典型的なWordPressのインストールを保護するための10の主要な方法
公開: 2016-02-2010年以上の間に、WordPressは、新しいコンテンツ管理システムからオンラインで最も使用されているソリューションに進化しました。 この悪名は、一般的に言えば、コミュニティ全体に有効であり、現在利用可能なコンテンツ管理システムの開発者の最大のグループにつながっています。 CMSは、主にそのサイズ、範囲、およびオンラインパブリッシングへの影響により、変化、進化、および高度化しています。
しかし、WordPressが悪意のあるハッキングの試みやプライバシーの侵害の定期的な標的となるのは、まさにそれらのことです。 ハッカーは、独立したWebサイトや主要なメディアでCMSが急増していることに注目しており、ダッシュボードやWordPressデータベース自体にアクセスするための多数の脆弱性を悪用しています。
ありがたいことに、WordPressユーザーは、ますます悪意のあるオンライン環境で単に「アヒルに座っている」だけではありません。 WordPressインストールのセキュリティを劇的に改善し、ハッカーがWebサイトのコンテンツ、データベース、および全体的な信頼性を乗っ取ろうとするのを阻止するためにできることはたくさんあります。
1.WordPressデータベースプレフィックスを変更します
デフォルトでは、すべてのWordPressインストールは、テーブルを「wp_」プレフィックス付きのMySQLデータベースに配置します。 WordPressは「WP」と略されることが多く、これらのテーブルがどのCMSに属しているかについて混乱がないため、これは通常、より直感的にするために行われます。
ただし、インターネットのより悪質なユーザーは、WordPressがデフォルトでこのプレフィックスを使用してコンテンツをテーブルに配置することを知っています。これは、インストールに侵入したり、外部からソフトウェアのデータベースに問題を引き起こしたりする最初の方法の1つです。
プレフィックス自体は、インストールプロセスが発生する前にwp-config.phpファイルに設定されます。 そのとき、WordPress Webサイトの所有者は、構成ファイルをスクロールして、次の行を探す必要があります。
$ table_prefix = 'wp_';
この行は、実質的にデフォルトのプレフィックス以外のものに変更する必要があります。 Webサイトのタイトルやプライマリ管理者の名前などを選択することは、インストールを保護し、インターネット上の悪意のあるハッカーを防ぐための優れた最初のステップになる可能性があります。
2.WordPressインストールのバージョン番号を公開しないようにする
すべてのWordPressテンプレートには、基本的なWordPress情報を表示し、プラグインを介してヘッダーを継続的に変更できるようにする変数が付属しています。 その変数は<?php wp_head() ?> <HEAD>あり、 header.phpファイルの開始タグと終了タグの間に常に配置されます。 この変数によって実行される主なことの1つは、現在のWordPressインストールのバージョン番号を公開することです。
これは、Automattic開発チームが分析目的で実際に使用します。これにより、Automattic開発チームは、どのバージョン番号が最も使用されているか、および非現在のユーザーが多数いるかどうかを確認できます。
また、ハッカーはWordPressインストールのバージョン番号を確認し、それに応じて攻撃を計画することができます。 WordPressのセキュリティの脆弱性は一般にバージョン固有であり、以降のバージョンで修正されるため、バージョン番号を示す古いインストールは、ダッシュボードまたはデータベースへの不正アクセスを希望するユーザーによる攻撃に適しています。
この情報は、「wp_head」変数から削除でき、削除する必要があります。 これは、現在のテーマのfunctions.phpファイルに次のコード行を追加することで実行できます。
remove_action( 'wp_header'、 'wp_generator');
そのファイルを保存してサーバーにアップロードすると、WordPressのインストールが現在のものか、古いものか、ベータ版であるかは誰にもわかりません。 公に宣伝されるものはありません。
3.失敗したログイン試行の数に制限を設定します
通常、悪意のあるインターネットユーザーは、数万のパスワードをすばやく入力する「ブルートフォース」攻撃を通じてWordPressダッシュボードにアクセスします。 この攻撃は、ユーザーのセキュリティクレデンシャルを把握するために、辞書の単語と一般的な番号を使用するように見えます。 これらの繰り返される試みに対する適切なブロックがなければ、実際にそれらを止めるものは何もありません。
そこで、Login LockDownプラグインが登場します。このプラグインを使用すると、WordPressユーザーは、ダッシュボードから1時間本質的にロックアウトされる前に、失敗したログイン試行回数に制限を設定できます。 これらの失敗した試行はIPアドレスに関連付けられているため、このプラグインはさらに効果的です。
4.管理者は自分自身を「管理者」と名付けるべきではありません
組み込みのインストーラーからWordPressをインストールする場合、管理者ユーザーは通常、デフォルトで「 admin 」という名前になります。 悪意のあるインターネットユーザーはこれを知っており、WordPressダッシュボードへのブルートフォースアクセスを取得するときに推測しようとする最初の名前です。
WordPressを初めてインストールするときは、管理者ユーザーに推測しにくい名前(ニックネームなど)を付けてください。 ブルートフォースパスワード攻撃は、管理者のユーザー名がわかっている場合にのみ有効です。 そうでない場合、アクセスを取得することは二重に不可能になります。
5. WordPressを常に最新の状態に保ち、それについて迅速に対応する
WordPressの新しいバージョンは通常、数週間ごとにリリースされ、マイナーアップデートとセキュリティパッチが提供され、インターネット上のダッシュボードやデータベースをますます標的にしているハッカーからユーザーを保護します。
WordPressを最新の状態に保つことに失敗することは、本質的に、ハッカーに侵入し、いくつかの投稿を削除し、Webサイトのセキュリティを危険にさらすためのオープンな招待を与えるようなものです。 これらの更新に遅れをとることは本当に悪いことです。特に、変更されていないテーマでは、心に確認するためのバージョン番号が表示されるためです。
バージョン3.0以降、WordPressはワンクリックでダッシュボードの自動更新を可能にしました。 実際、ダッシュボードはユーザーに更新を自動的に通知し、かなり太字で目立つテキストでアップグレードするようにユーザーに促します。 これは、アップグレードが利用可能になり次第実行する必要があります。 ファイル、プラグイン、テーマ、または設定が失われることはありません。
代わりに、WordPressの更新は、前回のバージョンがソフトウェアの6000万人のユーザーに送信されてから発見された新機能とパッチセキュリティの脆弱性を有効にするためにのみ機能します。 ハッカーをかわそうとして、常に最新の状態を保ちます。
6.事実上すべてのインターネットユーザーからWP-Config.PHPファイルを非表示にします
WordPressユーザーは、ファイルを非表示にし、WordPressダッシュボードとデータベースの整合性を保護しようとするときに、 .htaccessファイルの機能を決して忘れてはなりません。 実際、このファイルは、さまざまな方法でWordPressの長期的なセキュリティを確保するために不可欠です。 数行の簡単なコードを使用すると、「。htaccess」ファイルは、適切なファイル権限がそのファイルに設定されていない場合でも、実際にはパブリックインターネットユーザーからファイルを完全に隠すことができます。
これは、「wp-config.php」ファイルを公開表示するためのソリューションです。このファイルには、インストールを危険にさらすために必要なAPIキーやデータベースプレフィックスなどが含まれています。
悪意のあるインターネットユーザーからこのファイルを保護するには、WordPressインストールのルートフォルダー内にある「.htaccess」ファイルに次のコード行を追加するだけです。 そのようなファイルが存在しない場合は、次のファイルを作成します。
<ファイルwp-config.php> 注文許可、拒否 すべてから否定する </ファイル>
このコード行をファイルに配置したら、ファイルを保存して、FTPクライアントを介してサーバーにアップロードします。 関連するWordPressインストールの構成ファイルは、基本的にパブリックビューから消えます。これは、セキュリティと安心のためにのみ良いことを意味します。
7.そして、ファイルのアクセス許可について言えば、セキュリティを確保するためにそれらをチェックします
WordPressは、正しく機能するために、ファイルへのアクセスと変更に非常に寛容なルールを必要としません。 実際、サイトのすべての設定とコンテンツ情報は、サーバー側のPHPファイルに保存されるのではなく、データベースに書き込まれます。 このため、WordPressファイルで777CHMOD値を使用する理由はまったくありません。 代わりに、これは、ハッカーがインストールを危険にさらす可能性のある構成設定やその他のファイルに簡単にアクセスできるようにするための単なる方法です。
アクセス許可を確認し、より安全なインストールのためにアクセス許可を修正するには、FTPクライアントを開き、ルートのWordPressディレクトリに移動します。 PHPファイルを右クリックして、権限に関連するメニューオプションを探します。 表示されるウィンドウで、ファイルの可用性を示す番号を探します。 確かに777であってはなりません。 多くの場合、ファイルへのアクセスと変更をサーバーのルートFTPユーザーのみに制限する744CHMOD値を使用することをお勧めします。 必要に応じてこの設定を変更し、保存してください。 サーバーはそれに応じて更新されます。
8. .htaccessファイルを使用して、.htaccessファイルを非表示にします
ほとんどの人はこれを可能性とは考えていませんが、実際には.htaccessファイルを使用して自分自身を一般に公開することはできません。 ピリオドで始まるファイル名を使用することで、これはすでに大部分が達成されていますが、Windowsベースのコンピューターでは機能しません。 これらのマシンは、「。htaccess」自体に含まれている命令を使用して、ファイルにアクセスできないことを検出する必要があります。 権限は、実際には、次のように、WordPressのPHP構成ファイルを非表示にするために使用される方法と非常によく似ています。
<ファイル.htaccess> 注文許可、拒否 すべてから否定する </ファイル>
この場合も、その行がファイルに配置されると、保存してサーバーにアップロードできます。 これで、root管理者ユーザーを除いて、サイトにアクセスする実質的にすべてのユーザーからは見えなくなります。
9.空白のHTMLドキュメントの力を理解して使用する
侵害されたWordPressインストールにアクセスしたい人は誰でも、ソフトウェアがプラグインとテーマを特定のディレクトリに配置することを知っています。 彼らはこれらのディレクトリをチェックして、セキュリティプラグインの欠如、またはXHTMLおよびCSSベースの脆弱性の数を探し、それらを悪用してアクセスを取得します。 これは実際にはかなり簡単に防ぐことができます。
これらのディレクトリ内のファイルリストがインターネットユーザーに表示されないようにするには、空白のHTMLドキュメントを作成してフォルダに配置するだけです。 ドキュメントはかなり基本的なもので、ヘッドタグと「アクセス制限」のようなタイトルが付いている必要があります。 このタイトルは、サイト管理者がセキュリティについて1つか2つ知っていることを示し、悪意のあるユーザーを他のWebサイトに誘導する可能性があります。
10.常に最新のバックアップを利用できるようにする
WordPressインストールのセキュリティに取り組む正しい方法は、それが一部の準備と一部の防止であるということです。
このプロセスの「準備」の側面は、バックアップの形で提供されます。 実際のWordPressファイルと情報の保存に使用されるデータベースの両方を定期的にバックアップする必要があります。 これは、ダッシュボード用のいくつかのWordPressプラグインなど、さまざまな方法で実行できます。
ファイルをバックアップするより高度な方法が必要な場合、ユーザーはcPanelまたはPleskPanelのバックエンド管理領域でバックアップツールを使用できます。 さらに、管理者はプロセスを自動化し、Cronジョブを作成して、最新のバックアップをいつでもすぐに利用できるようにすることができます。
WordPressのセキュリティで重要なことは、最悪のシナリオに常に備えることです。 悪意のあるハッカーによる攻撃を受けた場合でも、稼働時間と信頼性を確保することになると、セキュリティホールが閉じられた後、サイトのバックアップがオンラインに戻る最も簡単な方法です。
警戒とスマートな使用は、WordPressを安全にインストールするための鍵です
一般的に言って、WordPressは近年指数関数的に安全になっています。 しばらくの間、隔週で新しいセキュリティの脆弱性が発生したように見えました。 このパターンは、大規模でより多くの企業ユーザーにとって特に厄介であり、Automatticのチームはすぐに完全な再起動に取り掛かりました。
その再起動は主に3.0リリースであり、はるかに安全なアーキテクチャと自動更新ツールにより、最新のセキュリティパッチと修正を最新の状態に保つためのハードワークがなくなりました。
安全を維持することになると、これらのリリースは絶対に最新の状態に保つ必要があり、ユーザーは悪意のあるインターネットユーザーからの安全を維持するために、厳格な権限、制限、およびセキュリティトリックを採用する必要があります。