インターネット
 Computer >> コンピューター >  >> ネットワーキング >> インターネット

今すぐ実装する必要がある5つのWordPressセキュリティのヒント

今すぐ実装する必要がある5つのWordPressセキュリティのヒント

WordPressWebサイトを保護するための明らかなセキュリティ対策をすでにご存知でしょう。

おそらく、サイトのパスワードを「強力」にする必要があることを知っているでしょう(特殊文字、大文字、小文字、数字の組み合わせ)。ユーザー名として「admin」を使用しないでください。また、パスワードは頻繁に変更する必要があります。おそらく、WordPressサイトですでに2要素認証を使用していて、サイトをバックアップしています。また、プレミアムプラグインを無料または不明なソースからダウンロードすることはありません。では、他に何がありますか?

ここでは、WordPressサイトを保護するために使用できる、または使用すべき、ほとんど知られていないが非常に効果的な方法を使用した、WordPressのセキュリティに関するヒントについてさらに説明します。

1。ログインページの名前を変更または再配置します

今すぐ実装する必要がある5つのWordPressセキュリティのヒント

サイトのデフォルトのログインページは「www.websitename.com/wp-login.php」(または「www.websitename.com/wp-admin」)です。サイトを保護する方法の1つは、ログインページを非表示にしたり、隠したりして、ハッカーが簡単に見つけられないようにすることです。毎回のログイン試行回数とログイン試行間の期間を制限することでログインアクセスを制御すると、セキュリティも向上します。

Jetpackがすでにインストールされている場合は、その「ブルートフォース保護」モジュールをアクティブ化できます。このモジュールをアクティブにすると、JetpackはWebサイトへの悪意のあるログイン試行の回数でDashboadを更新します。いくつかのIPアドレスをホワイトリストに登録するオプションもあります。 Jetpackから[設定]、[保護]、[構成]の順に移動すると、下の画像のように表示されます。

今すぐ実装する必要がある5つのWordPressセキュリティのヒント

Cerber Security and Limit Login Attemptは、Jetpackの代替プラグインです。 Jetpackを使用したくない場合は、ログイン制限を選択できます。執筆時点で、プラグインは40,000回以上インストールされており、111人のユーザーのうち108人が5つ星と評価しているため、ほぼ手付かずの評判を維持しています。

ログイン制限は非常に使いやすいですが、「強化」セクションを構成すると、サイトのセキュリティが向上します。トラックバックとピングバックを含むXML-RPCサーバーへのすべてのアクセスは、デフォルトでブロックされます。何らかの理由でWordPressのRESTAPIにアクセスする場合(たとえば、ブログのAndroidまたはiOSアプリで必要な場合)、WPRestAPIとXML-RPCにアクセスできるようにします。

今すぐ実装する必要がある5つのWordPressセキュリティのヒント

2。安全な場所でホストする

WordPressサイトのセキュリティ侵害のなんと41%は、サイト自体ではなくホスト側から発生しているため、ホストが安全であることを確認するのが常識です。実際、セキュリティに関しては、ホスティングが最も重要です。ハッキングの8%のみが弱いパスワードが原因で発生し、29%がテーマが原因で、22%がプラグインが原因で発生します。したがって、サイトの安全性の約半分はホスティングに依存しています。

今すぐ実装する必要がある5つのWordPressセキュリティのヒント

共有ホスティングを使用する場合は、アカウントにアカウントの分離が含まれていることを確認してください。あなたのアカウントは、他の人のWebサイトで何が起こっても保護されます。ただし、WordPressユーザーを念頭に置いて設計されたサービスを使用することをお勧めします。このようなサービスには、WordPressファイアウォール、ゼロデイマルウェア攻撃保護、更新されたMySQLとPHP、専用のWordPressサーバー、およびWordPressに精通したカスタマーサービスが含まれます。 WP Engine、Siteground、Pagelyなどのホストには、強力な安全実績があります。

今すぐ実装する必要がある5つのWordPressセキュリティのヒント

3。最新の状態に保ち、更新されたソフトウェアのみを使用してください

コンピュータには、更新されたウイルス対策およびその他の関連するマルウェア対策保護を使用する必要があることを知っています。この予防措置は、プラグインとテーマにも当てはまります。それらを最新の状態に保ち、リポジトリに使用されていないテーマまたはプラグインがある場合は、それらを削除します。サイトに適している場合は、プラグインとテーマを自動的に更新するように設定することを検討してください。自動更新を設定するには、wp-config.phpにコードを追加します。 プラグインのコードは次のとおりです。

add_filter( 'auto_update_plugin', '__return_true' );

テーマについては、次のコードを使用してください:

add_filter( 'auto_update_theme', '__return_true' );

サイトのメンテナンスに実践的なアプローチが必要な場合は、WordPressの更新を自動化することを検討してください。ただし、自動更新を設定すると、特に最新のWordPress更新と互換性のないプラグインがサイトで実行されている場合に、サイトが破損する可能性があることに注意してください。 WordPressサイトの自動更新を設定するには、以下のコードを wp-config.phpに挿入します。 ファイル:

# Enable all core updates, including minor and major:
define( 'WP_AUTO_UPDATE_CORE', true );

4。プラグインテーマエディタとPHPエラーレポートを削除します

定期的に設定を調整および変更しない場合(またはプラグインとテーマに対して他のメンテナンスを実行しない場合)は、プラグインとテーマの組み込みエディターを無効にします。これはあなたのウェブサイトのセキュリティのためです。

許可されたWordPressユーザーはこのエディターにアクセスできるため、アカウントがハッキングされた場合にサイトがセキュリティ違反に対して脆弱になります。実際、ハッカーはそのエディターのコードを変更することでサイトを破壊する可能性があります。エディターを無効にするには、以下のコードを wp-config.phpに挿入します。 :

define( 'DISALLOW_FILE_EDIT', true );

エラー報告は良いです。トラブルシューティングに役立ちます。唯一の問題(そしてそれは大きな問題です)は、エラーメッセージにもサーバーパスが含まれていることです。ハッカーはサーバーパスを調べて、Webサイトの構造を簡単に理解することができます。 PHPのエラー報告は優れていますが、完全に無効にするのが最善です。 wp-config.php には、以下のコードスニペットを使用してください ファイル:

error_reporting(0);
@ini_set(‘display_errors’, 0);

5。 .htaccessを使用して専用ファイルを保護します

今すぐ実装する必要がある5つのWordPressセキュリティのヒント

.htaccessファイルは、WordPress Webサイトの中心であるため、重要です。このファイルは、サイトのパーマリンクの構造とセキュリティに責任があります。 #BEGIN WordPressの外 および#END WordPress タグの場合、.htaccessファイルに追加してWebサイトのディレクトリ内のファイルの表示を変更できるコードスニペットの数に制限はありません。

まだ行っていない場合は、サイトのwp-config.phpファイルを非表示にします。このファイルはサイトの活動にとって極めて重要であり、個人情報やサイトに関連するその他の重要な詳細が含まれています。以下のコードスニペットを使用して非表示にすることができます。

order allow,deny
deny from all

管理者アクセスを制限するには、新しい.htaccessファイルを作成し、それを「wp-admin」ディレクトリにアップロードするだけです。その後、次のコードを挿入します:

order deny,allow
allow from 192.168.5.1
deny from all

正しい場所にIPアドレスを入力してください。複数のIPアドレスからwp-adminへのアクセスを許可するには、allow from IP Addressのように、それぞれを別々の行にリストします。 。ほぼ同じ方法で、wp-login.phpへのアクセスを制限できます。このコードスニペットを.htaccessに追加するだけです:

order deny,allow
Deny from all
# allow access from my IP address
allow from 192.168.5.1

すべてのIPアドレスをブロックするのではなく、wp-adminまたはwp-login.phpにアクセスする特定のIPアドレスだけをブロックする場合は、次のコードを使用して個々のIPアドレスをブロックできます。

order allow,deny
deny from 456.123.8.9
allow from all

また、サイトディレクトリを閲覧できないようにすることで、他のユーザーによるサイトディレクトリの表示をブロックすることもできます。このコードスニペットを使用して、次のことを行うことができます。

Options All -Indexes

結論

これは、WordPressWebサイトのセキュリティを向上させるのに役立つ実用的なガイドです。これらのオプションの中で最も重要なのは、今すぐ実装するのが非常に簡単なオプションです。サイトのセキュリティの半分がホストにかかっているため、セキュリティについての評判が高いホストを見つけてください。

どのセキュリティのヒントがあなたにとって最も役に立ちましたか、そしてその理由は何ですか?ここに記載されていない他のセキュリティのヒントはありますか?コメントでそれ(またはそれら)に言及してください。


  1. WordPress 脆弱性スキャナー

    WordPress サイトの安全性が十分でないことを心配していますか?サイトに存在するセキュリティ上の欠陥を見つけて修正しますか? あなたは正しい軌道に乗っています。ハッカーがサイトの脆弱性を発見すると、それを悪用して、訪問者を未知のサイトにリダイレクトする、顧客にスパムを送信する、サイトを通じて違法な製品を販売するなど、あらゆる種類の悪意のある活動を実行します。 このような行為は、サイトやビジネスに大きな損害を与える可能性があります。 Google などの検索エンジンがハッキングを検出すると、サイトをブラックリストに登録し、訪問者がアクセスできないようにします。同様に、ハッキングを修正す

  2. 今必要な 5 つの発明!

    いつ未来の発明と、それが本当だったらいいのにと思う話ですが、私の個人的なお気に入りは 1 つだけです。明らかにスター・ウォーズの「ライトセーバー」です。いいえ、カイロ・レンの実用的でないバージョンではありません。これまでで最も素晴らしい説明の 1 つが付属していたオリジナルを意味します。 「?オビ=ワン・ケノービ(ナードガスム!) 日常生活での使い方は数えきれないほどあります。トーストが必要ですか?ザップ!迷惑なハエが飛び回っていますか?ザップ!ドアでイライラするセールスマン?ザップ!! 意図された目的ではないことは承知していますが、大規模に製造されれば、消費者は革新的な用途を見つけること