WordPressをハッカーや攻撃者から守る13の方法

ウェブドメインとホスティングサービスに料金を支払うと、まるで物理的な不動産を購入するかのように、インターネット上に自分だけの小さなプライベート空間が確保されるという誤解が未だに残っています。しかし、自宅や職場に侵入されるリスクがあるように、ウェブサイトの所有者もセキュリティ侵害のリスクにさらされているのです。

アメリカ人の73%が何らかのサイバー犯罪の被害に遭い、47%がハッカーによって個人情報を漏洩されたことがあることをご存知ですか（Stopthehacker.com）。 たくさん オンラインセキュリティ侵害の被害に遭ったアメリカ人の数。

大企業、中小企業、個人、そして政府でさえ、誰もがリスクにさらされています。これは、ロシアが民主党全国委員会（DNC）と共和党全国委員会（RNC）の両方に侵入した最近の米国大統領選挙で明らかになりました。FBIは現在、サイバー犯罪を最優先事項の一つとしています。

サイバー犯罪から逃れられる人はいません。ウェブサイト所有者として、ハッカーからサイトを守る責任があります。ハッカーのスキル向上を考えると、これは非常に困難な課題に思えるかもしれません。しかし、特にWordPressサイトの所有者として、サイトを保護するために実行できる対策はまだあります。

WordPressサイトのセキュリティ保護

WordPress サイトをハッカーから保護するための重要な方法を以下に示します。

1. メールアドレスをログイン情報として使用する

メールアドレスはユーザー名よりもはるかに安全です。ハッカーはユーザー名を予測しやすいのに対し、メールIDはより一意です。いずれにせよ、WordPressのユーザーアカウントはすべて、ログイン認証に使用できるメールアドレスを使用して作成されます。

2. ウェブサイトのロックダウンを設定する

正しいユーザーIDやパスワードを思い出せず、何度もログインに失敗してアカウントにログインできなくなった経験はありませんか？ロックダウンの被害に遭うのは面倒かもしれませんが、これはセキュリティ対策として重要なものです。ウェブサイトにウェブサイトロックダウンを設定すると、ブルートフォース攻撃を防ぐことができるため、非常に便利です。侵入者をロックアウトするだけでなく、不正なアクティビティがあった場合に通知を受け取ることができます。

iThemes Securityという、サイトのロックダウン対策の設定に役立つプラグインがあります。ログイン失敗回数に制限を設け、侵入者のIPアドレスをブロックすることができます。

3. URLを変更する

ログインページのURLがわかれば、ハッカーは総当たり攻撃でシステムへの侵入を容易にします。ハッカーは、ユーザー名とパスワードの組み合わせが何百万通りも登録されている推測データベース（GWDb）を使ってログインを試みます。

ログインURLを変更すると、権限のないユーザーによるログインページへのアクセスを完全に防ぐことができます。「wp-login.php」を「login_now_admin」など、よりユニークなURLに変更するだけで、ほぼすべての直接的なブルートフォース攻撃の脅威を排除できます。

4. 2要素認証を活用する

これはログインを保護するための一般的な方法になりつつあり、Google やオンライン バンキング サイトなどのアカウントでは既に使い慣れているかもしれません。

ウェブサイトの所有者として、ユーザーがアカウントにログインするために提供する必要がある 2 つのログイン詳細 (電子メール アドレスと電話番号、パスワードとセキュリティの質問など) を決定します。

5. WordPressを最新の状態に保つ

WordPressはオープンソースコードであるため、バグの除去やセキュリティ問題の修正など、常に改善が行われています。常に最新バージョンのWordPressを使用するには、通知が表示されたら更新することが重要です。更新されていないサイトは脆弱なサイトです。

8. 使用していないプラグインとテーマを削除する

論理的に言えば、プラグインやテーマを使用していないのであれば、アップデートすることはないはずです。つまり、脆弱性を冒すことになります。ですから、そのリスクを冒すのではなく、プラグインを完全に削除しましょう。「無効化」と「削除」は同じではないことに注意してください。

8. サイトを定期的にバックアップする

万が一、公開サイトに何かトラブルが発生してデータが失われた場合、バックアップを取っていなかったことを後悔することになるでしょう。定期的に更新するオフサイトバックアップを必ず用意しておきましょう。バックアップ作成に役立つプラグインがいくつかあります。

9. WordPressのバージョン番号を削除する

ハッカーがWordPressのバージョンを知っていると、サイトへの攻撃において大きなアドバンテージとなります。バージョン番号を非表示にするオプションがあり、サイトのバックアップに使用できるプラグインもこの機能に役立ちます。

10. SSLを使用してデータを暗号化する

SSLはSecure Socket Layer（セキュア・ソケット・レイヤー）の略です。SSL証明書は、サーバーとユーザーのブラウザ間のデータ転送を保護し、ハッカーによる妨害を困難にします。

WordPressサイト用のSSL証明書はホスティングサービスから簡単に購入できるだけでなく、GoogleのアルゴリズムによってSSL認証済みのサイトは検索結果ページの上位に表示されるため、双方にとってメリットがあります。

11. 管理者のユーザー名を変更する

ユーザー名を「admin」のままにしておくと、ハッカーにとって非常に簡単にアクセスできてしまいます。GWDbsのリストの一番上に表示されています。もっと分かりやすい名前に変更しましょう。

上記の iThemes Security プラグインは、この特定の問題に役立ちます。「admin」というユーザー名でログインしようとするすべての IP アドレスを即座に禁止するためです。

12. パスワードを調整する

パスワードをシンプルで簡単なものにしておくと、ログインするたびにパスワードを調べる必要がなくなるので、あなたにとって（そしてあなたの記憶にとっても）楽になるかもしれませんが、それがあなたにとって簡単なら、ハッカーにとっても簡単になります。

パスワードは定期的に変更し、大文字、小文字、数字、特殊文字を組み合わせてください。ユニークなパスワードを作成するためのサポートが必要な場合は、こちらをご覧ください。 パスワードジェネレーター 気の利いた解決策です。

13. セキュリティスキャナプラグインをダウンロードする

ウェブサイト上で起こるすべてのことを監視することで、サイトの安全性がどの程度確保されているかを把握でき、安心できます。WordPressは無料のセキュリティプラグインを提供しています。 Sucuriスキャナー 失敗したログイン試行、マルウェアスキャン、その他のファイル監視を追跡します。

結論

WordPressサイトをサイバー犯罪から守るための適切なセキュリティ対策を講じることは難しくありません。これらのヒントをすべて実践し、攻撃のリスクを最小限に抑えましょう。WordPressサイトのセキュリティ確保についてご不明な点がございましたら、お気軽にお問い合わせください。 ブライトベッセル お手伝いいたします。

弊社では、 WordPressホスティング管理 そして WooCommerce ホスティング管理 上記のすべてに対応いたしますので、ご心配は無用です。今すぐ561-935-6418までお電話ください。