16 の WordPress セキュリティの問題 (脆弱性) とそれらを修正するためのヒント

WordPress を使用すると、誰でも簡単に Web サイトをすばやく作成できますが、Web サイトにはセキュリティ上の問題がいくつあるかについて多くの騒ぎがあります。

WordPress にはセキュリティ上の問題がありますか? はい
彼らは乗り越えられませんか？ いいえ
WordPress で Web サイトを構築するのをやめるべきでしょうか? そうではない

控えめに見積もっても、Web サイトの数は約 20 億であり、WordPress はそれらのほぼ 45% を支えています。これは、WordPress が非常に多作であり、非常に多くのハッキングを受けやすいためです。直接的な結果として、WordPress は非常に安全なシステムに進化しました。実際、WordPress が何年にもわたって解決してきたセキュリティ問題の多くは、他の CMS にもまだ存在しています。

この記事では、WordPress のセキュリティ問題について説明しますさらに重要なことに、それらから Web サイトを保護する方法に注意する必要があります。

TL;DR: MalCare を使用して、WordPress のセキュリティ上の懸念から Web サイトを保護します。 MalCare はオールインワンのセキュリティプラグインで、マルウェアスキャナー、自動クリーナー、ファイアウォールを 1 か所にまとめたものです。それとは別に、ウェブサイトを安全に更新し、ハッカーがセキュリティの脆弱性を悪用するのを防ぐことができます. WordPress のセキュリティ問題の専門的な解決策を探しているなら、MalCare で見つけました。

WordPress にはセキュリティ上の問題がありますか?

はい、WordPress にはセキュリティ上の問題がありますが、対処するのは難しくありません。脅威に対抗するために、開発経験や WordPress コードのいじりに慣れている必要はありません。この記事に記載されている簡単な修正に従うと、強力で安全な WordPress Web サイトが完成します。

ウェブサイトに影響を与える可能性のある 16 の一般的な WordPress セキュリティ問題

WordPress には多くのセキュリティ上の問題がありますが、すべて簡単に解決できるという利点があります。ウェブサイトを成長させたり収益を上げたりする代わりに、ウェブサイトのセキュリティ管理に時間を費やしたいと思う人はいません。

WordPress のセキュリティの脆弱性や侵害されたパスワードとは別に、マルウェアや攻撃もセキュリティの問題です。マルウェアと WordPress の攻撃は同じ意味で使用されることもありますが、それらは異なります。マルウェアは、ハッカーが Web サイトに挿入する悪意のあるコードです。一方、攻撃は、マルウェアを挿入するために使用するメカニズムです。以下のリストでは、WordPress のセキュリティ問題の 4 種類すべてを網羅しています。

知っておく必要がある一般的なワードプレスのセキュリティ問題のリストは次のとおりです:

古いプラグインとテーマ
脆弱なパスワード
WordPress ウェブサイト上のマルウェア
SEO スパムマルウェア
フィッシング詐欺
悪意のあるリダイレクト
パスワードの再利用
無効化されたソフトウェア
WordPress サイトのバックドア
wp-vcd.php マルウェア
総当たり攻撃
SQL インジェクション
クロスサイトスクリプティング攻撃
Web サイトは HTTPS ではなく HTTP を使用しています
WordPress から送信されるスパムメール
休眠ユーザーアカウント

1.古いプラグインとテーマ

WordPress プラグインとテーマはすべてコードで構築されており、前に説明したように、開発者はコードで間違いを犯すことがあります。間違いは、脆弱性と呼ばれるセキュリティの失効を引き起こす可能性があります。

セキュリティ研究者は、インターネットをより安全な場所にするために、一般的なソフトウェアの WordPress セキュリティの脆弱性を探しています。脆弱性を発見すると、開発者に開示して修正してもらいます。次に、責任ある開発者が、脆弱性を解決する更新の形でセキュリティパッチをリリースします。十分な時間が経過すると、セキュリティ研究者はその結果を発表します。

16 の WordPress セキュリティの問題 (脆弱性) とそれらを修正するためのヒント

理想的には、この時点でプラグインとテーマが更新されているはずです。しかし、そうではない場合が非常に多いです。ハッカーは、Web サイトを攻撃し、脆弱性を悪用するこの傾向を知っており、それを利用しています。

注意して更新しないと、更新によってサイトが壊れることがあります。 BlogVault を使用して更新を管理し、更新前にサイトがバックアップされるようにします。ライブサイトに移動する前に、ステージングですべてが完全に機能することを確認できます。

修正:ウェブサイトの更新を迅速に管理します。

2.脆弱なパスワード

ハッカーはボットと呼ばれるプログラムを使用してログインページを攻撃し、さまざまなユーザー名とパスワードの組み合わせを試して Web サイトに侵入します。多くの場合、ボットは、辞書の単語と一般的に使用されるパスワードを使用して、1 分間に数百もの組み合わせを試すことができます。成功すると、ハッカーはあなたの Web サイトへのアクセスを許可します。

反対に、強力なパスワードは覚えにくいため、管理者は、ペットの名前、誕生日、または「パスワード」という単語の順列など、覚えやすいものを選択します。

ただし、これにより、サイトのセキュリティが攻撃に対して脆弱になります。この情報は、ソーシャルメディアやその他のサイトを介してオンラインで合法的に入手でき、データ侵害やダークウェブを介して違法に入手できます。最善の方法は、強力で一意のパスワードを設定して、アカウント、つまり Web サイトを安全に保つことです。

注: ユーザーアカウントとホスティングアカウントを含むサイトアカウント全体に強力なパスワードを設定する必要があります。管理者が SFTP とデータベースの資格情報を変更することはあまりありませんが、変更した場合は、これらにも強力なパスワードを設定してください。

さらに、WordPress でのログイン試行を制限できます。ユーザーの不正なログインが多すぎると、一時的にロックアウトされるか、ボットではないことを証明するために CAPTCHA を入力する必要があります。この措置は、ボットを締め出し、人的ミスを許容します。

修正:強力なパスワードを適用し、ログイン試行を制限してボットをブロックします。

3. WordPress ウェブサイト上のマルウェア

マルウェアは、Web サイトでの不正なアクティビティを可能にするコードを表すために使用される包括的な用語です。以降のポイントでは、バックドアやフィッシング詐欺などの特定のケースについても見ていきます。

WordPress のセキュリティ問題への対処について話すとき、目標はマルウェアを締め出すことです。ただし、前に述べたように、100% 防弾のシステムはありません。すべてを正しく行うことができ、巧妙なハッカーが防御に侵入する新しい方法を見つけるでしょう。まれですが、起こります。では、マルウェアがすでに Web サイトにある場合、どのように対処すればよいのでしょうか?

まず、マルウェアが実際に Web サイトにあることを確認する必要があります。マルウェアは、ファイル、フォルダー、およびデータベースに隠れている可能性があります。マルウェアファイルが WordPress コアファイルや画像ファイルになりすまし、プラグインとして表示されることさえあります。 Web サイトが感染しているかどうかを確認する唯一の方法は、毎日ディープスキャンを行うことです。そのためには、MalCare をインストールする必要があります。

MalCare は、洗練されたアルゴリズムを使用して、Web サイト上のマルウェアを検出します。他のスキャナーは、ファイル比較やシグネチャマッチングなどの部分的に効果的な手法を使用して、マルウェアにフラグを立てます。 MalCare は 100 以上のシグナルを使用してコードの動作をチェックし、悪意がある場合はマルウェアとしてフラグを立てます。これには 2 つの大きな利点があります。 2 つ目は、マルウェアの最新の亜種でさえ正しく検出されることです。

MalCare は、マルウェアをスキャンする際に 95% 以上の精度で、完全に無料です。スキャンの結果、Web サイトがハッキングされていることが示された場合にのみ、アップグレードしてクリーンアップする必要があります。 MalCare を使用すると、自動クリーン機能が WordPress Web サイトからマルウェアを外科的に除去し、Web サイトを元の状態に戻します。

修正:MalCare でウェブサイトをスキャンしてクリーンアップします。

4. SEO スパムマルウェア

SEO スパムは、ハッカーが Web サイトのトラフィックを Web サイトから怪しげなスパム Web サイトに誘導するために使用する、特に悪質なマルウェアです。彼らは、Google で検索結果を乗っ取ったり、既存のページにコードを挿入したり、トラフィックを自社の Web サイトにリダイレクトしたりして、これを行います。時々、彼らはこれらすべてのことをします。いずれにせよ、それは常に悪いニュースです。

SEO スパムマルウェアには、日本語のキーワードハックや医薬品ハックなど、一般的な亜種がいくつかあります。これらの亜種はどちらも、検索結果の日本語の文字または医薬品のキーワードに症状が現れるため、それ自体で悪評を得ています。

日本語のキーワードハック

ファーマハック

すべてのタイプの SEO スパムマルウェアは、簡単に削除することが不可能な数十万の新しいスパムページを作成する可能性があるため、手動で削除するのは非常に困難です。さらに、.htaccess ファイルなどの重要な WordPress コアファイルやフォルダーにマルウェアを挿入し、適切に駆除しないとサイトを破壊する可能性があります。

この種のマルウェアを含むサイトは常に Google Search Console でフラグが立てられ、Google のブラックリストに登録され、Web ホストがホスティングアカウントを一時停止するようになります。したがって、このハッキングに対処するための鍵は専門家に任せることです。この場合は、MalCare と呼ばれる WordPress セキュリティプラグインです。

Google Search Console のセキュリティの問題

MalCare はマルウェアを取り除くだけでなく、サイトが高度なファイアウォールで保護されていることを確認します。

修正:MalCare で SEO スパムマルウェアを削除します。

5.フィッシング詐欺

フィッシングマルウェアは、信頼できるブランドになりすましてユーザーをだまして機密情報を提供させる 2 つの部分からなる詐欺です。

最初の部分は、無防備なユーザーに公式のように見える電子メールを送信することです。通常、パスワードなどをすぐに更新しないと何か恐ろしいことが起こるという悲惨な警告が含まれます.たとえば、フィッシングメールが Web ホストの顧客になりすました場合、彼らはサイトが閉鎖される危険があると言うかもしれません。

詐欺の後半は Web サイトで行われます。通常、フィッシングメールには、ユーザーを一見公式の Web サイトに誘導し、資格情報を入力させるリンクが含まれています。ウェブサイトは明らかに偽物であり、これがアカウントを侵害する人の数です。

放棄された WordPress Web サイトのフィッシングページ

WordPress Web サイトでは、詐欺のどの部分が発生しているかに応じて、フィッシングには 2 つの種類があります。最初のケースでは、WordPress 管理者は、Web サイトにデータベースの更新が必要であるというフィッシングメールを受け取り、だまされてログイン情報を入力させられます。

一方、ハッカーはあなたのウェブサイトを偽のページに使用することができます.多くの場合、Web サイト管理者は、Web サイトに銀行のロゴや e コマース Web サイトのロゴを目にすることがありますが、そこに存在する理由はありません。これらは人をだますために使用されます。

Google は、フィッシング詐欺、特にこれらのページをホストする Web サイトを非常に迅速に取り締まります。あなたの Web サイトはブラックリストに登録され、フィッシング Web サイトが検出されたという通知が表示されます。これは、訪問者の信頼とブランディングにとってひどいものです。あなたは無実ですが、あなたのウェブサイトは詐欺のホストになっています。できるだけ早くこのマルウェアを駆除し、ダメージコントロールに向けた対策を講じることが不可欠です。

修正:MalCare を使用してウェブサイトからフィッシングマルウェアを削除し、メール内のリンクをクリックしないようにユーザーにアドバイスしてください。

6.悪意のあるリダイレクト

最悪の WordPress ハッキングの 1 つは、悪意のあるリダイレクトハックです。自分の Web サイトにアクセスしたのに、疑わしい製品やサービスを販売している別のスパムや詐欺の Web サイトに飛ばされてしまうのは、信じられないほどイライラします。多くの場合、ハッキングされたリダイレクトマルウェアのために、WordPress 管理者は Web サイトにログインすることさえできません。

このマルウェアには多くの亜種があり、Web サイトのファイルとデータベースに完全に感染します。 500 件以上の投稿があるサイトのすべての投稿で、ハッキングされたリダイレクトマルウェアのインスタンスが確認されています。それは悪夢であり、管理者は当然のことながら不満を感じていました。

悪意のあるリダイレクトマルウェアを取り除く唯一の方法は、セキュリティプラグインを使用することです。実際、Web サイトにログインできないため、プラグインをインストールするにはおそらくヘルプが必要になるでしょう。そこで、MalCare のサポートチームがお手伝いします。彼らはインストールプロセスをガイドし、必要に応じてサイトをクリーンアップします。

修正:MalCare を使用して、ハッキングされたリダイレクトマルウェアを駆除してください。

7.再利用されたパスワード

前のセクションで説明したように、再利用されたパスワードは強力なパスワードになる可能性がありますが、必ずしも一意であるとは限りません。

たとえば、ソーシャルメディアアカウントと Web サイトアカウントのパスワードには、同じ文字列、文字、数字が使用されています。入力に慣れており、推測できないので、良いパスワードです。

まあ、あなたは半分正しいです。これは優れたパスワードですが、1 つのアカウントに対してのみ使用できます。経験則として、アカウント間でパスワードを再利用しないでください。その理由は、データ侵害の潜在的な脅威です。

GoDaddy は 2021 年 9 月に侵害を受けましたが、2021 年 11 月に初めて発見されました。それまでに、120 万人のユーザーのデータベースと SFTP 資格情報が侵害されていました。これらのユーザーのいずれかが、銀行口座などの別の場所でパスワードを使用していた場合、その情報は完全にハッカーの手に渡ったことになります。他のアカウントに侵入しやすくなります。

私たちはさまざまなサービスやウェブサイトを信頼してデータを保護していますが、完全に防げるシステムはありません。物事は時々壊れることがあります。被害を最小限に抑えることが目標です。すべてのアカウントに固有の強力なパスワードを作成すると、それを行うのに役立ちます。

修正:一意のパスワードを設定し、パスワードマネージャーを使用してそれらを覚えておいてください。

8.無効化されたソフトウェア

無効化されたプラグインとテーマは、オンラインで無料で利用できるクラックされたライセンスを備えたプレミアムバージョンです。開発者から盗むという道徳的な側面とは別に、無効化されたソフトウェアは WordPress の大きなセキュリティリスクです。

無効化されたテーマとプラグインのほとんどは、マルウェアだらけです。ハッカーは、人々がプレミアム製品を手に入れたいと思っていることに依存し、人々がそれをインストールするのを待ちます。 Web サイトに大量のマルウェアが手渡しされ、サイトがハッキングされました。これが、最初からプレミアムソフトウェアをクラックしようとする唯一の理由です。 Robin Hood は WordPress エコシステムには関与していません。

無効化されたテーマとプラグインにマルウェアが含まれていなかったとしても (これは非常にまれです)、それらを更新することはできません。それらは公式バージョンではないため、明らかに開発者からのサポートを受けていません。そのため、脆弱性が発見され、開発者がセキュリティパッチをリリースした場合、無効化されたソフトウェアは、マルウェアがインストールされているだけでなく、脆弱性があり古くなります。

修正:ペストのような無効化されたプラグインやテーマは避けてください。

9. WordPress サイトのバックドア

バックドアは、名前が示すように、Web サイトのコードにアクセスするための別の違法な方法です。ハッカーはマルウェアとともにバックドアコードを Web サイトに挿入するため、マルウェアが発見されて削除されると、バックドアを使用してアクセスを取り戻すことができます。

バックドアは、Web サイトから手動でマルウェアを駆除することをお勧めしない主な理由の 1 つです。マルウェアスクリプトを見つけて削除できる場合もありますが、バックドアは非常に巧妙に隠され、ほとんど見えなくなります。

Web サイトからバックドアを削除する唯一の方法は、MalCare などの WordPress セキュリティプラグインを使用することです。 MalCare は、自動クリーン機能を使用してバックドアとマルウェアを迅速かつ簡単に取り除きます。

修正:セキュリティプラグインを使用してバックドアを削除します。

10. wp-vcd.php マルウェア

wp-vcd.php マルウェアは、WordPress Web サイトにスパムポップアップを表示し、ユーザーを他の Web サイトに誘導します。 SEO スパムハッキングや悪意のあるリダイレクトと同じ目的を持っていますが、動作が異なります。 wp-tmp.php や wp-feed.php など、いくつかの亜種があります。

WordPress テーマの functions.php ファイル内の wp-vcd マルウェア

wp-vcd.php マルウェアは、サイトが読み込まれるたびに実行されるコードで Web サイトに感染します。これは、WordPress サイトに感染する最も苛立たしいハッキングの 1 つです。これは、削除するとすぐに戻ってくるように見えるためです。場合によっては、即座に。キックできない再発性ウイルスに例えることができるマルウェアがあったとしたら、wp-vcd.php がその 1 つです。

wp-vcd.php マルウェアは、主に無効化されたプラグインとテーマを介して Web サイトに感染します。 Wordfence は、「自分のサイトにインストールしたマルウェア」とまで呼んでいます。これは少し厳しいと思いますが、無効化されたソフトウェアの危険性を強調しています。

修正:MalCare を使用して、Web サイトから wp-vcd.php マルウェアを即座に駆除します。

11.ブルートフォース攻撃

ハッカーはボットを使用して、ユーザー名とパスワードの組み合わせでログインページを攻撃し、アクセスを取得します。この方法はブルートフォース攻撃として知られており、パスワードが脆弱であるか、データ侵害で見つかったものと同じである場合に成功する可能性があります。

MalCare を使用したログイン保護

ブルートフォース攻撃は、セキュリティにとって恐ろしいだけでなく、サイトのサーバーリソースを消費します。ログインページが読み込まれるたびに、いくつかのリソースが必要になります。通常、ディスクの使用量はごくわずかであるため、パフォーマンスに顕著な影響はありません。しかし、ブルートフォースボットは、1 分間に数千回とは言わないまでも、数百回の速度でログインページを叩きます。サイトが共有ホスティングを使用している場合、顕著な結果が得られます.

ブルートフォース攻撃に対抗する方法は、Web サイトをボットから保護し、不正なログイン試行を制限することです。 MalCare には、セキュリティプラグインに組み込まれたボット保護が付属しています。

ログインページで CAPTCHA を有効にすることもできます。デフォルトの URL を変更してログインページを非表示にするようアドバイスが表示される場合がありますが、これは行わないでください。その URL が失われると、取得するのが非常に難しくなり、ハッカーとともに Web サイトから締め出されます。

修正:ログイン試行を制限し、Web サイトのボット保護を取得します。

12. SQL インジェクション

すべての WordPress Web サイトには、Web サイトに関する重要な情報を保存するデータベースがあります。ユーザー、ハッシュ化されたパスワード、投稿、ページ、コメントなどはテーブルに保存され、Web サイトファイルによって定期的に編集および取得されます。データベースに直接アクセスすることはめったになく、セキュリティのために Web サイトファイルによって制御されます。

ハッカーはデータベースと直接やり取りできるため、SQL インジェクションは特に危険な攻撃です。 Web サイトのフォームを使用して SQL クエリを挿入し、データベースの操作や読み取りを可能にします。 SQL は、データの追加、削除、変更、取得など、データベースに変更を加えるために使用されるプログラミング言語です。これが、SQL インジェクション攻撃が非常に危険な理由です。

解決策は、プラグインとテーマを最新の状態に保つことです。これは、サニタイズされていない入力などの WordPress のセキュリティの脆弱性が SQL インジェクション攻撃の成功につながるためです。さらに、優れたファイアウォールは、悪意のあるユーザーを Web サイトから遠ざけます。

修正:すべてを最新の状態に保ち、ファイアウォールをインストールします。

13.クロスサイトスクリプティング攻撃

Web サイトに対するクロスサイトスクリプティング (XSS) 攻撃は、ハッカーが Web サイトにコードを挿入するという点で SQL インジェクションに似ています。違いは、コードが Web サイトデータベースではなく、Web サイトの次の訪問者をターゲットにしていることです。

XSS 攻撃では、マルウェアが Web サイトに追加されます。 A visitor comes along, and their browser thinks that the malware is part of your website, and thus the visitor is attacked. Generally, cross-site scripting attacks are used to steal data from unsuspecting visitors.

The way to protect your site visitors is to make sure that XSS vulnerabilities don’t exist on your website. The simplest way to do this is to make sure that your website is fully updated. You can take the security to the next level by installing a WordPress firewall plugin as well.

Fix:Install a WordPress firewall, and keep everything on the website updated.

14. Website is on HTTP not HTTPS

You may have noticed that many websites now have a green lock near the URL bar. This is a trust badge for the visitor to say that the website is using SSL. SSL is a security protocol that encrypts traffic back and forth from a website.

A good analogy for this is to think of a telephone call. The data passing between two people on the line is intended to stay between them as a private conversation. However, if a third person was able to tap into that line, they would understand the data and therefore it is no longer private. However, if two original people were to use a code which only they are able to decipher, regardless of how much the third person overhears, the information’s true meaning is hidden from them.

This is how SSL works for websites. It encrypts the data being sent to and from the website, so that sensitive information cannot be read by a third party and used illegitimately.

The Internet as a whole has been moving towards data security and privacy in the recent decade, and SSL has emerged as one of the fundamental ways to achieve that purpose. Even Google strongly advocates for SSL-enabled websites, going as far as to penalise non-SSL websites on their search results.

Fix:Install an SSL certificate on your website.

15. Spam emails being sent from WordPress

Emails are a cornerstone of digital marketing, and it is a way to engage and interact with website visitors. People are also becoming increasingly judicious about the emails they want to receive, so there is an underlying trust that exists.

Given the delicate nature of trust, it is awful to think that a hacker can insert malware into your website and email spam to your visitors. And yet, that is exactly what some malware does. It hijacks the WordPress core function wp_mail() to send out spam emails.

Malware ordinarily causes Google blacklists and web host suspensions, but in the case of spam emails your web host will also blacklist your email service and you will see a bunch of other errors. In fact, if the spammer adds email addresses to your website as well, then you are in danger of having your email blacklisted altogether.

Spam emails hitting a spam trap and endangering email sending authority of a WordPress website

Fix:Clean the spam email malware from your website, and use an email marketing tool instead.

16. Dormant user accounts

Users on a website change constantly. If you run a blog with multiple authors and editors, for instance, chances are that new writers are added to the website often, while older writers leave.

The crux over here are the old user accounts that aren’t removed promptly become a WordPress security issue over time. Because the accounts exist but passwords aren’t updated regularly, they are vulnerable to attack. Dormant user accounts suffer from the same dangers of compromised passwords, so removing any accounts not in active use is necessary housekeeping.

Additionally, it is important to know who is doing what on your website. Unusual or unexpected user actions are an early signal of hacked accounts.

Fix:Remove inactive user accounts and use an activity log.

Best practices to prevent WordPress security concerns

WordPress security issues are constantly evolving, and it is hard to stay on top of them in addition to all the other work that goes into running a website. Therefore, here are a few good security practices that can help you protect your website from malware and hackers, without extra effort on your part.

Install a security plugin: The best defence your WordPress has against hackers is a good security plugin like MalCare. A WordPress security plugin should have a malware scanner and cleaner. Ideally, it should also come with a firewall, brute force protection, bot protection and an activity log. MalCare has all this, and security experts readily available for any help. It is a hands-off solution, only alerting you when action is necessary, and doesn’t hog up server resources in the bargain. Install MalCare now, and breathe a sigh of relief.

Use a firewall: A web application firewall protects your website from all kinds of bad actors. Hackers want to exploit vulnerabilities on your website, in addition to other WordPress security issues. A firewall prevents that, by only letting in legitimate visitors. It is a must-have for your website, and it is even better if it comes bundled with your security plugin.
Keep everything updated :Ensure that WordPress core, plugins and themes are always updated. Updates often contain security patches for vulnerabilities, and therefore it is critical to update as soon as possible. However, we know that applying updates is not always straightforward. To minimise risk, safely update your website using BlogVault. Your site is backed up just before the update, and you can see how the update performs on staging first before updating your live website.
Have two-factor authentication: Passwords can get cracked, especially if they aren’t particularly strong or have been reused. Two-factor authentication generates a real-time login token in addition to passwords that is much harder to crack. You can enable two-factor authentication using a plugin, like WP 2FA or another one off of this list.
Enforce strong password policies: We cannot stress the importance of strong and unique passwords enough. We recommend using a password manager. In order to protect your website from security issues, like brute force attacks, your security plugin should limit login attempts as well.
Regular backups: Sometimes backups are the last resort with a hack, and your website should always have a backup that is stored away from your website server. Learn more about how to backup your WordPress site.

Use SSL: Install an SSL certificate on your website to encrypt communication back and forth from it. SSL has become a de facto standard, and Google actively promotes its use for a safer browsing experience.

Conduct a security audit every few months: Review users and their actions on the website, with an activity log. Unusual activity can be an early warning signal of malware. It is also advisable to implement the least privileges policy for admin and user accounts. Finally, purge any unused plugins or themes on your website. Deactivated themes and plugins are overlooked for updates, and WordPess security vulnerabilities go unchecked causing websites to be hacked.
Choose reputable plugins and themes: This is slightly subjective as a security measure, but it is worth using the best plugins and themes on your website. Check if the developer regularly updates their product, for instance. In addition to online reviews and support experiences of other users, this is an important metric. Additionally, premium software is generally a better bet overall. But most crucially, never use nulled software. It often carries malware in the code, having been cracked for that very reason. It is just not a worthwhile risk.

You can also harden your WordPress website, and educate yourself on how WordPress security works.

Top causes of hacks on WordPress sites

There are two weak links in the security of your WordPress site:vulnerabilities and passwords . 90%+ of malware is injected via vulnerabilities, 5%+ because of compromised or weak passwords, and <1% are because of other causes, like poor web host services.

Reasons why website is hacked

Vulnerabilities

While WordPress itself is secure, websites are built with more than just core WordPress. We use plugins and themes to extend functionality of our websites, add features, have a nice design, and interact with website visitors. All this is achieved with plugins and themes.

Plugins and themes, like WordPress, are built with code. When developers write code, they can make mistakes that result in loopholes. Loopholes in code can be exploited by hackers to perform actions that were not intended by the developer.

For instance, if your website allows users to upload images, say for a profile picture, the upload should only be an image file. However, if the developer has not put in those constraints, a hacker can upload a PHP file full of malware instead. Once it is uploaded to the website, the hacker can then execute the file and the malware will spread to the rest of the site. These loopholes are vulnerabilities. There are other types, of course, but these are the major ones that afflict WordPress sites.

Compromised passwords

If a hacker has your account credentials, they don’t need to hack into your website. That’s why strong passwords are so important.

There are two principal ways that passwords become the weakest link in the WordPress security chain. One is by using easy-to-remember passwords, which are consequently easy for hackers and their bots to guess. And the second way is when users reuse passwords across websites and services.

Data breaches are all too common. For example, a user has the same password for two different accounts:an ecommerce website and their Twitter account. If the ecommerce website has a data breach, where user data is stolen, their Twitter account is now compromised. The hacker can log into the account and cause all manner of havoc.

Both vulnerabilities and compromised passwords are WordPress security risks you can deal with easily, with the right tools and the right advice. Fortunately, both of those things are here.

結論

WordPress security issues can be daunting to an inexperienced admin, but that doesn’t mean there is no solution to them. Security issues can be resolved easily, by listening to expert advice. We, at MalCare, firmly believe that WordPress security should be a hands-off affair, leaving you free to do other things with peace of mind.

We hope that the article helped allay any fears. If there is something we have not addressed, please do let us know. We would love to hear from you.

よくある質問

Does WordPress have security issues?

WordPress is a secure system, but like any other system, it is not perfect. Plugins and themes add functionality and complexity to a website, but also bring in security risks. However, there are ways to mitigate those successfully, so WordPress websites are protected from hackers.

Is WordPress easily hacked?

WordPress is not easily hacked, however, some of its plugins and themes may not be as secure. Installing a security plugin with an integrated firewall, like MalCare will make a WordPress website much more secure.

Is WordPress secure for commerce?

WordPress is secure for commerce, if the website has a security plugin with a firewall installed. The security plugin will perform daily scans to alert users of malware. MalCare is a great security plugin that not only scans the website, but provides a 1-click auto-clean option as well. MalCare also comes with a firewall to keep away bad traffic from the commerce website, in addition to protecting the website from bots that scrape data.

What are your must-have WordPress security requirements?

The must-have WordPress security requirements are:

マルウェアスキャナー
Malware cleaner
WordPress firewall
ブルートフォース保護
ボット保護
Activity log
二要素認証

These features go a long way toward protecting websites from WordPress security issues.

Are outdated WordPress plugins a security risk for a site?

Yes, outdated WordPress plugins are a security risk for a website. Plugin updates usually contain security patches that address errors in the plugin code. These errors are known as vulnerabilities and can be exploited by hackers to gain unauthorised access to a website. Therefore it is critically important to update WordPress plugins as soon as possible. Same goes for WordPress themes.

WordPress でレンダリングをブロックするリソースを排除する方法 (CSS + Javascript)

サイトを保護する Sucuri の代替案 10 選

5 つの一般的な Android 8.1 Oreo の問題とその修正方法
Android は間違いなくスマートフォン市場全体を席巻し、市場シェアは 85% を超えました。これは、幅広いハードウェアサポートとオープンソースのオペレーティングシステムによるものです。 Apple の iOS は世界で 2 番目に大きい市場を保持していますが、それでも Android はリーダーボードのピークに達しています。 iOS は Apple デバイスのみに制限されていますが、Android はカスタマイズ可能であるため、他のデバイスにも最適な選択肢となります。 Google は、2017 年 3 月にアルファ開発者プレビューで Android Oreo (内部的には「Oat
Microsoft、MS Office の未知のセキュリティ脆弱性を修正するアップデートをリリース
Microsoft Office は、ワードプロセッサ、スプレッドシート、およびプレゼンテーションソフトウェアを組み合わせた、最も一般的に使用されるアプリケーションスイートです。これは、人気を博し、ユーザーが手動ドキュメントからデジタル化への移行を支援した最初のアプリケーションの 1 つです。しかし、サイバーセキュリティ会社である Check Point Research (CPR) は最近、何年も潜んでいたと疑われるバグを発見しました。この脆弱性はすぐに Microsoft に通知され、その後すぐにこの脆弱性にパッチを当てる更新プログラムがリリースされました。この更新プログラムは