WordPress のセキュリティ アップデート (完全ガイド)

WordPress Web サイトにセキュリティ更新を安全に実装する方法を知りたいですか?

セキュリティアップデートは非常に重要です。更新の実装が遅れると、Web サイトがハッキングされる可能性があります。しかし、多くの場合、更新によって互換性の問題が発生し、Web サイトが壊れる可能性があります。

これはキャッチ 22 の状況です。

幸いなことに、サイトを壊さずに更新する方法があります。ステージング サイトを使用して更新をテストし、ライブ サイトに実装するだけです。

この記事では、ウェブサイトを安全に更新するプロセスのすべてのステップについて説明します。

TL;DR: Web サイトを安全に更新するには、BlogVault Backup &Staging Plugin を使用してください。ライブ サイト (ステージング サイトと呼ばれます) のコピーが作成されます。ステージング サイトでは、ライブ サイトに影響を与えることなく、WordPress、テーマ、およびプラグインの更新をテストできます。すべてがうまく機能することに満足したら、ステージングからライブ サイトに変更をマージできます。

セキュリティ更新プログラムとは?重要な理由

アップデートとは、古いソフトウェアを置き換える新しいバージョンのソフトウェアです。他のソフトウェアと同様に、WordPress とそのテーマ、およびプラグインも定期的に更新されます。

アップデートには、セキュリティ パッチ、バグ修正、新機能、互換性、パフォーマンス アップデートの 5 種類があります。

すべての更新はサイトにメリットをもたらしますが、セキュリティ更新は最も重要なものです。

これは、ソフトウェアがどれだけうまく構築されていても、ウェブサイトのハッキングに悪用される可能性のある脆弱性が時間の経過とともに発生する傾向があるためです。 ソフトウェアの開発者がそれを知ると、すぐに脆弱性を修正し、セキュリティ アップデートに関するパッチ通知をリリースします。

サイトの所有者がプラグイン、テーマ、または WordPress コアの更新を延期すると、脆弱性が残り、ハッカーに悪用される可能性があります。したがって、ウェブサイトを最新の状態に保つことが重要です。

WordPress のセキュリティ更新の重要性を理解するには、WordPress Web サイトに影響を与える一般的な WordPress の脆弱性に対処する必要があります。

WordPress の一般的な脆弱性:

最も一般的な WordPress の脆弱性は次のとおりです:

i. SQL インジェクションの脆弱性

すべての WordPress Web サイトには、連絡先フォーム、コメント セクション、検索などの入力フィールドがあります。これらのフィールドは、多くの場合、プラグインによって有効になります。訪問者がこれらのフィールドにデータを挿入すると、データは Web サイトのデータベースに保存されます。データベースを安全に保つために、入力フィールドは、データがデータベースに送信される前に検証およびサニタイズされることを保証します。

たとえば、連絡先フォームは、理想的には名前、電話番号、および電子メール アドレスを受け入れる必要があります。しかし、訪問者が入力したデータをサニタイズするように適切に構成されていないと、SQL インジェクションに対して脆弱になります。

これは、ハッカーが訪問者になりすまして、データベースに保存される悪意のあるコードを挿入できることを意味します。ハッカーは次のコードを実行して、データベースから情報を盗み、Web サイトにアクセスすることができます。

ii. クロスサイト スクリプティングの脆弱性

SQL インジェクションと同様に、プラグインはクロス サイト スクリプティングの XSS 脆弱性を開発する可能性があります。ハッカーはこの脆弱性を使用してサイトを制御しますが、訪問者からデータを抽出するためにも使用できます.

コメント プラグインのクロスサイト スクリプティングの脆弱性により、ハッカーが悪意のあるリンクをサイトに挿入できるとします。訪問者が悪意のあるリンクをクリックすると、ブラウザの Cookie にアクセスする許可を求めます。

訪問者には、Web サイトが許可を求めているように見える場合があります。このトリックに引っかかり、ブラウザの Cookie へのアクセスを許可する可能性が非常に高いです。 Cookie には、ログイン資格情報、電子バンキング資格情報などの機密情報が含まれています。

iii. 製薬会社のハッキング攻撃

製薬会社のハッキング エクスプロイトは、違法薬物の販売または宣伝に使用されます。

ハッカーは、プラグインやテーマ、またはサイトのコアの脆弱性を利用して、サイトへのアクセスを取得します。次に、あなたの最高ランクのページを見つけて、バイアグラ、シアリス、レビトラなどの違法薬物の広告を挿入します。

まもなくあなたのページは違法な医薬品のランキングを開始します。

訪問者がサイトにアクセスすると、広告をクリックしてハッカーのサイトにリダイレクトされます。

製薬会社のハッキングは SEO の取り組みを乗っ取り、訪問者を遠ざけます。

iv. バックドア エクスプロイト

バックドアは、Web サイトの隠されたエントリ ポイントです。通常、海賊版のプラグインやテーマに含まれています。

多くの Web サイト所有者は、元のバージョンを購入する余裕がないため、海賊版ソフトウェアを使用しています。しかし、海賊版ソフトウェアには、多くの場合、バックドアがプリインストールされています。これは、サイトにソフトウェアをインストールすると、ハッカーのエントリ ポイントを提供することを意味します。

v. フィッシング攻撃

ハッカーはフィッシング エクスプロイトを使用して Web サイトにアクセスし、スパム メールを送信します。メールの目的は、人々をだましてクレジット カードや銀行の認証情報などの機密情報を共有させることです。

メール サービスには、強力なフィッシング対策が実施されています。あなたの WordPress サイトがスパムメールを送信していることが判明した場合、彼らはあなたのウェブサイトをブラックリストに載せます。

これらは、最も一般的な WordPress の脆弱性です。 あなたはそれらの中で実行中のテーマに気づいたに違いありません!サイトにインストールされているソフトウェアのセキュリティ上の脆弱性が原因です。

これは、セキュリティ アップデートがリリースされたらすぐに実装することがいかに重要かを示しています。

ただし、更新が頻繁に行われるため、追跡するのが難しいことは理解しています。次のセクションでは、最新情報を常に把握する方法を紹介します。

WordPress のセキュリティ更新は、無視できない最も重要な種類の更新です。クリックしてツイート

WordPress のセキュリティ アップデートを確認する方法

セキュリティ更新を確認するには、次の 2 つの方法があります:

<オール>

WordPress ダッシュボードから手動で確認 (単一のサイトに最適)

サイト管理プラグインを使用してチェックする (複数のサイトに最適)

1. WordPress ダッシュボードから手動で確認

WordPress Web サイトを手動で更新することは、単一の Web サイトの所有者に最適です。必要なことは次のとおりです。

→ Web サイトにログインします。

→ メニューから ダッシュボード> アップデート に移動します。

→ 更新ページでは、古いソフトウェア (コア、プラグイン、テーマ) と新しいバージョンの詳細がすべて表示されます。 [バージョンの詳細を表示] をクリックすると、 リンクをクリックすると、アップデートに関する情報が表示されます。アップデートに wp セキュリティ パッチが含まれている場合は、バージョンの詳細に記載されています。

→ 多くの場合、バージョンの詳細を見ると、開発者が 1 回の更新でさまざまな種類の変更を展開していることがわかります。 たとえば、最近更新したプラグインでは、更新によってバグと互換性の問題の両方が修正されることがわかりました。

→随時、アップデートにより新機能やセキュリティパッチが提供されます。これは少し難しいかもしれません。新しい機能が必要ない場合でも、WordPress を更新して脆弱性をなくす必要があります。

2. サイト管理プラグインを使用して確認

1 つのサイトの更新を追跡するだけでも十分に困難です。複数の Web サイトの更新を追跡するのは悪夢です。

しかし、BlogVault のようなプラグインを使用すると、単一のダッシュボードから複数の WordPress サイトの更新を確認できます.

→ BlogVault にサインアップして、あなたのウェブサイトをダッシュ​​ボードに追加してください。

→ 各サイトで保留中のプラグインとテーマの数がすぐにわかります。

→ アップデートの詳細を確認するには、ウェブサイトを選択する必要があります [管理] をクリックします。 .

→ その後、新しいバージョンをクリックするだけです 更新の詳細を表示します。

以上で、アップデートの確認方法は終わりです。では、セキュリティ アップデートを安全に実装する方法について詳しく見ていきましょう。

WordPress のセキュリティ アップデートを安全に実行する方法

セキュリティ更新を実行するには 2 つの方法があります。それらは:

<オール>

ステージング サイトでの更新 (安全)

ダッシュボードから直接更新する (危険)

Web サイトのダッシュボードから直接更新すると、Web サイトが破損することが知られています。壊れたサイトを修正して回復しようとすることは、困難で時間のかかるプロセスです。そのため、私たちはそれを避け、より安全な方法に焦点を当てます.

1.ステージング サイトでの更新

ステップ 1:WordPress ステージング サイトを作成する

ステージング サイトは、Web サイトの正確なレプリカです。

前述したように、更新によって Web サイトがクラッシュする可能性があります。ステージング環境は、ライブ サイトで更新を行う前に更新をテストするのに役立ちます。

ステージング環境の作成に役立つプラグインはたくさんあります。私たちのプラグイン BlogVault は無料の WordPress ステージング環境を提供し、セットアップは非常に簡単です。

既に BlogVault にサインアップしており、ダッシュボードに Web サイトを追加しているとします:

→ ステージング に移動 セクションを開き、[ステージングを追加] をクリックします。 .

→ BlogVault で、バックアップと PHP のバージョンを選択するよう求められます

→ステージングサイトの作成には数分かかります。準備ができたら、更新のテストを開始できます。

ステップ 2:ステージング サイトで更新をテストする

更新をテストするには、作成したステージング サイトにログインする必要があります。ステージング サイトの URL は次のようになります - https://yoursite.d.wpstage.net/

通常のユーザー資格情報を使用して、ステージング サイトにログインできます。しかし、ステージング URL を開くと、パスワードで保護されていることに気付くでしょう。ステージング サイトを非公開にし、一般ユーザーや検索エンジンがアクセスできないようにするためのパスワードがあります。

BlogVault ダッシュボードに戻って、ユーザー名とパスワードを取得する必要があります ステージングから セクション。ステージング サイトにアクセスするために使用します。

→ ステージング サイトのログイン ページに移動するには、/wp-admin/ を追加する必要があります 次のようなステージング URL の最後に https://yoursite.d.wpstage.net/wp-admin

→ 通常のユーザー資格情報を使用して、WordPress ダッシュボードにログインします。

→ 更新を実装するには、ダッシュボード> 更新 に移動します。

→ 更新ページでは、古いソフトウェアと新しいバージョンの詳細がすべて表示されます。アップデートを実装するには、プラグイン、テーマ、またはコアを選択するだけです [更新] をクリックします。 ボタン。

→ 更新を実装したら、ウェブサイトが正常に機能しているかどうかを確認する必要があります .すべての重要なページと機能を確認することをお勧めします。これには、ホームページ、ブログ、カート ページ、チェックアウト ページなどが含まれます。

準備ができたら、次のステップに進みます。

Step 3:Update Live Site

If you find that the updates did not cause any harm to your site, you can proceed to make the same updates on the live site.

You don’t have to log in to your live site and implement the updates again. You can simply merge the staging site with the live one.

→ On the BlogVault dashboard, go to the Staging section and click on Merge .

→ BlogVault will start syncing the live site with the staging site. In the end, it’ll generate a page where you can view the differences between the staging site and the live site. You don’t have to merge the entire site. Just select the plugins, themes, and the core that you just tested and click on Next.

→ Then enter your FTP credentials and your staging site will be merged with the live one.

注: If you don’t know what your FTP credentials are, you can find them out with the help of these videos or by reaching out to your WordPress hosts and its hosting platforms.

With that, we have come to the end of how to safely implement updates.

Updates can break websites hence it’s important to learn how to update site security. This is exactly what this article taught me.クリックしてツイート

次は?

As we mentioned earlier, software updates will fix any vulnerabilities and help in keeping your site safe from hackers and bots. But software vulnerabilities are not the only threat that a WordPress website faces. There are other vulnerabilities that a hacker can use to break into your website. Take, for instance, weak user credentials.

To protect your website from all types of vulnerabilities and hack attacks (like DDoS attacks, brute force attacks, etc), we suggest using a WordPress updates and WordPress security plugin like MalCare.

The plugin will protect your site with a firewall and limit login attempts with login protection measures. It’ll help you implement site hardening measures. And scan your site on a daily basis. If any malicious activities are detected, you’ll be informed about it immediately.

Install MalCare to Protect Your Site 24×7