約1ヶ月ほど前から、WPBeginnerのログインページとwp-adminページへのアクセスが大量に失敗していることに気づきました。私たちは非常に警戒しました。 wp-adminディレクトリのパスワード保護から2段階認証の追加プロセスまで、自分たちでできることはすべてやろうとしました。しかし、私たちのスキルと知識はかなり限られていることにすぐに気づきました。私たちはすでにVaultPressで完全なバックアップソリューションを持っていたので、私たちのサイトで異常な動作がないか継続的に監視してくれる誰かが必要でした。自分のやっていることを知っている誰か。素晴らしい評判を持っている誰か。いくつかの調査を行った後、一つの名前だけが際立っていました。それはSucuriでした。ウェブサイトにアクセスした後、私たちはこれがマルウェアのクリーンアップのためにクライアントのウェブサイトで行ったときに使用した無料のウェブサイトスキャナーを提供するのと同じサイトであることに気づきました。私たちは進んで私たちのウェブサイトのアカウントを取得しました。それを設定している間、私の心に来たのは「すごい」ということだけでした。これはすべての人にとって必須のツールであるべきです。この記事では、なぜ私たちがSucuriを使用しているのか、そしてそれがどのように私たちのWordPressセキュリティを実際に向上させるのかを説明します。
1. ウェブサイトの整合性監視
無料のフリースキャナーとは異なり、手動で実行する必要があるのに対し、ウェブサイトのマルウェアおよびブラックリスト警告は、最大3時間ごとにサイトをチェックし、サイトにマルウェア、悪意のあるJavaScript、悪意のあるiframe、疑わしいリダイレクト、スパムリンクの挿入などが含まれていないことを保証します。また、Google、Norton、AVG、Phishtank、Operaなどの一般的なサービスによってサイトがブラックリストに登録されていないことも確認します。これがどのように役立つのでしょうか?それはあなたの評判を維持し、ユーザーが「警告、何かが間違っています」のような兆候を見ないようにします。
2. サーバーサイドスキャン
ウェブサイトの監視は、ウェブサイトのフロントエンドのみをチェックします。しかし、マルウェアでユーザーを感染させることに関心のない巧妙なハッカーに対処している場合はどうでしょうか?彼らは単に、あなたが知らない古い投稿にバナー広告を追加しています。彼らがすでにアフィリエイトリンクを自分のものに変更して収益を盗むことができるバックドアアクセスを確立している場合はどうでしょうか?この種のハッキングは、無料のウェブサイトスキャナーでは検出できません。ただし、有料顧客には、サーバーサイドスキャンと呼ばれるオプションがあり、まさにそれを行います。サーバーをスキャンして、サーバーに潜んでいる疑わしいファイルがないことを確認します。また、ファイル変更などのイベントを監査して、常に情報を把握できるようにします。
これらのスキャンを実行するために、サーバーに何らかの肥大化したソフトウェアをインストールする必要があると思われるかもしれません。必要なのは、単純なphpファイルを1つアップロードするだけで、それでおしまいです。
3. WordPress監査ログプラグイン
私たちと同じようにWordPressを愛する人々によって作成されたため、WordPressユーザー向けの特別なプラグインがあります。このプラグインは、初心者と上級ユーザーの両方にとって貴重なものです。WordPressサイトで発生するすべてのイベントを監査します。ファイル変更、新しい投稿の追加など。
ハッカーは、ハッキングされたバックドアアクセスファイルをWordPressのファイル名で偽装しようとすることがよくあります。例えば、wp-includesフォルダ内にwp-user.old.phpという名前のファイルがあったり、平均的なユーザーが悪意のあるファイルだと疑わないような名前のファイルがあったりします。Sucuri WordPressプラグインは、すべてのコアファイルが改ざんされていないことを保証します。そのため、怪しいファイルが混ざっている場合、すぐに警告を発します。ハッカーは、マルウェアをwp-config.phpファイルの中に隠そうとすることがよくあります。これはコアファイルです。このプラグインはそれらすべてをチェックします。
ワンクリック強化
新規ユーザーの場合、さまざまなブログでさまざまなセキュリティ投稿が表示されます。次のサイトやその次のサイトなどで、それらすべてを記憶しようとします。ハードニングのトリックのいくつかは、まったく話題にさえなりません。さて、SucuriはWordPressのインストールをハードニングすることでセキュリティを向上させる機能を提供します。ワンクリックで、アップロードディレクトリを保護できます。ハッカーはしばしば悪意のあるファイルをアップロードフォルダに隠したがります。アップロードフォルダは年と月で整理されているため、ハッカーが何かを隠すのに簡単な場所です。ほとんどの人はアップロードフォルダをまったくチェックしません。簡単なクリックで、このプラグインはアップロードディレクトリを閲覧不能にし、PHPの実行を禁止します。これは、wp-contentディレクトリとwp-includesディレクトリについても同様です。ワンクリックで、wp-configファイルを1ディレクトリ上に移動することもできます。ワンクリックで、readme.htmlファイルなどを削除します。
現時点では、デフォルトのデータベースプレフィックスを1クリックで変更する方法はありませんが、将来のバージョンで利用可能になるとのことです。それまでの間、WordPressデータベースプレフィックスの変更方法のチュートリアルを使用できます。
最後になりましたが、このプラグインはスパマーをブロックし、IPをブラックリストに登録するWebファイアウォールを追加します。アクセスすべきでない領域にアクセスしようとしていたIPの多くは、既知のブラックリストに登録されたIPであることがわかりました。WordPressユーザーにとって、このプラグインは最高のものです。
4. アラート
モニタリングの最も重要な部分はアラートです。Sucuriでは、メールアラート、Twitterアラート、IMアラート、SMSアラート、RSSアラートを設定できます。これにより、ハッキングが発生した場合に最初に知ることができます。
マルウェアおよびブラックリストの監視に加えて、DNS変更、whois変更などの監視も行っています。最近、多くの人気ドメインがウェブマスターから盗まれましたが、この種の監視はあなたに警告し続けることができます。
5. マルウェア駆除サービス
上記の理由すべてがコストを正当化するだけでなく、マルウェア駆除サービスをページ数無制限で提供し、ブラックリストからの削除も行っています。まだこのサービスのこの部分を利用する必要はありませんでしたが、セキュリティ専門家があなたのサイトをクリーンアップしてくれることを想像できますか?通常、これらの専門家の一人はコンサルティングに時間あたり250ドル以上を請求します。たとえば、あなたのサイトがハッキングされ、彼らの監視サービスを利用している場合、彼らがあなたのサイトをクリーンアップしてくれます。Googleやその他のサービスにブラックリストに載せられる前に検出される可能性が高いです。しかし、もしブラックリストに載ってしまったら、彼らがブラックリストからの削除を手伝ってくれます。
私たちは年間189.99ドルのパワープランを利用しており、これは5つのウェブサイトをカバーしています。ウェブサイトあたりの月額費用は約3ドルになります。ハッキングされて誰かにサイトのクリーンアップのために多額のお金を払うよりも、ウェブサイトあたり3ドルを払って安全に保つ方がずっと良いでしょう。
結論
ウェブは本当に恐ろしい場所です。日々、人々やウェブサイトがハッキングされる話を聞きます。数多くの人々がマルウェアからウェブサイトをクリーンアップするのを手伝ってきた経験から、SucuriがWordPress業界で最も優れており、最も費用対効果の高いセキュリティサービスであると正直に言えます。監視サービスからサイトがハッキングされたことを知る方が、ユーザーから知らされるよりも、あるいはさらに悪いことに、Googleがあなたのウェブサイトをブラックリストに載せたときに知らされるよりもずっと良いです。
私たちはSucuriを利用しており、あなたのサイトのセキュリティを気にかけているなら、あなたもそうすべきです。CNN、USAToday、PC World、TechCrunch、TheNextWebなどの主要な出版物がこれらの会社を推奨しているのには理由があります。共同創設者の一人であるDre Armeda氏と個人的に話した経験から、私たちは良い手に委ねられていることを知っています。
ジェシー
Sucuriのファイアウォールでダウンタイムが続いています…2回の停止で48時間のダウンタイムがありました。彼らのテクニカルサポートは本当に無能です。彼らのサービスは絶対にお勧めしません。
ヴィニー
Sucuriはあなたにリストに載せるためにいくら払ったのですか?彼らが悪いとは言いませんが、私はWordfenceやiThemes Securityを選ぶでしょう。どちらもSucuriの6倍のアクティブユーザーがいます。
編集スタッフ
Sucuriは私たちに一銭も払っていません。この記事を書いている時点では、iThemes Securityは別の名前で、WordFenceが唯一の主要な競合相手でした。Sucuriのマルウェアクリーニングサービスとアクティブ監視が彼らに優位性をもたらしました。現在、彼らの新しいWAFに切り替え中のため、その際に更新記事を書く予定です。
SucuriのWAFは、あなたが言及した他のプラグインよりもはるかに優れています。なぜなら、それはあなたのWPサイトのホスト型ではなく、アクティブなクラウドベースのDNSファイアウォールだからです。また、6倍のアクティブユーザーがいるのは、主に他のものが無料だからです。
管理者
butterkitten
おすすめは気に入っていますが、現時点ではSucuriは手が出せません。手頃な価格でおすすめできる他のプラグインはありますか?
Chris Bunting
様々なセキュリティプラグインが登場していますが、私はやはりSecuriを愛用しています。私の運営するサイトは、トラフィックの問題というよりは、訪問者の質が問題なのです。ハッキングの試みは日常茶飯事です。しかし、Securiは私がこれまで見つけた中で最高の通知とセットアップを提供してくれます!
サイトを真に保護するには、プラグイン以上のことが必要です。誇大広告に騙されないでください!専用サーバー/VPSで運用している場合は、OSから始める必要があります。自動インストーラーを備えた共有ホスティングアカウントを使用している場合は、WordPressのセキュリティを確保する前に、サイトのセキュリティについて調査する必要があります。
Thomas Zickell
Sucuri CloudProxyがリリースされ、リリース以来使用しています。私がこれまで使用した中で最高のツールの1つと言わざるを得ません。サイトの速度は向上し、すべてのブルートフォース攻撃、さらにはDDos 7保護まで、基本サービスに組み込まれており、プロフェッショナルサービスではフルDDos 3,4 &7が利用可能です。これは本当に素晴らしいツールです。マネージドWordPressホスティングを使用していない方(私はマネージドWordPressとTerremark、FireHost、Linode & digital oceanの両方を使用しています)にとっては、特に高速で信頼性の高い安全なサーバーペアをdigital oceanと組み合わせたいと考えている方にとって、素晴らしい追加機能です。驚くべきものになります。
ショーン
良いレビューですね。ちょうど彼らと契約しようとしています。ハッカーに苦しんだ経験があり、多くの人がこの会社を推薦しているなら、それは正しい選択だとわかります。
Thomas Zickell
新しいSucuriのバックアップが本当に気に入っています。月額5ドルで無制限のスペースがあります。VaultPressが優れたサービスであることは同意しますが、$15/月のVaultPressとSucuri & Codeguardを比較した後、私はSucuriを選びました。必要なのはsftp/ftp/mySQLだけで、プラグインのみの方法よりもこちらの方が優れています。
特にSucuriのサービスのおかげで、サイトの復旧まで手伝ってくれます。はい、チャットを使用する必要があります。これは年中無休で利用可能です。
クライアントに毎日、毎週、または毎月、ダウンロード用のバックアップリンク付きのメールを送信できます。
私のように、検索エンジン最適化、ウェブ開発、コンテンツ作成を行っている場合。
クライアントは、あなたが正直な人間であることを知る方法が必要です。もしあなたが姿を消しても、たとえそれがあなたのホスティングプラットフォーム上にあっても、彼らは自分のサイトを手に入れることができます。
その理由から、これは奇妙なことだと分かっていますが、重要です。なぜなら、あなたがウェブマスターである場合、あなたほどウェブに詳しくないかもしれないクライアントがプラグインなどをいじくり回すのを望まないからです。
Sucuriは本当に進歩しました。私は長年彼らを利用しており、素晴らしい会社です。
CodeGuardはまあまあだと思います。 それよりもSucuriのバックアップにお金をかけたいです。容量の心配は全くありません。
フィル・アルコック
私たちのドメインでSucuriチェックを実行したところ、クリーンでしたが、Webアプリケーションバージョンセクションの下に警告三角形が表示されました。
Wordpressの内部パス: /home/dibdench/public_html/wp-content/themes/atahualpa3712/index.php
これが何を意味するのか、何も示されていません。何かアイデアはありますか?
oj wickliffe
こんにちは、
以前にもこのサイトを見たことがあり、実際にマルウェアを発見するのに役立ちました。
実は問題があり、いくつか推奨事項が必要です。私のサイトはハッキングされたようです。なぜなら、私のものではないフォルダがあるからです。しかし、削除するたびにcpanelのファイルマネージャーから戻ってきます。
どうすればいいですか?
ありがとう。
WPBeginnerサポート
フォルダがあるからといって、必ずしもサイトにマルウェアやトロイの木馬があるとは限りません。多くのWordPressプラグインもデータを保存するためにフォルダを作成します。それがプラグインによって作成されたフォルダでないことを確認するには、まずすべてのプラグインを無効にしてからフォルダを削除してください。フォルダが戻ってくるかどうかを確認してください。もし戻ってくるなら、それはおそらく悪意のあるスクリプトまたはマルウェアによるものです。もし戻ってこないなら、それはあなたのサイトのプラグインのいずれかが正常に機能するためにそのフォルダを必要としていることを意味します。
管理者
TOrben Heikel Vinther
素晴らしいレビューですね!今日は私のサイトで無料プラグインのBetter WP Securityを使用していますが、Sucuriについて読むと、さらに優れているようです!Sucuriプラグインを購入すると、Better WP Securityと同じ(またはそれ以上の)保護が得られますか?
Sucuriと連携して使用する他のセキュリティプラグイン(Wordfenceなど)をお勧めしますか、それとも重複が多すぎますか?
編集スタッフ
Sucuriは非常に包括的なソリューションなので、Wordfenceなどと組み合わせる必要はないはずです。Sucuriの明確な利点の1つは、問題が発生した場合にサイトを修正してくれるという保証です。ハッキングされたサイトのクリーンアップの苦痛を知っている人なら誰でも、すぐにサブスクリプションを購入するでしょう。優秀なセキュリティコンサルタントを雇うと、1時間あたり数百ドルかかります。Sucuriはサーバー側のスキャンも提供しており、警告を発します。ファイル変更などを監視します。
管理者
フリチョフ
素晴らしいレビューをありがとうございます!サインアップする前に、「ボーナス」の質問があります。サーバー側のスキャンは、稼働時間監視の必要性を置き換えますか?
編集スタッフ
稼働時間のアラートを受け取るオプションがあります。
管理者
マギー
ブログを始めたのは先月で、まだ訪問者が毎日10人にも満たない小さなサイトです。
私のウェブサイトがハッキングされる可能性は低いということでしょうか?
ウェブサイトがもっと賑わうまで待つべきでしょうか?
ブログは真剣に取り組んでいますが、最初から多くの投資をする価値があるかどうか分かりません。
メアリー
こんにちは。
私もウェブサイトでブルートフォース攻撃を受けているので、返信したかったのです。それらはすべて新しく、トラフィックは非常に少ないです。
「ログインセキュリティ」は、この情報を提供してくれる無料のプラグインであり、このサイトで議論されていました。
アップデートと強力なパスワードも重要です。
しかし、私はSucuriを調べており、このサイトのリンクから購入するつもりです。なぜなら、彼らは素晴らしいからです。
幸運を祈ります!
マギー
メアリー、返信ありがとうございます。恐ろしいですね!
今、「ログイン試行回数制限」をインストールしました。Sucuriについても再検討します。
メアリー
こんにちは、この記事をありがとうございます
ここやコメントに書かれている詳細をすべて理解しているわけではありません
なので、これを考えていました。sucuriを入手した場合、私は
1) 彼らが提供するものの中から必要なものを自分で決める必要がありますか(私にはわかりません)
2) 私のような「理解できない人」にとって、インストールは難しいですか?
3) コードはありますか?以前コードを追加してサイトを壊したことがあります。
4) その他、セキュリティ対策は必要になりますか?
サイトをありがとうございます! メアリーより
編集スタッフ
メアリーさん、
1. いいえ、プランを購入するだけです(すべて込みです)。
2. インストールは比較的簡単です。必要であればチームがサポートします。
3. いいえ。コードは関係ありません。
4. 強力なパスワードの使用は常に必要です
管理者
キース・デイビス
サイードさん、こんにちは
お知らせですが、Sucuriにデータベースプレフィックス変更機能が追加されました。素晴らしいですね!
編集スタッフ
すごい…これ追加されたの知らなかった。
管理者
キース・デイビス
5~8サイトでSucuriの導入を真剣に検討しています。
何か割引コードはありますか?
アーメド
まあ、この人たちを試してみることにします!
ブラッド・ダルトン
今日サイトがハッキングされたのですが、修正する前にSucuriのスキャンはクリーンでした。
このプラグインを使ってスキャンしたとき、Wordfenceが検出しました。
編集スタッフ
ブラッド、無料スキャナーを使いましたか、それとも有料サーバーのスキャンですか?無料スキャナーはサーバー上のファイルをチェックしません。公開されている悪意のあるコードをチェックするだけです。
管理者
ジェイソン・H
ポジティブなレビューはこの行で終わります。
「CNN、USAToday、PC World、TechCrunch、TheNextWebなどの主要な出版物がこれらの人たちを推奨している理由がないわけではありません。」
編集スタッフ
わあ、私たちの点での完全な見落としでした。「理由がある」と読むべきでした。指摘してくれてありがとう。
管理者