HTML
 Computer >> コンピューター >  >> プログラミング >> HTML

WordPress 管理者を保護する方法に関するガイド

安全な WordPress 管理者: WordPress Web サイトでは、1 分間に 90,000 件を超えるハッキングの試みが行われていることをご存知ですか?これが意味することは、サイトの大小に関係なく、Web サイトに対するハッキングの試みが差し迫っていることです。セキュリティは、Web サイトの最大の関心事の 1 つです。

ハッカーは WordPress Web サイトをハッキングするためにさまざまな手法を使用しますが、ブルート フォース攻撃はそのような手法の 1 つです。これには、Web サイトのログイン ページで一般的に使用されるユーザー名とパスワードの組み合わせを試すことが含まれます。

ブルート フォース攻撃が成功すると、WordPress 管理者にアクセスできるようになります。 WordPress 管理エリアは、WordPress を利用した Web サイトの管理センターです。管理者へのフル アクセス権を持つユーザーは、サイトを完全に制御できます。したがって、WordPress 管理者をブルート フォース攻撃から保護することが重要です。

WordPress 管理者を保護する方法

サイトの WordPress 管理者をハッキングの試みから保護するのに役立つ多くの手法を考え出しました。

1.強力なパスワードを使用する

Web サイトの所有者が犯す最も一般的な間違いの 1 つは、脆弱なパスワードを使用することです。何年にもわたって、パスワード クラッキング技術は成熟してきました。推測しやすいパスワードは、数分以内にクラックされます。強力なパスワードは、巧妙なパスワード クラッキング技術からサイトを守るのに役立ちます。 WordPress サイト用の非常に強力なパスワードを作成する方法については、こちらの記事をご覧ください。

ただし、強力なパスワードを覚えておくことは問題になる可能性があります。この投稿では、強力な WordPress パスワードを管理する方法について説明します。

多くの人が犯すもう 1 つの非常によくある間違いは、複数のサイトで同じパスワードを使用する場合です。 1 つのパスワードが侵害されると、そのパスワードに関連付けられているすべてのアカウントが侵害されます。したがって、アカウントごとに異なるパスワードを使用すると、この状況を回避するのに役立ちます。

2.一般的なユーザー名の使用を避ける

WordPress のパスワードを保護することは、WordPress のログイン資格情報を保護するための重要なステップです。ログイン資格情報の 2 番目のコンポーネントはユーザー名です。ユーザー名が推測しやすい場合、ハッカーはパスワードだけに集中する必要があります。

最も一般的な WordPress ユーザー名の 1 つは「admin」です。数年前まで、WordPress は「admin」をユーザー名として自動提案していました。 WordPress は「admin」の推奨をやめましたが、多くのサイト所有者はまだそれを使用しています。ユーザー名として「admin」を使用して、いくつかの新しいユーザー アカウントが作成されています。これらの Web サイトはすべて、自分自身を簡単なターゲットにしています。

WordPress は一意のユーザー名の使用を強制しないため、共通のユーザー名を使用しているユーザーがいないこと、および「admin」で新しいアカウントが作成されていないことを確認する必要があります。一般的に使用されるユーザー名のこの完全なリストを見て、避けるべきユーザー名を確認してください。

3. WordPress ログイン ページを非表示にする

WordPress Web サイトは、あらかじめ決められた方法で動作します。適切な例として、すべての WordPress Web サイトには、「www.anysite.com/wp-admin」 のようなデフォルトのログイン ページが付属しています。 これにより、ハッカーは複数のターゲット WordPress サイトに対して同時に自動攻撃を仕掛けることができるため、ハッカーの仕事が容易になります。しかし、ログイン ページを変更して非表示にすると、サイトへのこの種の攻撃を防ぐことができます。

ログインページを変更し、プラグインが提案する URL を使用するために使用できるプラグインは多数あります。同じプラグインを使用している他の Web サイトが同じ URL を使用している可能性があります。また、ハッカーが URL の形式を知っている場合、ログイン ページを隠しても意味がありません。したがって、独自のカスタム ログイン ページ URL を作成できるツールを使用してください。

4. HTTP 認証の実装

WordPress 管理者を保護するために、wp-admin フォルダー全体をパスワードで保護できます。 wp-admin フォルダーには、WordPress ダッシュボードを強化する管理ファイルが含まれています。このフォルダにアクセスできるユーザーは、サイト全体を制御できます。パスワードがフォルダー全体を保護している場合、誰かが管理セクションを要求するたびに、サーバーが認証プロセスを開始します。ブラウザーは、ユーザーに HTTP 認証パスワードを要求します。 HTTP Auth、AskApache Password Protect など、WordPress 管理者に HTTP 認証を実装するために使用できるツールは多数あります。

WordPress 管理者を保護する方法に関するガイド
WordPress で有効になっている HTTP 認証ログインページ

5. Google 認証システムを使用

最近、Web サイトのハッキング技術がますます巧妙になっているため、強力なユーザー資格情報とともに、別のログイン保護レイヤーを追加するのが一般的です。この手法は、2 要素認証 (2FA) と呼ばれます。この方法では、自分だけがスマートフォンで受信できるコードを送信します。 WordPress ダッシュボードへのアクセスが許可される前に、サイトに一意のコードを入力する必要があります。このアプローチの利点は、ハッカーがあなたの資格情報を解読できたとしても、あなたのデバイスだけに送信されたコードが必要であることです。

WordPress 管理者を保護する方法に関するガイド
に送信されたパスコードを入力する必要がありましたスマートフォンから WordPress ダッシュボードにアクセス

2 要素認証に使用できる WordPress プラグインは多数あります。 Mini Orange を使用してサイトで 2FA を有効にし、WordPress 管理者を保護し、同じガイドを作成しました。

6.ログイン試行の失敗回数の制限

ブルート フォース攻撃を受けた Web サイトでは、何百回ものログイン試行の失敗が発生します。 WordPress 管理者に対するこの執拗な猛攻撃を防ぐために、サイトでのログイン試行の失敗回数を制限できます。 MalCare セキュリティ プラグインは、ログイン試行が 3 回失敗すると、ユーザーがログインを試みるのを防ぎます。 WordPress ログインページへのアクセスを再度許可するには、CAPTCHA を解決する必要があります。これは、ユーザーが人間であるか、サイトでブルート フォース攻撃を実行しようとしている自動化されたボットであるかを判断するのに役立ちます。

WordPress 管理者を保護する方法に関するガイド
ボットは画像ベースをバイパスできませんキャプチャ

7. SSL証明書をインストール

当サイトのURLを見てください!横に「セキュア」と書かれた緑色の錠前が見えますか?私たちのサイトには SSL 証明書がインストールされているため、誰もスヌープしてユーザーのログイン資格情報を読み取ることはできません。 SSL 証明書のない Web サイトは、無意識のうちにサイトの機密情報を公開する危険があります。

WordPress 管理者を保護する方法に関するガイド
この Web サイトには SSL 証明書がインストールされています

昔は、SSL 証明書は支払いページまたは WordPress 管理エリア用でした。しかし現在、SSL 証明書はサイト全体を保護するのに役立ちます。 Web をより安全な場所にするための取り組みにおいて、Google は SSL 証明書がランキング要因であると明確に述べています。 Comodo、Let's Encrypt などのプロバイダーから SSL 証明書を取得できます。Web ホストは、サイトでの証明書のセットアップを支援します。

8.悪意のある IP アドレスをブラックリストに登録

インターネットを利用する人は誰でも IP アドレスを持っています。 WordPress Web サイトに攻撃を仕掛けるハッカーでさえ、IP アドレスを持っています。これらの IP アドレスを記録しておくと、サイトへのアクセスをブロックできます。 MalCare – 最高の WordPress セキュリティ プラグインの 1 つで、サイトで失敗したログイン試行の詳細 (IP アドレス) を提供します。 If you observe a lot of failed attempts are being made from the same IPs almost regularly, you can block these suspicious IPs from accessing your websites by simply placing the following codes in our .htaccess file:

order allow,deny 

deny from 192.168.20.10 

allow from all

“192.168.20.10” is the IP address we wanted to block on one of our sites. You can replace it with the IP you want to block.

9. Change Security Keys

You don’t have to enter your login credentials every time you need to log in to your site. Ever wondered how your browser stores these credentials? After you sign into your account, your login information is stored in an encrypted manner in the browser cookie. Security keys are just random variables that help improve this encryption. If your site is hacked, changing the secret keys will invalidate cookie and force every active user to log out automatically. Once thrown out, the hacker losses access your WordPress admin.

WordPress 管理者を保護する方法に関するガイド
Changing security keys with MalCare Security Service

Over to You

There is no one way to secure a WordPress admin hence be sure to use multiple methods. We shared with you some of the most recommended ways to secure WordPress admin. But before implementing any of these methods, you must back up your site. If something goes wrong, you can simply restore a backup and get our site up and running in no time.

Besides these, you can take a few more security measures like IP blocking, protecting the login page, securing site with wp-config.php, following this complete guide on WordPress security, and by installing a WordPress security plugin like MalCare.

MalCare will help you implement some of the measures we have mentioned above. For instance, MalCare Security Plugin will help you change security keys, limit the number of failed login attempts, keep your website update, among other things.

Try MalCare Security Plugin Right Now!


  1. WordPress で PHP のバージョンを更新するには? (初心者向けガイド)

    PHP は、Web 開発者が動的な Web サイトを作成するために使用するサーバー側のスクリプト言語です。 WordPress、Joomla、Drupal、その他の一般的なコンテンツ管理システムはすべて PHP で記述されています。 1994 年に PHP が最初に作成されたとき、PHP は「Personal Home Page」の略でした。 」。現在は「PHP:ハイパーテキスト プリプロセッサ」と呼ばれていますが、 」。以下のボックスに PHP コードの例を示します。 <?php echo Welcome to the Malcare Blog!; ?> PHP は Web

  2. ハッカーから Joomla Admin を保護するには?ハッキングされた Joomla の発見と修正に関する詳細ガイド

    Joomla Admin Security - アカウントがハッキングされているかどうかを確認する方法 Joomla は、Web コンテンツをアップロードするための最も評判の高いコンテンツ管理プラットフォームの 1 つに成長しました。さらに、その結​​果、ハッカーが Joomla に基づく企業や施設を標的にする共通の基盤となっています。ハッキングされた Joomla アカウントを操作している、または Joomla 管理者のセキュリティが侵害されていると思われる場合は、それを特定するための手がかりとヒントがあります。これらの手がかりを知ることで、ハッキングされた Joomla アカウントを操作