HTML
 Computer >> コンピューター >  >> プログラミング >> HTML

WordPress のセキュリティに関するよくある間違いとその修正方法

WordPress のセキュリティの間違い: WordPress Web サイトでは毎分 90,978 件のハッキングが試みられていることをご存知ですか?サイトがハッキングされると、ハッカーはそれを使用して、スパム メールの送信 (読み取り - フィッシング ハッキング)、他の Web サイトへの攻撃、スパム リンクの挿入、訪問者のリダイレクトなど、あらゆる種類の悪意のある活動を実行します。

これが、あなたのような WordPress サイトの所有者がセキュリティ上の懸念を真剣に受け止めなければならない理由です。 すべてのセキュリティ ニーズを解決できる特効薬はありませんが、多くのことを正しく行う必要があります。 インターネット上には、サイトを安全に保つためのアドバイスが無数にあります。それらのいくつかは相反するアドバイスであり、いくつかは時代遅れです.サイトの所有者が何をすべきか、混乱を招いてはならないかについて多くの意見があり、その混乱の中で間違いは避けられません.

サイトのセキュリティを維持することは、特に新しいサイト所有者にとって簡単な仕事ではありません。間違いを犯しがちで、一般的なハッキング攻撃に対して脆弱になる可能性があります. Web サイトの所有者が犯す一般的なセキュリティ上の過ちを知ることは、それらを回避するのに役立ちます。 そのため、ほとんどの WordPress サイト所有者が犯す間違いを防ぐことができるように、このリストを作成しました。

サイト所有者が犯す主な WordPress セキュリティの間違い:

以下の対策を講じる前に、WordPress のセキュリティ監査を実施することをお勧めします –

1. WordPress コア、プラグイン、テーマを更新しない

WordPress のコアとアドオン (つまり、テーマとプラグイン) を最新の状態に保つことは、優れたセキュリティ対策です。それらを更新すると、サイトに機能が追加されるだけでなく、脆弱性にパッチを当てるのにも役立ちます. WordPress が動作するエコシステムのおかげで、脆弱性に関するニュースが急速に広まり、ハッカーはこの状況を利用しようとします。 脆弱性にパッチを当てるのに役立つサイトを更新しないと、サイトは簡単に侵入できるようになります。

一部のサイト所有者は、更新がセキュリティにどのようにリンクされているかを知らないためにサイトを更新しませんが、互換性がないことを恐れている人もいます。 WordPress コアとそのアドオンを更新すると、WordPress Web サイトが壊れる可能性があります。

WordPress のアップグレードは、以前のすべてのバージョンと互換性があるように設計されています。したがって、サイトでバージョン 4.1 を実行している場合でも、最新バージョン (たとえば 4.9) に更新できます。しかし、あらゆる予防措置を講じたにもかかわらず、更新のたびに Web サイトのクラッシュのニュースがもたらされます。これは、最新の WordPress バージョン 4.9.6 の例です。

WordPress アドオン、つまりテーマやプラグインを更新するときに、同様の問題が発生することがあります。 多くの場合、テーマとプラグインで非互換性の問題が発生します。これは、開発者が急いで新しいアップデートをリリースしたか、開発者が無能だった可能性があります。 プラグインとテーマは非常に競争の激しい市場であり、残りのプラグインから際立つために、開発者は最短時間でより多くの新機能を追加するよう迫られています.バージョンが以前のすべてのバージョンの WordPress と互換性があるかどうかを確認するのに十分な時間が与えられないことがあります。そのため、誰かが非常に初期の WordPress バージョンを使用していて、最新のいくつかの WordPress バージョンでのみ機能するプラグインを更新すると、サイトが壊れます。

WordPress コアとアドオンの互換性の問題に関する懸念により、サイト所有者はセキュリティ更新をスキップする可能性があります。

これを修正する方法: ステージング サービスは、この問題を解決できます。 WordPress コアとそのアドオンのインストールをテストする目的で複製サイトを作成するプロセスは、ステージングと呼ばれます。 BlogVault のようなバックアップ サービスや、Kinsta のような Web ホスト プロバイダーでさえ、ステージング環境を提供しています。 Web ホストまたはバックアップ サービス (使用している場合) に問い合わせて、サイトをステージングするオプションがあるかどうかを確認してください。そうでない場合は、サイトをステージングできるサービスにサインアップしてください。

プラグイン、テーマ、およびコアを最新の状態に保つだけでなく、WordPress のソルトとセキュリティ キーを最新の状態に保つことを強くお勧めします。

2.低品質のアドオンの使用

すべての WordPress プラグインとテーマが適切に作成されているわけではありません。品質保証チェックを無視するものもあれば、アマチュア プログラマーによって開発されたものもあります。ユーザーが使用または購入するものに注意を払うことが重要です。しかし残念なことに、多くの WordPress ユーザーは技術的な知識を持っていないため、プラグインやテーマの良さを知ることができません.

これを修正する方法: このようなユーザーを支援するために、適切なテーマやプラグインを見つけるのに役立ついくつかの特徴をリストアップしました:

私。 信頼できる提供元からアドオンを入手してください WordPress プラグイン リポジトリや、Elegant Themes、Themeforest などの人気セラーなどです。

ii.アドオンがWordPress リポジトリで高い評価を持っていることを確認してください サイトでテーマ/プラグインを使用したことのあるユーザーによってレビューされます .簡単な Google 検索でレビューを見つけることができます。

iii. プラグインが長期間使用されていることを確認します 時の試練に耐えてきました。 WordPress リポジトリまたは公式 Web サイトにリストされているセキュリティ更新プログラムとバグ修正を探してください。

iv。 頻繁に更新するようにしてください また、最近の更新は 2 か月以内に行われています。

3.違法なプラグインとテーマの使用

多くの Web サイトでは、プレミアム テーマとプラグインを無料で販売しています。 これらの無料の製品を使用すると、WordPress アドオンの多くに意図的にマルウェアが挿入されているため、災害が発生する可能性があります。 これらの違法なアドオンをサイトにインストールすることは、ドアを開けてハッカーをサイトに招待するようなものです。攻撃者が、インストールしたばかりのテーマ/プラグインの不正なコードを使用してサイトに侵入すると、そのサイトを使用して、スパム メールの送信や他のサイトへの攻撃など、多くの悪意のあるアクティビティを実行します。さらに、サイトにマルウェアがあると侵害されたと見なされ、ホスティング プロバイダーが Google などのアカウント検索エンジンを停止してサイトをブラックリストに載せ、AdWords アカウントを停止します。

これを修正する方法: ThemeForest、Elegant Themes などの人気マーケットプレイスからオリジナルのテーマやプラグインを購入できます。セール期間中は、テーマやプラグインをはるかに安い価格で購入できます。選択したテーマまたはプラグインの公式 Web サイトを探すことができます。

4.未使用のプラグインとテーマをサイトに残す

未使用のテーマやプラグインを Web サイトに残しておくと、ハッカーがサイトに侵入する機会が生じます。多くのサイト所有者は、セキュリティ上の利点を認識していないため、アクティブでないアドオンを更新しません。彼らにとって、アップデートは新しい機能をもたらしますが、プラグインを使用していないため、新しい機能は必要ないと考えています。脆弱性にパッチを適用するための更新がリリースされた場合、サイトを更新するまで、サイトはリスクにさらされたままになります。

これを修正する方法: ここでの唯一の解決策は、非アクティブな WordPress テーマとプラグインを削除することです。方法は次のとおりです。

サイトの WordPress ダッシュボードから「インストールされたプラグイン」ページにアクセスします。

WordPress のセキュリティに関するよくある間違いとその修正方法

ページには、「非アクティブ」というオプションがあります。それを選択します。

WordPress のセキュリティに関するよくある間違いとその修正方法

非アクティブなプラグインを削除できる別のページに移動します .ただし、「非アクティブ」ボタンを押す前に、近い将来その特定のプラグインが必要ないことを確認することをお勧めします.

WordPress のセキュリティに関するよくある間違いとその修正方法

5.悪いウェブサイト ログイン方法の使用

2 つの一般的で非常に危険なログイン プラクティスは、推測しやすいログイン資格情報を使用することと、サイトが使用されていないときにログアウトしないことです。 攻撃者は、覚えやすいユーザー名 (admin など) とパスワード (password123 など) の組み合わせを使用してサイトにログインしようとするボットをプログラムし、サイトをハッキングします。 サイトをハッキングするこの独特の方法は、ブルート フォース攻撃と呼ばれます。

これを修正する方法: 固有のユーザー名とパスワード を使用することをお勧めします (推奨読書 - WordPress ログインページ保護ガイド)。ここでの欠点の 1 つは、一意の資格情報を覚えにくいことです。したがって、これらの資格情報を含むドキュメントを維持する必要があります。また、不正なアクセスを防ぐために、ドキュメントが暗号化されていることを確認してください。

6.すべてのユーザーに管理者アクセスを付与

すべてのユーザーを管理者にすることは、特にサイト所有者が個人的に知らないユーザーが多数いる Web サイトでは、悪い考えです。 WordPress では、サイトの所有者は次の役割をユーザーに割り当てることができます – 管理者、編集者、作成者、寄稿者、購読者、SEO マネージャー、SEO 編集者。

ユーザーにサイト全体への無制限のアクセスを許可すると、このケースで見られるように、OurMine (ハッカー グループ) によってハッキングされた TechCrunch (人気のある技術サイト) で見られるように、悪用につながります。ユーザー アカウントへのアクセスを取得した後、OurMine はサイトに投稿できるようになりました。これは、TechCrunch がハッキングされた後、読者が目を覚ましたときのホームページのスクリーンショットです:

WordPress のセキュリティに関するよくある間違いとその修正方法

これを修正する方法: WordPress の各ユーザー ロールは、サイトの特定の領域へのアクセスのみを許可します。サイトでユーザーに何をしてもらう必要があるかに基づいて、これらの役割を割り当てることができます。この原則に従うことで、信頼できる人だけがサイト全体にアクセスできるようになります。また、何か問題が発生した場合、誰が責任を負うかがわかります。

7.バックアップを取らない

バックアップはセーフティネットです。備えておかないと、災害時に困るかもしれません。サイトがハッキングされて投稿が削除された場合、バックアップを使用してサイトを通常の状態に簡単に復元できます。ただし、多くのバックアップ サービスは効率的ではないため、任意のバックアップ サービスを使用することはお勧めできません。 たとえば、多くのバックアップ プラグインはバックアップをウェブ サーバーに保存します。バックアップを 1 か所に保存するものもあります。 サーバーは通常のプロセスの実行に加えてバックアップの負担を負うため、Web サイトサーバーはバックアップを保存するのに理想的な場所ではありません。サイトの速度が遅くなります。バックアップを 1 つだけ保存するということは、バックアップを失った場合に、頼りになるバックアップが他にないことを意味します。

これを修正する方法: バックアップ サービスを選択する前に、機能をチェックして、バックアップの保存場所を確認してください。適切な情報が見つからない場合は、バックアップをどこに保存しているか、複数の場所に保存しているかどうかについて直接質問するメールを送信してください。信頼できるバックアップを選択する方法の詳細については、この投稿をご覧ください。

8.セキュリティ サービスを使用しない

多くの Web サイト所有者、特にトラフィックが少ない小規模な Web サイトを所有している所有者は、自分のサイトは重要ではないと考えているため、ハッカーの注意を引くことはありません。しかし、今日のハッカーには、小さな Web サイトを攻撃する理由がたくさんあります。ファイルの保存やスパムメールの送信などに使用されている可能性があります。 実際、多くのハッキング グループは小規模なサイトを攻撃することを好みます。小規模な Web サイトはセキュリティが緩く、ハッキングされやすいからです。 彼らは、ボットが正しいユーザー名と資格情報を推測してサイトに侵入しようとする大規模なブルート フォース攻撃を開始します。最も好まれるハッキング手法の 1 つは、脆弱なプラグインとテーマを利用することです。

これを修正する方法: 標準のセキュリティ サービスは、ハッカーによるサイトへのブルート フォース攻撃を防ぐのに役立つ WordPress ファイアウォールなどの重要なセキュリティ機能を提供します。

上記の対策を講じてサイトを修正する以外に、さらにいくつかのセキュリティ対策を講じることができます。このガイドに従うことを強くお勧めします – wp-config.php で WordPress サイトを保護します。

プラグインやテーマ、さらにはコアに脆弱性が発生するたびに、開発者はアップデートを通じてパッチをリリースします。したがって、すべてのテーマ、プラグイン、および WordPress コアを最新の状態に保つことは、優れたセキュリティ プラクティスです。 マルケア – 最高の WordPress セキュリティ プラグインの 1 つは、MalCare ダッシュボードからプラグイン、テーマ、および WordPress コアを更新できるサイト管理機能を提供します。 多くのウェブサイトを維持する必要がある人にとっては特に便利です。各 Web サイトにログインして、テーマ、プラグイン、およびコアを更新するのは、時間のかかる作業です。 MalCare のようなサービスにより、サイト所有者は優れたセキュリティ プラクティスに従うことが容易になります。

ファイアウォールとサイト管理に加えて、セキュリティ プラグインも毎日のスキャン サービスを提供します。ウェブサイトがマルウェアに感染している場合、プラグインはハッキングされたウェブサイトを修復するのに役立ちます.ウェブサイトのセキュリティを完全に管理するために、WordPress ウェブサイトのメンテナンス サービスを直接提供するチームに安心感を覚える場合は、WP Buffs が最適なオプションになります。管理している Web サイトが 1 つか 1000 かに関係なく、更新、セキュリティ、Web サイトの速度、進行中の編集を管理します。

次は?

優れた WordPress セキュリティ プラグインを使用することは、安全なウェブサイトを構築したり、WordPress を安全に保つための最初のステップです。その他のセキュリティ対策には、IP ブロック、ログイン ページの保護、WordPress のセキュリティに関するこの完全なガイドに従うなどがあります。 WordPress サイトを保護する方法

過去にこれらの過ちを犯したことがある場合、うまくいけば、投稿があなたが間違っていたこととそれらを修正する方法を理解するのに役立ちました.これらの WordPress のセキュリティ上の誤りとその修正に関する質問をお待ちしております。お問い合わせページからご連絡ください。


  1. WordPress サイトで未使用の CSS を削除 (または延期) する方法

    WordPress で使用されていない CSS を削除しますか? ウェブサイトを高速化しますか? Web サイト最適化の主な目標は、不要なコードを削除することです。これにより、Web サイト ページの合計サイズが縮小され、ページの読み込み時間が短縮され、訪問者のユーザー エクスペリエンスが向上します。 Web サイトのページのサイズを大幅に削減できる領域の 1 つは、スタイリングです。ウェブサイトのスタイリングは、カスケーディング スタイル シートと呼ばれるルールベースの言語によって制御されます。カスケーディング スタイル シートは、HTML や Javascript と並ぶワールド ワイ

  2. セキュリティ プラグインの Wordfence が自動的に非アクティブ化されましたか?修正方法

    多くの注目を集め、最近表面化した WordPress のセキュリティ問題は、Wordfence が自動的に無効化される問題です。この問題では、有名な WordPress セキュリティ プラグイン Wordfence が自動的に非アクティブ化/削除されます。ユーザーには電子メールで通知されます。 この攻撃の背後にある主な理由は、Jetpack プラグインをインストールしたことであり、ハッカーが侵害された資格情報を使用して Web サイトにアクセスできるドアである可能性があります. Jetpack が WordPress Web サイトに統合されている場合、Jetpack はサイト管理者アカウ