たちが使用するツールとテクニックが毎年同じになることはめったにありません。
WordPressとそのエコシステムは、これと同じプロセスを経ていますが、はるかに速いペースです。 昨日の必須プラグインは、明日はほこりに変わる可能性があります。 不格好な更新が1つでもあると、ユーザーは大騒ぎになります。
したがって、数年前に構築してクライアントに渡したサイトでは、現在使用することを考えていないプラグインを実行している可能性があります。 古いことわざにあるように、「見えない、心の外」。
最新バージョンを使用しているだけでなく、もはや最良の選択ではなくなったアイテムを交換していることを確認するには、ある程度の注意が必要です。 残念ながら、この種の絶え間ない注意は、多くの設計者にとって常に実用的であるとは限りません。 私たちには常に時間があるわけではなく、クライアントはこれに専念するための予算を常に持っているわけではありません。 プラグインの交換は、場合によってはかなり大きな作業になる可能性があるという事実は言うまでもありません。 テーマはさらに難しい場合があります。
実際には、すべてがモグラたたきの巨大なゲームのようなものです。 時々、あなたの唯一の防御は、木槌を手に持って準備ができて、ポップアップする次の生き物を叩く準備をすることであるように思われます。 より良い方法が必要です。
これ以上何ができますか?
そのため、定期的に更新を適用し、追加のセキュリティ対策を講じています。 私たちは強力なパスワードを使用し、当サイトへの不正アクセスを可能な限り困難にするよう努めています。 それでも、私たちは絶え間ない攻撃に直面しています–そのいくつかは通り抜けます。
私はセキュリティの第一人者ではないことを認めます。 しかし、マルウェアなどをサイトから排除するために実行できるさらなる手順については、いくつか考えています。 少し頭がおかしい人もいるかもしれませんが、人類を救うのではなく、議論の火付け役になることを願っています。
プラグイン監査
これは私たちが日常的に行うことができ、実際にクライアントに請求することができるものです。 アイデアは、定期的に(おそらく、年に2〜3回)インストールされているプラグインを調べて、潜在的に問題のあるプラグインを取り除くことです。 放棄されたと見なされるプラグイン(少なくとも2年間更新がない)、またはWordPressプラグインリポジトリから完全に削除されたプラグインを探します。 その後、必要に応じて交換してください。
より良い情報へのアクセス
さらに良いのは、どのプラグインが古い/悪意のある/削除されているかを知らせてくれる大規模なサービスです。 開発者とサイト所有者は、この種のリソースをすぐに利用できることで大きなメリットを得ることができます。 WordPressエコシステム内で何が起こっているかを知るだけで、さらなる問題を回避するのに役立ちます。
ワイザーの決定を下す
私たちはしばしば、その特定の時点で最良の決定であると感じることを行います。 しかし、私たちはもっとうまくやることができます。 たとえば、プラグインを選択することは、多くの場合、問題の最も迅速な解決策を見つけることです。 しかし、最も迅速な解決策が常に最良の解決策であるとは限りません。 プラグインの品質を検証することは、機能と同じくらい重要です。 常に正しく理解できるとは限りませんが、変更ログやサポートフォーラムを確認することは、意思決定に大いに役立ちます。
ゲームを理解する
新しく構築されたサイトを立ち上げたとき、それは私たちの仕事が終わったという意味ではありません。 物事を安全に保つために、私たちは何が起こっているかに注意を払い続ける必要があります。 その一部は、何か問題が発生したときにメールで通知する自動セキュリティプラグインを使用している可能性があります。 しかし、それはまた、時々手動で周りを見回すことでもあります。 WordPressダッシュボードを確認し、サイトのファイル構造を調べて、疑わしいものを検索します。
プロアクティブホスティング
ほとんどのウェブホストはセキュリティを最優先事項にしていると思います。 しかし、それは改善の余地がないという意味ではありません。 私自身の経験から、ホストは問題が発生した後、問題に反応することが多いようです。 セキュリティへのアプローチにおいてより積極的なホストから利益を得ることができると私は信じています。 たとえば、最新のセキュリティ脅威に関する情報と、それらに対してサイトを強化する方法についてクライアントに警告します。
クライアントをトレーニングする
最後に、WordPressのすべきこととすべきでないことについてクライアントをトレーニングすることが重要です。 サイトのバックエンドにアクセスする場合は、プラグインをインストールしたり、アカウント情報を他の人に提供したりすることの潜在的なリスクを知っておく必要があります。 彼らは自分たちのサイトを安全で健全な状態に保つために大きな役割を果たしています。
常にターゲット
WordPressは非常に広く使用されているため、なぜハッカーの標的になったのかは不思議ではありません。 残念ながら、これはその大きな成功のすべてに伴うものです。
そのため、セキュリティ慣行に関しては、全員がレベルアップする必要があります。 理想的には、それは定期的なサイト検査、そして最も重要なことに、重要な情報へのアクセスを意味します。 知識はあらゆる挑戦の鍵です。 それがなければ、私たちはそのカーニバルゲームをプレイするのに永遠に行き詰まります。