オンライン ストアを安全に保つための WooCommerce セキュリティに関する 15 のヒント

Web サイト トラフィックの 29% に悪意があることをご存知ですか?

市場の大部分がオンラインに移行したことは否定できません。インターネット上には 1,200 万を超える e コマース ストアがあり、そのうちの約 100 万が月額 1,000 ドル以上を稼いでいます。しかし、e コマースの量の増加に伴い、WooCommerce のセキュリティ問題も増加しています。

顧客は、データの盗難やクレジット カード詐欺への恐怖から、高額のオンライン ショッピングを今でもためらっています。したがって、Web サイトのセキュリティは、オンライン ビジネスを運営するすべての人にとって優先事項でなければなりません。セキュリティの問題は、ビジネスを著しく妨げ、データの損失、顧客の苦情、収益の損失につながる可能性があります。

300 万を超える e コマース Web サイトが WooCommerce にあることを考えると、WooCommerce のセキュリティに確実に準拠することが重要です。 ガイドライン。しかし、どうやってそれを行うのですか?

TL;DR: MalCare を使用して、WooCommerce Web サイトを数分で保護します。手間をかけずにデータと顧客のデータを保護できるため、ビジネスの他の重要な側面に集中できます。

WooCommerce は安全ですか?

WooCommerce は、e コマース Web サイトに便利で安全なプラットフォームを提供するように構築されています。したがって、WooCommerce 自体は安全です。

ただし、ハッキングやブルート フォース攻撃などの外部のセキュリティの脅威からは保護されません。これらの脅威から WooCommerce サイトを保護するには、追加の手段で Web サイトを徹底的に保護する必要があります。

WooCommerce のセキュリティに関する 15 のヒントはこちら オンラインストアを安全に保つために。 ToDo を簡単にチェックできるように、セキュリティのヒントをカテゴリに分けましたが、最初のヒントはカテゴリ全体に適用されます。

WooCommerce セキュリティ プラグイン

セキュリティは困難な見通しであり、膨大な時間がかかる可能性があります.もちろん、IP アドレスをブロックしたり、ファイアウォールから正当な訪問者をホワイトリストに登録したりすることに多くの時間を費やしている人もいます。

しかし、私たちの意見では、セキュリティ レイヤーを用意し、セキュリティの問題の大部分が取り除かれた後で微調整して微調整するのが最善です。

1.セキュリティ プラグインをインストールする

これはおそらく、WooCommerce ストアを保護するために実行できる最も重要な手順です.セキュリティ プラグインをインストールすると、Web サイトが定期的にスキャンされ、セキュリティの問題があれば警告されます。

MalCare などの WooCommerce と互換性のあるセキュリティ プラグインを使用すると、ストアを頻繁にスキャンし、数分以内にクリーンアップし、ブルート フォース攻撃やその他のセキュリティ問題を積極的にブロックできます。

WooCommerce は非常に機密性の高いデータを扱うため、信頼性の低いプラグインを使用するリスクを負うことはできません. WooCommerce サイトを保護するには、サイトをハッカーからプロアクティブに防御するためのファイアウォールが必要です。

ハッカーは刻一刻と技術を進化させているため、偽装または隠されたマルウェアを検出できるスキャナーも必要です。

2. SSL 証明書を取得

SSL 証明書は、特定の Web サイトの身元と安全性を検証する証明書です。 Web サイトを SSL で保護すると、送信するデータが転送中に暗号化されていることを確認できます。

SSL 証明書を持つことは、ほとんどの Web サイトにとって不可欠であり、ユーザーが銀行口座の詳細やパスワードなどの機密情報を入力する必要がある Web サイトでは特に重要です。

SSL を使用して Web サイトを保護すると、URL の横に小さな南京錠が表示されます。この南京錠は、あなたのサイトが本物であることを証明し、偽物には南京錠がないため、すぐに見破ることができます。また、URL が HTTP から HTTPS に変更されます。

Web サイトに SSL を設定するのは非常に簡単です。ホスティングプロバイダーは、評判の良いものを使用している場合、Web サイトにバンドルすることがよくあります。または、Really Simple SSL を使用して数分で設定できます。

WooCommerce サイトの場合、SSL 証明書を取得したら、WooCommerce> 設定> 詳細設定に移動します。ここで、「Force Secure Checkout」を有効にすることができます。

これにより、e コマース サイトがさらに保護され、トランザクションがより安全になります。

セキュリティの側面とは別に、Google は Web サイトを HTTPS に移行するよう着実に推進してきたため、SSL で保護されていない Web サイトには罰則を科すようになりました。

ウェブサイトに SSL がインストールされていない場合、SERP に「サイトは安全ではありません」という警告が表示されます。言うまでもなく、これはオンライン ストアに影響を与えます。

WooCommerce ログイン ページのセキュリティ

ログインページはターゲットのようなもので、ブルート フォース アタック ボットによって攻撃されることがよくあります。ボットは、Web サイトへの不正アクセスを試みるだけでなく、サイトのリソースを使い果たしているため、最悪のパラサイトです。

この無差別なリソースの使用の結果は、正当なユーザーがサイトにアクセスするのが難しいと感じ始めることです.全体として、それは悲惨な絵です。

1.二要素認証を有効にする

WooCommerce ログイン ページを保護するもう 1 つの方法は、2 要素認証を実装することです。

これを有効にすると、WordPress ダッシュボードにログインしようとする人は、資格情報と、リアルタイムで生成される安全なパスワードを提供する必要があります。これは、携帯電話番号に送信されたワンタイム パスワードか、Google Authenticator などのアプリで生成されたコードである可能性があります。

これにより、ハッカーが組み合わせを推測したり、脆弱なパスワードを利用したりする可能性がなくなります。

2.デフォルトのユーザー名「Admin」を変更

WooCommerce のセキュリティを強化する最も簡単で迅速な方法の 1 つは、ユーザー名とパスワードをデフォルトから変更することです。これを行うには、新しいユーザーを追加し、そのユーザーとしてログインして、古いアカウントを削除します。

WordPress の管理者名を変更するには、[ユーザー]> [新規追加] に移動します .

必要な詳細をすべて入力し、一意のユーザー名を使用してください。

次に、新しいアカウントを作成し、「管理者」 を選択します 利用可能な WordPress ユーザー ロールから。

完了したら、wp-admin からログアウトし、新しいアカウントで再度サインインする必要があります。これで、以前の「admin」ユーザー アカウントを削除できます。これを行うと、以前に作成したすべての投稿が新しいアカウントに転送されます。

または、Admin Renamer や Username Changer などのプラグインを使用してユーザー名を置き換えることもできます。

3.ログイン試行を制限する

ブルート フォース攻撃は、サイトへのアクセスを取得するための非常に一般的な方法です。ブルート フォース攻撃では、単語と数字の可能な組み合わせをすべてテストし、それを使用してパスワードを見つけます。

AI や機械学習などの新しいテクノロジーにより、ハッカーは脆弱なパスワードを数分で破ることができます。したがって、ユーザー名を変更して強力なパスワードを設定することでこれを防ぐことができますが、絶対確実ではありません.

したがって、最も簡単な解決策は、特定の IP アドレスからのログイン試行を制限することです。たとえば、1 つの IP アドレスが複数回ログインを試行する場合、その特定のアドレスが許可される試行回数に制限を設定できます。

MalCare のような強力なセキュリティ ソリューションがこれを処理します。 MalCare のファイアウォールは、Web サイトに対するブルート フォース攻撃を自動的にブロックし、悪意のあるボットや攻撃者から Web サイトを保護します。

4.ジオブロッキングの実装

多くのボットは特定の国から発信されています。あなたはウェブサイトを管理しているので、正当なトラフィックがどこから来ると予想されるかを知っています.

Web サイトのログに別の国からのヒットが急増し始めた場合、それらはボットである可能性があります。もちろん、広告キャンペーンも実施していた可能性があるため、このヒントを慎重に使用してください。

国全体からあなたのウェブサイトへのアクセスをブロックすることができます。 MalCare にはジオブロッキング機能がありますが、あまり使用することはお勧めしません。たとえば、Googlebot のように、不注意に使用することで、善良なボットをブロックすることができます。

WooCommerce ユーザー管理

管理ダッシュボードからも Web サイトを保護するために実行する必要があるいくつかの手順があります。このセクションのヒントは、セキュリティの観点から、実際には譲れないものです。それらをすべて実装することをお勧めします。

1.ユーザー アカウントに強力なパスワードを要求する

ストア アカウントは複雑な場合があります。 Web サイトに複数の作成者が関連付けられている場合、多くの場合、管理者アクセスが許可されます (推奨されませんが)。

しかし、誰もが管理パネルにアクセスできると、ストアがより脆弱になる可能性があります。結局のところ、パスワードを知っている人が多ければ多いほど、パスワードの安全性は低下します。

これには 2 つの解決策があります。 1 つ目は、単純に自分自身へのアクセスを維持することですが、これは多くの場合実行不可能です。 2 番目のオプションは、全員が強力なパスワードを使用するようにすることです。

これを行う最も簡単な方法は、Force Strong Passwords と呼ばれる拡張機能を使用することです。この拡張機能により、登録者は誰でも、通常は大文字と小文字、数字、および記号を組み合わせた強力なパスワードを作成する必要があります。

拡張により、標準的な単語をパスワードとして使用できなくなり、パスワードの解読が非常に困難になります。この予防措置は、特に共同ストアを持っている場合に導入する価値があります。

2.ユーザー管理ポリシーを実装する

前述のポイントに多少関係しますが、WooCommerce ストアを管理するために複数の管理者が必要になる場合があります。そうは言っても、定期的にユーザーをレビューして、削除する必要があるかどうかを確認することは常に良い習慣です.

さらに、常に最小特権ポリシーを採用する必要があります。 Web サイトでユーザーが作業を実行するために最低限必要な制御はどれくらいですか?それが彼らが持つべきコントロールのレベルであり、それ以上のものではありません。

3.アクティビティ ログを使用する

繰り返しになりますが、複数のユーザーが Web サイトに変更を加えている場合、それらの変更を常に把握しておく必要があります。アクティビティ ログは、これを実現するための非常に強力なツールです。詳細なログを使用すると、Web サイトで誰がいつ何をしたかを正確に確認できます。

多くの場合、ハッカーは管理者アカウントを取得して大混乱を引き起こそうとします。そのため、管理者アカウントが (ログで) 異常な動作をしている場合、それは何かがおかしい可能性があるという初期の兆候です。

ホスティング構成

WordPress では、ファイルを直接編集したりアクセスしたりすることはできません。これを行うには、File Manager などの FTP クライアントを使用する必要があります。 WordPress のプラグイン リポジトリには、いくつかの FTP クライアントがあります。

1. wp-config.php ファイルを保護

システム全体で最も重要なファイルの 1 つである wp-config.php ファイルには、サイトに関する大量の機密情報が含まれています。

これには、WordPress セキュリティ キーやデータベース接続の詳細などが含まれます。誰かがファイルを入手した場合、Web サイトに計り知れない損害を与える可能性があります。

wp-config.php ファイルを保護するための最初のステップは、あなた以外のすべての人のアクセスを拒否することです。または、新しい config.php ファイルを作成して、メインの wp-config.php ファイルから機密データを削除することもできます。

機密データを指すポインタを追加するだけでよいため、機密データにはアクセスできませんが、Web サイトは正常に機能します。

2.特定のファイルの編集を禁止

あなたのサイトのファイル エディターは重大な脆弱性です。ユーザーがサイトで PHP コードを実行できるようになるため、ハッキングが非常に簡単になります。ファイル エディターは非常に便利で、テーマとプラグイン ファイルを管理領域から直接編集できますが、この重大な脆弱性は開いたままにしないでください。

ハッカーが問題にならない場合でも、ファイル エディターへのアクセスは制限する必要があります。なぜなら、すべての管理者がファイル エディターを適切に使用する方法を知っているわけではなく、その結果、変更を加えようとしている間にサイトが壊れる可能性があるからです。

ファイル編集を無効にするのは非常に簡単です。 File Manager では、すべてのファイルにアクセスできるはずです。 wp-config.php ファイルを検索して開きます。 PHP ファイルがコンピュータにダウンロードされます。

メモ帳などのテキスト エディターでファイルを開き、次のコード行をファイルの「That's all, stop edit!」行の直前に追加します。幸せな出版':

define( 'DISALLOW_FILE_EDIT', true );

define( 'DISALLOW_FILE_MODS', true );

変更を保存し、ファイルを Web サイトにアップロードします。ファイル マネージャーでは、ファイルをアップロードすることもできます。以上で、テーマとプラグイン エディターを無効にする必要があります。

3.コンテンツ レコードの制限

悪意のある人は、多くの場合、コンテンツ スクレーパーを使用してブログのすべての投稿を取得します。さらに、コンテンツ レコードへの自由なアクセスを許可するということは、機密性の高いページであっても、サイトのすべてのページにアクセスできることを意味します。

これに起因するセキュリティ リスクを回避するには、次のことを行ってください。

新しいフォルダーを作成するときは、必ず index.html ファイルを追加してください。これにより、ユーザー アクセスが制御され、ユーザーが許可されたコンテンツのみを検索できるようになります。そうしないと、誰でも URL を入力するだけで、パスワードを必要とせずにフォルダのコンテンツにアクセスできてしまいます。

また、Restrict Content などのプラグインを使用してコンテンツ レコードを保護し、すべての機密データを安全に保つこともできます。

テーマとプラグイン

テーマとプラグインは Web サイトの拡張機能であるため、それらに対する制御は制限されています。信頼できるソースからの拡張機能を使用すると役立ちますが、攻撃者によって悪用される可能性のある脆弱性がある可能性があります。したがって、これらのルールに従って、テーマとプラグイン、および Web サイトが確実に保護されるようにしてください。

1.ウェブサイトをバックアップ

ほとんどのセキュリティのヒントは予防的なものであり、予防的なものではありません。したがって、WooCommerce のセキュリティを強化しようとする場合、バックアップは期待どおりではない可能性があります。

ただし、考えてみてください。 Web サイトがダウンした場合、時間と新しい注文だけでなく、顧客データ、以前に発注した注文、および多額の収益を失うことになります。

これが、バックアップが重要な理由です。ハッキングやダウンタイムが発生した場合でも、顧客の機密情報のリポジトリを維持し、損失を最小限に抑えます。

Web サイトが外部のセキュリティ問題から保護されている場合でも、特定のテーマまたはプラグインの更新により、サイトが不規則に動作し、ダウンタイムが発生する可能性があります.サイトが壊れている場合、修復には何時間もかかることがあります。しかし、適切なバックアップがあれば、最後の安全なバックアップを簡単に復元して、サイトをすぐに稼働させることができます。

WooCommerce ウェブサイトは頻繁に注文やリクエストを受けるため、リアルタイムの WooCommerce バックアップ ソリューションが最適です。さらに、これらのバックアップは暗号化された形式で保存する必要があり、データがハッカーの手に渡った場合でも読み取り不能になります。

MalCare は BlogVault とのシームレスな統合を提供し、Web サイトのデータをリアルタイムで保護する自動更新を頻繁に提供します。

2.ウェブサイトを最新の状態に保つ

更新とは、テクノロジーがどのように改善されるかです。開発者は更新を使用して、機能、速度、パフォーマンス、および安全性を向上させます。 Web サイトのバグや脆弱性は、頻繁な更新によって削除されます。

WooCommerce もこの目的のために頻繁に更新されます。 Web サイトを頻繁に更新することで、ハッカーにとって簡単なアクセス ポイントである、事前に発見された脆弱性から Web サイトを保護できます。

テーマやプラグインを含むウェブサイトのすべての要素を更新すると、長期的には頭痛の種を大幅に減らすことができます. MalCare のお客様は、ダッシュボードからワンクリックで Web サイトの要素を更新できます。ただし、手動で行いたい場合は、簡単な方法があります。

Plugins> Installed Plugins>Update Available に移動するだけです

ここから、更新したいプラグインを更新できます。同様に、テーマについては、外観> テーマ、 に移動します。 どのテーマを持っていても更新できます。

3. Null のテーマとプラグインを使用しない

私たちは何度も見てきました。プレミアム プラグインの無料バージョンを使用するのは魅力的です。しかし、これには非常に多くの危険が伴うため、わずかな利益に値するものではありません。

まず第一に、無効化されたテーマとプラグインは、ライセンスが壊れているプレミアム製品です。これらは疑いを持たない人へのルアーとして使用されることが多く、バックドアが含まれています。 Web サイト管理者が無効化されたプラグインをインストールし、ハッカーが Web サイトにレッド カーペット エントリを持っています。

次に、無効化されたプラグインとテーマは開発者から更新されません。つまり、あるバージョンで脆弱性が発見され、開発者がセキュリティ パッチをリリースしても、無効化されたプラグインはそれを取得できません。

したがって、脆弱性は引き続き存在し、開発者がパッチをリリースしたため、脆弱性は現在では一般的な知識となっています。こうして、ハッカーのオープンシーズンが始まります。

最後に、それは正しくありません。開発者は、自分の仕事から利益を得る権利があります。開発者をサポートし、WordPress エコシステムを構築します。

WooCommerce を保護するためにしてはいけないこと

WooCommerce のセキュリティに関して、インターネット上には非常に悪いアドバイスがたくさんあります。努力する価値がないため、絶対にすべきではないことを次に示します。

• データベースのプレフィックスを変更する
• ログイン URL を隠す
• パスワード保護コア ファイル
• WordPress のバージョン番号を削除

セキュリティの強化に関しては、これらの手段はほとんど針を動かしません。ただし、ユーザー エクスペリエンスに大混乱を引き起こす可能性があります。

WooCommerce セキュリティに関する最終的な考え

店舗は 24 時間年中無休で営業しているため、24 時間年中無休で管理する必要があります。そのため、ダウンタイムは悲惨なものになる可能性があり、セキュリティの必要性はそれだけ増幅されます。

さらに、電子商取引ビジネスは、企業の機密情報を扱います。この情報が悪者の手に渡ることは許されません。

しかし、さらに重要なことは、e コマース Web サイトは、顧客固有のデータである個人を特定できる情報 (PII) も扱っていることです。漏洩した場合、ブランドの評判が損なわれるだけでなく、データ侵害からの回復に法的罰則、訴訟、および高額の費用がかかる可能性があります。

賭け金が高すぎて、セキュリティが失効することはありません。そのため、WooCommerce Web サイトでは積極的かつ予防的な対策が非常に重要です。

WooCommerce サイトに完全なセキュリティ エコシステムを展開するには、MalCare セキュリティ プラグインをインストールしてください。これにより、Web サイトのセキュリティが十分に管理されているので安心できます。

よくある質問

WooCommerce は安全ですか?

WooCommerce は、e コマース サイト用に構築されたプラットフォームです。このプラットフォームは、オンライン ビジネスに安全なインフラストラクチャを提供します。ただし、完全なセキュリティを検討する際には、さまざまな外部要因を考慮する必要があります。総合的なセキュリティ ソリューションに投資すれば、WooCommerce は安全でセキュアなエクスペリエンスになります。

WooCommerce はハッキングされる可能性がありますか?

Woocommerce 内の特定の脆弱性は、ハッカーや攻撃者によって悪用される可能性があります。 WooCommerce は、その脆弱性を常に把握するために頻繁に更新を行い、堅牢なファイアウォールを使用して、厄介な攻撃者やマルウェアのほとんどを締め出すことができます.

WooCommerce に SSL が必要ですか?

SSL証明書は、サイトを暗号化し、データを保護して、Webサイトとストアを安全に保つのに役立ちます.セキュリティを強化するために、WooCommerce Web サイトの SSL 証明書を取得することを強くお勧めします。

WooCommerce サイトを保護する方法

強力なパスワードの選択、ウェブサイトの更新、ウェブサイトのバックアップ、セキュリティ プラグインの使用、SSL 証明書の取得など、Woocommerce サイトを保護する方法はいくつかあります。

WooCommerce にセキュリティ プラグインは必要ですか?

セキュリティ プラグインがなくても WooCommerce のセキュリティを維持できますが、プラグインを使用すると、はるかに簡単になります。セキュリティ プラグインは専門家によって開発されており、大量のデータを数秒で調べて、時間に敏感なマルウェアや脆弱性を見つけることができます。さらに、プラグインはウェブサイトを安全かつ確実にクリーンアップし、ファイアウォールを介してセキュリティのレイヤーを追加します.