ウェブサイトをハッカーから保護するには? (ウェブサイト保護ガイド)

あなたのウェブサイトは、あなたとあなたのサイトの訪問者にとって価値があります。また、ハッカーにも。

悪意のある攻撃に対する優れた防御を構築するには、ハッカーからウェブサイトを保護する方法に関する実用的なガイドが必要です .

これがハッカー プロテクション ガイドです!

私たちはどのように自信を持っていますか？ MalCare は 25,000 以上の Web サイトを保護しており、当社のサポート チームは毎日、最もとらえどころのないマルウェアを Web サイトから探し出しています。ハッカーやその他の悪意のある攻撃から Web サイトを保護する方法について、私たちは 1 つまたは 2 つのことを知っています。

TL;DR: 最善のセキュリティ対策は、オートパイロットで実行されるセキュリティ プラグインをインストールすることです。 また、この記事で説明したすべてのセキュリティ対策を実装することをお勧めします.

始める前に

Web サイトをハッカーから保護するためのセキュリティ対策の長いリストを見ると、少し気が遠くなるかもしれません。私たちはそれを認識しています。したがって、これらのセキュリティ対策の実装を容易にするために、このハッカー保護リストを簡単に整理しました。この記事をブックマークし、読み進めながら戻ってくることをお勧めします。

このリストには、守るべきこと、すべきでないこと、そしていくつかの間違った通説も含まれています。

この記事の目的は、他の場所で入手できる混乱を切り抜けて、セキュリティの謎を解き明かすことです。ただし、最大のポイントは、Web サイトをハッカーやウイルスから保護することは 1 回限りの作業ではないということです。しかし、それについては、進行するにつれて詳しく説明します。

ウェブサイトをハッカーからすぐに保護するための 6 つの基本的な手順

このセクションの保護対策は、実装が最も簡単で、正直なところ、かなりうまくセットアップできます。一見すると、それらは技術的または高度に見えるかもしれませんが、エンジニアではない人から見れば、これはわかります!

1. 優れたファイアウォールをインストールする

ハッカーが Web サイトを手動でハッキングすることはありません。優れたハッカーは、脆弱なサイトを見つけ出し、プロセスのほとんどを自動化するボットを作成します。現在、ボットは非常に具体的なアクションを実行するようにプログラムされています。彼らは知覚力がありません。

本質的に、ファイアウォールは悪意のある要求を識別するコードです。 Web サイトに対するすべての情報要求は、最初にファイアウォールを通過します。リクエストが悪意のあるものである、または悪意のあることがわかっている IP アドレスから行われたものであることをファイアウォールが検出した場合、リクエストは処理されずにブロックされます。

ファイアウォールの設定を変更しない

一部のファイアウォールでは、設定を構成できます。ただし、正真正銘の Web サイト セキュリティの専門家でない限り、お勧めしません。ファイアウォール ルールは、重要なセキュリティ リサーチと多くの直接的なマルウェア除去の後に作成されます。

たとえば、ほとんどの WordPress セキュリティ プラグインには、管理者権限のないユーザーが wp-config.php ファイルにアクセスできないようにするルールが設定されています。 wp-config.php ファイルは、多くの機密情報を含むコア WordPress ファイルです。そのため、ファイアウォールは、Web サイトに対して行われたすべての要求をチェックして、「wp-config.php」というテキストが含まれているかどうかを確認します。そのルールがトリガーされると、リクエストはファイアウォールによって拒否されます。

さらに、ハッカーは脆弱性が発見されるとできるだけ多くの Web サイトをハッキングしようとするため、ハッカーの IP が明らかになります。 WordPress ファイアウォールは、これらの攻撃に基づいて、悪意のある IP を事前に追跡してブロックします。

もちろん、100% ハッキングできないファイアウォールはありません。しかし、ほとんどの悪意のあるソフトウェアをブロックするファイアウォールを持つ方が、ファイアウォールをまったく持たないよりもはるかに優れています。しかし、すべてのファイアウォールが同じというわけではなく、一部のファイアウォールは他のファイアウォールよりもはるかに効果的です。そこで、最適な WordPress ファイアウォールのリストを作成しました。

2.強力なパスワード ポリシーを設定し、パスワード マネージャーを使用する

私たちは、WordPress のセキュリティに 10 年以上携わっています。パスワードが脆弱だったという理由だけでハッキングされた Web サイトの数を知ると、驚くことでしょう。

推測しやすいパスワードは、何十万もの Web サイトで使用されています。 MalCare を使用してマルウェアを削除したハッキン​​グされたサイトの 5% は、脆弱なパスワードを使用していました。

ハッカーは、レインボー テーブルと呼ばれるそのようなパスワードのリストを持っており、ある種の辞書として使用するために、常により大きなテーブルを生成します。これらのテーブルを使用して、ハッカーは「辞書攻撃」として知られる攻撃を開始できます。

辞書攻撃は、ほとんどがブルート フォース攻撃の一種です。しかし、パスワードをハッキングする方法はこれだけではありません。したがって、強力なパスワードをお勧めします。

強力なパスワードは、文字、数字、および記号の組み合わせです。珍しい組み合わせはクラックするのが難しく、ブルート フォース アルゴリズムを解読するのに何年もかかることがあります。また、パスワードが長いほど解読が難しくなります。

この記事は、独自のエピック パスワードを作成するのに役立ちます。

また、プラグインを使用して、WordPress 用のプラグイン Password Policies Manager を使用して、すべての WordPress ユーザーに強力なパスワードを強制することもできます。このプラグインは、すべての WordPress ユーザーがアカウントを作成するときに強力なパスワードを作成することを強制するポリシーを作成するのに役立ちます.

3.ウェブサイトに SSL をインストールして HTTPS を使用する

Secure Sockets Layer (SSL) 証明書は、Web サイトとの間のすべての通信を暗号化するセキュリティ プロトコルです。これをインストールすると、ハッカーが Web サイトからデータを傍受したとしても、それが何であるかを理解することはできなくなります。

SSL 証明書を正しい方法でインストールするための完全なガイドを作成しました。真剣に、誇大宣伝は正当化されます。 Web サイト用の SSL 証明書を今すぐ入手してください。さらに、SEO のメリットも得られます。

4.管理ユーザーを注意深く精査する

ほとんどの人は、ハッカーが自分の Web サイトにマルウェアをインストールして去るだけだと思い込んでいます。それは真実ではない。本当に賢いハッカーは、管理者権限を持つゴースト アカウントを作成して、いつでも戻ってくることができるようにします。

WordPress ユーザーを定期的に確認して削除することで、この問題を解決できます。

はい、大規模なチームが Web サイトを管理している場合、時間のかかる作業になる可能性があります。でも、その価値はある。サイトに貢献しなくなったユーザーを削除することから始めましょう。次に、ライターや編集者が誤ってサイトを侵害しないように、強力なパスワードを必須にします。

パスワードに関して優れたセキュリティ慣行に従うことはできますが、たとえば、管理者の 1 人がフィッシング詐欺の餌食になった場合、Web サイトも影響を受けます。

WordPress のユーザー ロールを最大限に活用して、アクセスを可能な限り制限します。たとえば、誰かが記事を書いてアップロードするだけの場合は、「管理者」アクセスではなく「作成者」アクセスを付与します。 WordPress の役割に関する記事を読んで、すべてを簡単に完了する方法を理解してください。

5. アクティビティ ログを使用する

Web サイトで予期しない何かが表示されると、いくつかの状況でタイムリーな警告が発生する可能性があります。管理者アカウントが知らないうちに作成されていないかどうかを検討してください。または、コンセンサスなしで非アクティブ化されたプラグイン (たとえば、セキュリティ プラグイン)。

これらはすべて正当な Web サイト管理者のアクションの例ですが、不正アクセスの兆候である可能性もあります。アクティビティ ログはサイトで何が起きているかを教えてくれるので、これらのアクションが正当かどうかを評価できます。

この 1 つの実践により、私たちのベーコンは何度も救われました。

ほとんどのハッカーは、捕まらない限り Web サイトを制御できるため、捕まらないように細心の注意を払っています。アクティビティ ログは変更の通知に役立つため、未承認のアクティビティを未然に防ぐことができます。

MalCare にはダッシュボードのアクティビティ ログがバンドルされており、設定する必要はありません。

6.定期的にバックアップを取る

バックアップを取ることは、おそらく最も過小評価されている戦術の 1 つです。壊滅的な障害が発生した場合に Web サイトを迅速に復元できるように、常に毎日バックアップを取ってください。

かなりの専門知識がないと手動バックアップを正しく実行するのは難しいため、信頼できる優れたバックアップ プラグインを選択してください。

実際、この記事の手順に進む前に、Web サイトの完全なバックアップを取り、すぐに毎日のバックアップを設定してください。サイトに変更を加える場合、これは常に良い方法です。

ウェブサイトを次のレベルに保護するための 5 つの中間ステップ

この記事の基本的な手順は良い出発点であり、セットアップにそれほど時間はかかりません。このセクションでは、2 要素認証とログイン試行の制限は別として、手順は継続的なセキュリティ対策です。

この記事の前半で述べたように、Web サイトのセキュリティについて正しく考えることが重要です。これは 1 回限りのセットアップやアクティビティではなく、サイト管理の定期的な部分と見なす必要があります。

1.すべてを更新

ハッキングの 90% 以上は、ハッカーがテーマまたはプラグインの脆弱性を特定し、それを複数の Web サイトで悪用したために発生しています。

脆弱性とは何ですか？テーマとプラグインはソフトウェアです。他のソフトウェアと同様に、それらは常にバグを持つコードの断片です。一部のバグは比較的無害で、更新中に軽微な不具合が発生するだけの場合があります。他の人は、コードを悪用に対して脆弱にする可能性があります。

主にセキュリティ研究者によって脆弱性が発見されると、プラグインの開発者に公開されてパッチが適用されます。責任ある開発者が修正をリリースし、プラグインがインストールされている Web サイトでは、プラグインの更新バージョンが間もなく利用可能になることがわかります。

修正プログラムがリリースされると、脆弱性が公開されます。プラグインまたはテーマをセキュリティ修正で更新した Web サイトの 1 つである場合、それは素晴らしいことです。そうでない場合、あなたのサイトは、手っ取り早くお金を稼ごうとするアマチュア ハッカー (スクリプト キディーと呼ばれます) の標的になります。

したがって、WordPress からプラグインまで、すべてを常に最新の状態にしておくことが常に最善です。更新によって予期しない方法で Web サイトが壊れることがあることはわかっているため、不都合を回避するには、ステージングを使用して安全に更新してください。ただし、すべてを更新してください。

WordPress ウェブサイトを安全に、最小限の中断で更新するためのガイドを作成しました。

2.適切なテーマとプラグインを選択する

前のセクションからお気づきの場合は、脆弱性にパッチを適用するための更新プログラムをリリースする開発者が責任者であると言及しました。要するに、優れた開発者はソフトウェアを積極的に保守しています。

これは決して普遍的な状況ではありません。悲しいけれど事実です。

そのため、Web サイトに優れたプラグインとテーマを使用することを強くお勧めします。当然のことながら、「良い」は相対的でやや曖昧な用語です。そのため、Web サイト用のプラグインを選択する際に考慮すべき要素をリストしています:

• 定期的な更新: 一貫して更新をリリースし、発見した脆弱性にパッチを適用し続けるプラグインまたはテーマ。これは、開発者が製品のセキュリティ リスクについて真剣に考えていることを示しています。

• アクティブ インストール: 何百万回もインストールされている人気のあるプラグインには、常にターゲットがあります。 Contact Form 7 は、この傾向の非常に明確な例です。反対に、一般的なプラグインはより安全である傾向があります。これは、通常、製品の改善に取り組んでいるより大規模で優れたチームが存在するためです.したがって、十分な調査を行った後、賢明に選択してください。

• 信頼性: 誰も聞いたことのないプラグインやフリーランサーが開発したテーマをインストールすることは避けてください。評判の高い開発者やブランドによって開発されたプラグインやテーマのみを使用してください。マーケットプレイスから購入する場合は、マーケットプレイスだけでなく開発者を信頼するようにしてください。

• 有料版: 通常、有料のプラグイン ベンダーは、脆弱性の発見とパッチ適用により多くの時間と費用を費やしています。予算が非常に限られている場合は、無料のプラグインの方が理にかなっています.ただし、ウェブサイトのセキュリティが心配な場合は、代わりにプレミアム テーマとプラグインを使用することを強くお勧めします。

余談ですが、無効化されたプラグインとテーマを使用したくなるかもしれません。しないでください。リスクはそれだけの価値がありません。

無効化されたソフトウェアは、マルウェアを拡散します。そのため、プレミアム製品を無料で入手できます。しかし、zip ファイルに明らかに悪意のあるコードが含まれていなくても、無効化されたプラグインまたはテーマのユーザーは、ソフトウェアを更新できないことを知っています。前のセクションで述べたように、これにより Web サイトはハッキングに対して脆弱になります。

3. 2FA の実装

2 要素認証 (2FA) は、パスワードに加えて、ログインするためにアクセスする必要がある別のデバイスまたはトークンを追加するセキュリティ対策です。

TOTP (時間ベースのワンタイム パスワード) や HOTP (HMAC ベースのワンタイム パスワード) など、2FA に使用されるプロトコルがいくつかあります。それぞれに長所と短所がありますが、ログインのセキュリティのために、それらの詳細を掘り下げる必要はありません.

ログインページに 2FA を追加するために使用できる有料および無料のアプリがいくつかあり、それらは最も一般的なプロトコルをサポートしています。さらにヘルプが必要な場合は、この記事をチェックして、WordPress 2FA の設定方法を確認してください。 Web サイトに多くの貢献者がいる場合は、このセキュリティ機能を実装することをお勧めします。

4.優れたウェブ ホストを選択する

ほとんどの人は、Web ホストに Web サイトのセキュリティの責任さえ負わせています。ただし、サイトがハッキングされた場合、それが Web ホストの責任であることはめったにありません。実際、Web ホストがセキュリティ侵害の原因であるというまれなケースでは、その影響は計り知れません。何千ものサイトが影響を受けています。

ほとんどの場合、靴は反対側にあり、優れたWebホストはWebサイトをハッカーから保護するのに役立ちます.したがって、最も安全なホスティング サービスを目指す必要があります。これは、優れたWebホストを選択するのに役立つようにまとめた最高のWordPressホスティングプロバイダーのリストです.

5.ログイン試行を制限する

ブルート フォース ボットと攻撃者をブロックする簡単な方法の 1 つは、3 回失敗した後に IP アドレスへのエントリを拒否することです。 MalCare ファイアウォールには、この機能が組み込まれています。ログイン試行を制限することは、多くのマイナス面なしに Web サイトを保護するための非常に効果的な方法です。

WordPress をインストールする際にも、「Limit Loginizer」プラグインを使用できます。ただし、自分のパスワードを 3 回間違えた場合は、Web ホストに IP アドレスのブロックを解除して再試行するよう依頼する必要があります。

Web サイトの保護を強化するための 2 つの専門的な手順

前のセクションの手順を完了することができたとしても、サイトをハッカーから保護するという点ではかなりの効果があります。次の対策は効果的ですが、コードをいじる必要があります。

ほとんどのハッキングは脆弱性が原因で発生することを繰り返しお伝えしたいと思います。脆弱性に注意することで、Web サイトをハッカーやウイルスから十分に保護できます。次の手順を自分で試すことに抵抗がある場合は、それらを無視するか、開発者に送信して実装してもらうことができます。いずれにしても、サイトはハッカーから十分に保護されています.

1.アップロード フォルダーで PHP の実行をブロックする

ハッカーが悪意のある PHP コードを Uploads フォルダーにアップロードできるようにする、リモート コード実行脆弱性と呼ばれる脆弱性のクラス全体があります。通常、Uploads フォルダーには、実行可能コードを含めることは想定されていません。メディアファイルを含めるためのものです。ただし、Uploads フォルダーの性質上、ファイルとフォルダーをその中に保存できます。

コードが Web サイトにアップロードされると、ハッカーがそれを実行して、サイトを効果的に制御できるようになります。ただし、アップロード フォルダーで PHP の実行をブロックすると、攻撃が行われることはありません。

MalCare を使用している場合は、WordPress 強化対策の一環として、ボタンをクリックするだけで Uploads フォルダーで PHP の実行をブロックできます。

2. WordPress セキュリティ キーの変更

最近ハッキングされた場合は、WordPress のセキュリティ キーを変更できます。これは、ユーザーのログイン セッションを管理するために、ユーザー名とパスワードと共にハッシュされる文字列です。

この文字列には任意の文字列を設定できますが、パスワードと同様に、ランダムに生成された英数字の文字列を使用することをお勧めします。セキュリティ キーとその変更方法について詳しくは、こちらをご覧ください。

ハッカーから Web サイトを保護するための 2 つのボーナス ヒント

1.セキュリティ ニュースの最新情報を入手してください

情報を入手し、質問し、コミュニティと相談することはすべて、最新のハッキングと脅威の状況の変化を追跡するための優れた方法です.たとえば、プラグインの脆弱性が発見された場合、更新が利用可能になりインストールされるまで、ダッシュボードから無効にすることができます. Web サイトがハッキングされた場合の損失に比べれば、どんなに不便なことであろうと見劣りはしません。

2.定期的なセキュリティ監査を実施する

多くの Web サイト所有者は、自分のサイトが小さすぎてハッキングに値するとは考えられないと誤って信じています。これは真実に近いとは言えません。ハッキングはさまざまな理由で発生します。たとえば、Web サイトがユーザー データの点で有利でない場合でも、フィッシング サイトとして使用されるのに十分な SEO オーソリティがあります。

定期的なセキュリティ チェックは、安全でない慣行や Web サイトの潜在的な脆弱性を発見するのに役立ちます。アクティビティ ログやユーザーのレビューなどを介して、Web サイトでの出来事を監視することで、長期的には多くの悲しみを救うことができます。

ウェブサイトの保護に役立たないもの

私たちはセキュリティを意識することを提唱しますが、偏執的ではありません。また、Web サイトの所有者に対する悪いアドバイスが数多く出回っていることも確認しています。アドバイスは良いところから来るかもしれませんが、ユーザー エクスペリエンスが低下したり、自分の Web サイトから締め出されたりするなど、意図しない結果を招く可能性があります。

したがって、次のことは行わないでください。

1. wp-login ページを非表示にする

多くのセキュリティ プラグインは、この古くからのトリックが機能すると今でも信じています。

ハッカーがログイン ページを見つけられない場合、ブルート フォース攻撃を実行することはできませんよね?いいえ、そうではありません。代わりに:

• ウェブサイトが非常に使いづらくなります。新しいログイン URL を忘れると、アカウントの復元が難しくなる可能性があります。
• セキュリティ プラグインに付属のデフォルト URL を使用すると、ハッカーが新しい URL を推測しやすくなります。
• ハッカーが wp-login ページを見つけられなくても、XML-RPC の脆弱性を利用してウェブサイトをハッキングできます。

このオプションは、最終的には何も達成せず、かなりの問題を引き起こす可能性があります.

2.ジオブロッキング

ジオブロッキングとは、基本的に、製品やサービスが利用できない、または関連性のない国からのトラフィックをブロックすることです.これは通常、セキュリティ対策と見なされますが、実際には、消費されたサーバー リソースの請求を減らす方法です。

ガボンからのトラフィックがビジネスに役立っていないと考える可能性は十分にあります。しかし、ガボンからのすべてのトラフィックをブロックしても、何も解決しません。優れた VPN を使用すれば、誰でも Netflix のジオブロッキングを回避できます。

また、Googlebot と自分自身をブロックするリスクもあります!

3. wp-admin ディレクトリのパスワード保護

wp-admin フォルダーは、WordPress のインストールにおいて最も重要なディレクトリの 1 つです。したがって、当然のことながら、すべてのハッカーはそれに乗り込みたいと考えています。セキュリティの専門家は当初、ディレクトリをパスワードで保護することは良い考えだと考えていましたが、それは良い習慣ではないことに気づきました.

wp-admin ディレクトリをパスワードで保護すると、WordPress Web サイトの AJAX 機能が壊れ、多くのプラグインが誤動作する原因になります。 WooCommerce Web サイトを運営している場合、AJAX コードが壊れていると、検索機能やその他の重要な UX 要素が壊れる可能性があります。

ハッカーからウェブサイトを保護する必要があるのはなぜですか?

この記事には、Web サイトをハッカーから保護する方法に関する多くの情報が既に記載されています。あなたのサイトは価値があります。

それが価値があると言うとき、私たちはあなたとあなたの訪問者について話しているだけではありません.小規模なオンライン ショップや趣味のブログを運営していて、少人数のグループが定期的にアクセスしているとします。 Web サイトをハッキングすることによる直接的な金銭的利益が大きくなくても、違法またはグレー マーケットの製品を売り込むためのクリーンな Web サイトを持つことの利点は、ハッカーにとってハッキングの価値があるということです。

したがって、小さな Web サイトは、悪意のある意図に対する保護にはなりません。

第二に、ユーザーのデータと ID を保護することは、私たち全員の責務です。サイトにアクセスすることで、サイトに一定の信頼を置いているため、Web サイトのセキュリティを考慮する際には、それらに注意を払い、配慮する必要があります。

結論

警戒を怠らず、セキュリティに対してプロアクティブなアプローチをとることで、ハッカーを阻止できます。ハッカーや悪意のある攻撃から Web サイトを保護することは継続的なプロセスであることを認識することが重要です。一度に実行できる手順もありますが、ほとんどの場合、脅威の状況の変化を認識する必要があります。

さらに、Web サイトに対するハッキングの可能性をすべて阻止するのに役立つ、ワンストップで決定的な記事はありません。そう主張する記事、ウェブサイト、または専門家は、真実ではありません。

したがって、この記事があなたの Web サイトを永遠に安全に保つことを保証することはできませんが、Web サイトをハッキングされにくくするための一般的なセキュリティのヒントをいくつか紹介しました。この記事のヒントを使用すると、Web サイトのセキュリティのいくつかの欠陥にパッチを当てることができます。

よくある質問

ウェブサイトをハッカーから守るにはどうすればよいですか?

Web サイトをハッカーから保護するために実行できる手順がいくつかあります。セキュリティに関する重要なヒントをいくつか紹介します。

1. 優れたファイアウォールを備えたセキュリティ プラグインをインストールする
2.二要素認証を実装する
3. ログイン試行を制限する
4.プラグインとテーマを最新の状態に保つ
5.SSL をインストールする
6. 評判の良いウェブホストを選ぶ

ハッカーから Web サイトを保護する必要があるのはなぜですか?

ハッカーは常に、Web サイトを攻撃することで多くの利益を得ています。直面する可能性が高い実際の金銭的損失とは別に、訪問者のデータが危険にさらされ、データが盗まれたという影響に直面することになります.

優れたウェブサイトは、収益性を高めるために大きくする必要はありません。ハッキングされた小さな Web サイトでも同様に実行できる悪質で違法な活動が数多くあります。

二要素認証を実装する必要がありますか?

はい、2 要素認証は、Web サイトのログイン用に導入する優れたシステムです。ユーザー名とパスワードとは別に、サインイン時に追加のトークンが必要です。ここでの前提は、ハッカーが何らかの方法で資格情報を取得したとしても、デバイス (または 2 番目のトークンを受け取るために使用するもの) を持っている可能性は低いということです。これは不正アクセスを阻止する有効な仕組みであり、インターネット上ではすでに広く利用されています。

Web サイトをハッカーから保護するには、いくつの手段を講じる必要がありますか?

すべてを行うことで Web サイトが可能な限り安全になるというのはよくある誤解です。この記事で一般的に見られる多くの情報を省略した理由の 1 つは、すべてを実行しても実際には Web サイトの安全性が高まるわけではないためです。それどころか、追加のメリットがほとんどないため、Web サイトを使いにくくすることになります。

この記事には、ユーザー エクスペリエンスの面であまり犠牲にすることなく、ハッカーに対する Web サイトの保護を強化するために安全に実行できる対策が含まれています。