WooCommerce セキュリティ:オンライン ストアを安全に保つための 15 のヒント

WooCommerce は、30% の市場シェアで世界中の e コマース サイトをリードしています。これは、Squarespace、Shopify、Magento などの他のプラットフォームよりも優れていますが、それには正当な理由があります。 WordPress と WooCommerce を組み合わせることで、高レベルの機能性、カスタマイズ性、およびセキュリティをオンライン ストアにもたらします。

残念ながら、このプラットフォームの人気は、ハッカーにとって有利な標的にもなっています。 WooCommerce サイトがハッキングされた場合、ハッキングされたサイトの影響は、通常のサイトよりも深刻になります。これは、検索エンジンでのトラフィックとランキングを失うだけでなく、オンライン ビジネスに劇的な影響を与える顧客と売上を失う可能性があるためです。

そのため、組み込みのセキュリティにはある程度のレベルがありますが、WooCommerce ストアをあなたとユーザーにとって安全にするために必要な対策があります。また、何か問題が発生した場合でも、ビジネスに影響が及ばないように、ダウンタイムを最小限に抑えるシステムを導入する必要があります。

この記事では、WooCommerce Web サイトに存在するセキュリティ上の欠陥と、サイバーセキュリティの脅威に先んじるための手順について説明します。

TL;DR: WooCommerce サイトのセキュリティ ニーズは、通常のサイトとは異なります。これらの追加のニーズに対応するように設計された wp セキュリティ プラグインが必要です。 MalCare をインストールして、Web サイトの保護をプロアクティブに開始します。サイトを定期的にスキャンし、マルウェアを即座にクリーンアップできます。

WooCommerce セキュリティに関する 15 のヒント

WordPress でサイトを安全に保つために、さまざまなレベルのセキュリティを実装して強固なものにし、ハッカーが侵入する機会をなくします。 3 つのレベルに分けて説明します。

セキュリティ レベル 1

1.デフォルトのユーザー名「admin」を変更

ハッカーは、ブルート フォース攻撃と呼ばれる手法を使用して、ユーザー名とパスワードの組み合わせを推測しようとします。彼らはあなたのサイトに対して完全な権限を持っているため、管理者アカウントをターゲットにしています.

ユーザー名は「admin」のままにします 彼らがあなたのサイトに侵入するのをとても簡単にします。鍵をドアに置いたままにしておくようなものだと考えてください。

ユニークで推測しにくいユーザー名を作成します。 WordPress の管理者名を変更するには、[ユーザー]> [新規追加] に移動します .

必要な詳細をすべて入力しますが、必ず一意のユーザー名を使用してください。次に、新しいアカウントを作成し、[管理者] を選択します ’ 利用可能な WordPress ユーザー ロールから。

完了したら、wp-admin からログアウトする必要があります。新しいアカウントで再度サインインします。これで、以前の「admin」ユーザー アカウントを削除できます。 「admin」アカウントに関連付けられたすべての投稿は、新しいアカウントに転送されます。

2.強力なパスワードを使用する

脆弱なパスワードは、ハッキングの最も一般的な原因の 1 つです。ハッカーのブルート フォース攻撃を打ち負かし、一歩先を行くには、強力なパスワードを使用する必要があります。 wp-admin には、他のすべてのアカウントで使用するパスワードとは異なるパスワードを使用してください。このアカウント専用の一意のパスワードを保持し、他の場所では使用しないでください。

パスワードを強力にするための 3 つのセキュリティのヒントを次に示します。

• パスフレーズを使用する パスワードではなく。パスフレーズは、1 つの単語ではなく一連の単語です。たとえば、パスワードを 'computer' として設定する代わりに 、「thisismycomputer」 を使用する必要があります .
• 頭字語も使用できます。たとえば、BlogVault の John F Kennedy は jfk@bv になります。 .しかし、それでも非常に脆弱なパスワードです。

• 次に、Jfk@Bv123$ のように、常に文字、数字、および記号の組み合わせを使用する必要があります。 .しかし、まだ十分ではありません。

上記の 3 つのヒントを組み合わせることで、「ThisisJfk@Bv123$」のような非常に強力なパスワードを作成できます。 」。語句、頭字語、大文字、小文字、数字、記号が順不同で含まれています。

これで、推測しにくい強力なパスワードを取得できました。

セキュリティ レベル 2

1.ウェブサイトをバックアップ

セキュリティのヒントの下でバックアップ機能がどのように機能するのか疑問に思うかもしれません。これは、どのWebサイトでも実行する最も重要なことの1つです。通常のウェブサイトがダウンすると、それは悪いことです。 WooCommerce サイトがダウンすると悲惨です。顧客、注文、収益を失うことになります。

ウェブサイトがハッキングされた場合でも、すぐに復元してビジネスを再開できます。ただし、再びハッキングされないように、ハッキングの理由を突き止めて修正する必要があります。

バックアップの重要性を強調する理由は、WooCommerce サイトを所有している場合、機密性の高い顧客情報を扱っているためです。このようなサイトには、顧客の個人データ、取引の詳細、クレジット カード情報、支払い、および注文が含まれます。

この情報を失わないように、Web サイトのバックアップを維持することは絶対に重要です。

WooCommerce では頻繁に顧客や注文が発生するため、リアルタイムの WooCommerce バックアップ ソリューションを実装する必要があります。これにより、サイトで新しいデータが生成されると、すぐにバックアップされます。

さらに、バックアップが暗号化された形式で安全に保存されていることを確認してください。たまたまハッカーの手に渡った場合、ハッカーはそれをどうすることもできません。

WooCommerce データを失うことは重大な信頼の侵害であり、ビジネスにとって重大なセキュリティ問題に発展する可能性があり、いくつかの結果と高い復旧コストが伴います。

2.セキュリティ プラグインをインストールする

次の議題は、WooCommerce サイトにセキュリティ プラグインをインストールして、サイトをハッカーから保護することです。前述したように、ハッキングされた WooCommerce サイトは、通常のサイトよりも深刻な結果を招きます。

Google によってブラックリストに登録されたり、Web ホストによって停止されたりして、顧客と収益を失う可能性があります。さらに、顧客データが失われると、法的な問題に直面する可能性があります。

優れたプラグインは定期的にウェブサイトを徹底的にスキャンし、ハッキング、マルウェア、疑わしいアクティビティがないかチェックします。

市場には WordPress 用のセキュリティ プラグインが多数ありますが、すべてが同じレベルのセキュリティを提供しているわけではありません。

多くのプラグインは、マルウェアのスキャンとクリーニングの古い方法に依存しています。そのため、サイトが実際にはクリーンな場合でも、サイトにマルウェアがあるというアラートが表示される場合があります。また、サイトがクリーンだと思っていても、実際にはこれらのスキャナーで検出されない偽装または隠れたマルウェアが含まれている場合があります。

WooCommerce は非常に機密性の高いデータを扱うため、信頼性の低いプラグインを使用するリスクを負うことはできません.サイトを保護するには、サイトをハッカーからプロアクティブに防御するためのファイアウォールが必要です。ハッカーは刻一刻と技術を進化させているため、偽装または隠されたマルウェアを検出できるスキャナーも必要です。

これが、信頼され、サイトをクリーンに保つことが保証されている MalCare のようなプレミアム プラグインの使用を強くお勧めする理由です。誤検知がなく、あらゆる形態のマルウェアが検出され、ハッキングされた Web サイトをすぐにクリーンアップできるので安心できます。

3. SSL 証明書を取得する

これは、Web サイトに確実に実装するために必要な非常に基本的な手順です。 SSL 証明書により、ユーザーと Web サイト間で転送される機密情報が暗号化されます。これにより、ハッカーがこの情報を入手する可能性がなくなります。

サイトに SSL を追加すると、アドレス バーの Web サイト名が http から変更されます。 https へ 、左側に南京錠が表示されます。

以前は、SSL 証明書の取得には費用がかかり、長いプロセスが必要でした。ほとんどの WooCommerce ホスティング プラットフォームも SSL 証明書を提供しています。しかし今では、LetsEncrypt のようなイニシアチブのおかげで、無料で SSL 証明書をすぐに取得できます。

WooCommerce サイトの場合、SSL 証明書を取得したら、WooCommerce> 設定> 詳細設定 に移動します .ここで、「Force Secure Checkout」を有効にできます

これで、WooCommerce でサイトを安全に保つためのもう 1 つの重要なステップが完了しました。しかし、やるべきことはまだたくさんあります!

ウェブサイトを常に最新の状態に保つ

どのソフトウェアも、新しい機能を追加したり、バグを修正したり、存在する可能性のあるセキュリティ上の欠陥を修正したりするために、随時更新を受け取ります。ソフトウェアの更新は不可欠であり、避けられません。最新のソフトウェアで Web サイトを実行すると、最新のセキュリティ アップデートも適用されます。

WooCommerce サイトは、WordPress コア ソフトウェアとテーマおよびプラグインで構成されます。ハッカーが使用できる脆弱性がサイトにないようにするために、3 つの要素すべてを最新の状態に保つ必要があります。

WordPress Web サイトを安全に更新するには、BlogVault の詳細なガイドに従ってください。

セキュリティ レベル 3

1.ログイン試行を制限する

ハッカーはブルート フォース攻撃を深く掘り下げて、ボットを使用して自分の仕事を実行します。これは、1 秒間に何千もの組み合わせを試すことができることを意味します。強力なユーザー名とパスワードを設定する方法は既に説明しました。 では、なぜわざわざログイン試行を制限する必要があるのでしょうか?

WooCommerce サイトが単独で運営されることはめったにありません。 wp-admin ダッシュボードには、さまざまな役割を持つ多くのユーザーが追加されています。ユーザーが多ければ多いほど、ハッカーが侵入する可能性が高くなります。デフォルトでは、WordPress は無制限にログインを試行できます。

推奨されるセキュリティ対策は、WordPress ダッシュボードへのログイン試行を制限することです。ユーザー名とパスワードを正しく取得するための試行回数は 3 回までです。その後、「パスワードを忘れた」という選択肢が与えられるか、アカウントからロックアウトされることさえあります。

MalCare プラグインをインストールすると、WooCommerce サイトで自動的にログイン保護にアクセスできるようになります。

2. 2 要素認証を使用する

ハッカーが侵入しにくくするために実行できるもう 1 つの対策は、2 要素認証を実装することです。

これは、WordPress ダッシュボードにログインしようとする人は誰でも、資格情報と、リアルタイムで生成される安全なパスワードを提供する必要があることを意味します.これは、携帯電話番号に送信されたワンタイム パスワードか、Google Authenticator などのアプリで生成されたコードである可能性があります。

これにより、ハッカーが組み合わせを推測したり、不正に入手したデータを悪用したりする可能性がなくなります。

3.ウェブサイトを強化する

WordPress では、ウェブサイトを強化する、つまりサイトをより安全にするために、特定の対策を講じることをお勧めします。

実装する必要がある 3 つの主な対策について説明しました。

プラグインとテーマでファイル エディタを無効にする – ハッカーが Web サイトにアクセスすると、ダッシュボードのプラグインとテーマで利用できるファイル エディター オプションを介してマルウェアを挿入できます。

WooCommerce Web サイトの所有者がこのエディターを使用することはめったにないため、無効にすることをお勧めします。

信頼されていないフォルダでの PHP の実行をブロック WP Web サイトはファイルとフォルダーで構成されており、そのうちの一部のみが php 関数を使用しています。ハッカーが Web サイトに侵入すると、独自の関数をファイルやフォルダーに挿入したり、新しい関数を作成したりできます。

信頼されていないフォルダーでの php 関数の実行を無効にして、これらのアクティビティをブロックする必要があります。

セキュリティ キーの変更 WordPress はログイン資格情報を自動的に保存するため、ダッシュボードに簡単にログインできます。このデータを暗号化し、セキュリティ キーとソルトを使用して保存します。

ハッカーがセキュリティ キーとソルトを見つけた場合、コードを解読してアカウントに侵入できます。

これを避けるために、キーとソルトを定期的に交換することをお勧めします。

これらの対策を手動で実装するには、少し技術的な指導が必要です。推奨される読み物:WordPress ウェブサイトのセキュリティを強化する 12 の方法。ただし、MalCare クライアントの場合、ウェブサイトの強化は自動化されており、数回クリックするだけで実装できます。

結論:WooCommerce サイトを常に保護してください!

セキュリティはどの WordPress サイトにとっても重要ですが、WooCommerce サイトの場合はさらに強化されます!店に営業時間がある時代は終わりました。 eコマースの夜明けにより、店舗は24時間年中無休で営業しており、24時間体制でお金を稼ぐことができます.したがって、ウェブサイトのダウンタイムはビジネスに深刻な影響を与える可能性があります。

さらに、e コマース ビジネスは、会社の機密情報を扱います。しかし、さらに重要なことは、顧客固有のデータである個人を特定できる情報 (PII) も扱うことです。漏洩した場合、顧客の信頼を失い、ブランドの評判を失う可能性があります。さらに悪いことに、データ侵害から回復するために、法的な罰則、訴訟、および高額な費用に直面する可能性があります.

リスクははるかに高く、セキュリティの失効は許されません。

WooCommerce サイトに高レベルのセキュリティを実装するには、MalCare セキュリティ プラグインをインストールして、攻撃をブロックし、マルウェアを取り除き、完全な WooCommerce セキュリティを実現してください。

WordPress のセキュリティの詳細については、ウェブサイト セキュリティに関する最も信頼できるガイドを参照してください。