WPBeginner - 初心者のためのWordPressチュートリアル

Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPBカップ
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

究極のWordPressセキュリティガイド-ステップバイステップ (2024)

最終更新日 by

株式 24k シェア フェイスブックメッセンジャー WhatsApp
編集メモ: WPBeginner のパートナーリンクから手数料を得ています。手数料は編集者の意見や評価に影響を与えません。編集プロセスについて詳しく知る。

WordPressのセキュリティは、すべてのサイトオーナーにとって非常に重要なテーマです。

あなたのサイトを真剣に考えるなら、WordPressのセキュリティのベストプラクティスに注意を払う必要があります。そうでなければ、Googleがマルウェアやフィッシングで毎日ブラックリストに載せている10,000以上のサイトの1つになってしまうかもしれません。

このガイドでは、ハッカーやマルウェアからサイトを守るために役立つWordPressセキュリティのヒントをご紹介します。

The Ultimate WordPress Security Guide - Step by Step

WordPressのコアソフトウェアは非常に安全で、何百人もの開発者によって定期的に監査されていますが、サイトの安全性を保つために必要なことはまだたくさんあります。

WPBeginnerでは、セキュリティとは単にリスクを排除することではないと考えています。リスクを減らすことでもあります。サイトオーナーとして、たとえ技術に精通していなくても、WordPressのセキュリティを向上させるためにできることはたくさんあります。

そこで、あなたのサイトをセキュリティの脆弱性から守るためにできる、実行可能なステップをまとめました。

究極のWordPressセキュリティガイドを簡単にご覧いただけるよう、目次を作成しました。

目次

WordPressセキュリティの基本

WordPressのセキュリティを簡単なステップで(コーディングなし)

DIYユーザーのためのWordPressセキュリティ

準備はいいかい?始めよう

ウェブサイトのセキュリティが重要な理由

WordPressサイトがハッキングされると、ビジネスの収益や評判に深刻なダメージを与える可能性があります。ハッカーはユーザー情報やパスワードを盗んだり、悪意のあるソフトウェアをインストールしたり、マルウェアをユーザーに配布したりすることもあります。

最悪の場合、サイトへのアクセスを取り戻すためだけにハッカーにランサムウェアを支払うことになるかもしれない。

Ransomware Attack

Googleは毎日1,200万〜1,400万人のユーザーに対して、アクセスしようとしているサイトにマルウェアが含まれていたり、情報が盗まれている可能性があることを警告している。

さらに、Googleは毎日約10,000以上のサイトをマルウェアやフィッシングサイトとしてブラックリストに載せている。

物理的な場所を持つビジネスオーナーが財産を守る責任があるように、オンラインビジネスのオーナーはWordPressのセキュリティに細心の注意を払う必要があります。

[トップに戻る ↑]

WordPressの更新

Easily update WordPress

WordPressはオープンソースのソフトウェアであり、定期的にメンテナンスと更新が行われています。初期設定では、WordPressはマイナーアップデートを自動的にインストールします。

メジャーリリースの場合は、手動で更新を開始する必要があります。

WordPressには、サイトにインストールできる何千ものプラグインやテーマも用意されている。これらのプラグインやテーマはサードパーティの開発者によって管理されており、定期的に更新もリリースされています。

これらのWordPressの更新は、WordPressサイトのセキュリティと安定性のために非常に重要です。WordPressのコア、プラグイン、テーマが最新であることを確認する必要があります。

[トップに戻る ↑]

強力なパスワードとユーザー権限の使用

Manage strong passwords

WordPressのハッキングで最も一般的なのは、盗まれたパスワードを使用することです。サイト独自の強力なパスワードを使用することで、これを困難にすることができます。

WordPressの管理エリアだけの話ではありません。FTPアカウント、データベース、WordPressホスティングサービスアカウント、サイトのドメイン名を使用するカスタマイメールアドレスにも、強力なパスワードを作成することを忘れないでください。

多くの初心者は、強力なパスワードは覚えにくいので使いたがらない。パスワード・マネージャーを使えば、もうパスワードを覚える必要はない。

詳しくはWordPressのパスワード管理方法をご覧ください。

リスクを減らすもう一つの方法は、どうしても必要な場合を除き、WordPressの管理者アカウントへのアクセス権を誰にも与えないことだ。

大規模なチームやゲスト投稿者がいる場合は、WordPressサイトに新しいユーザーアカウントや投稿者を追加する前に、WordPressのユーザー権限グループと機能を理解していることを確認してください。

[トップに戻る ↑]

WordPressホスティングサービスの権限グループを理解する

WP Engine WordPress Hosting Homepage

WordPressホスティングサービスは、WordPressサイトのセキュリティにおいて最も重要な権限グループを果たします。HostingerBluehost、またはSiteGroundのような優れた共有ホスティングサービスは、一般的な脅威からサーバーを保護するために特別な対策を講じています。

ここでは、優れたホスティングサービス会社がお客様のサイトやデータを保護するためにバックグラウンドで行っているいくつかの方法をご紹介します:

  • 彼らは不審な動きがないか、継続的にネットワークを監視している。
  • 優れたホスティングサービス会社はすべて、大規模なDDoS攻撃を防ぐためのツールを備えています。
  • ハッカーが古いバージョンの既知のセキュリティ脆弱性を悪用するのを防ぐため、サーバーソフトウェア、PHPのバージョン、ハードウェアを常に最新に保っている。
  • ディザスターリカバリーとアクシデントプランをすぐに導入でき、万が一の大事故の際にもデータを守ることができる。

共有ホスティングプランでは、他の多くのお客様とサーバーリソースを共有します。ハッカーがあなたのサイトを攻撃するために隣のサイトを使用することができるクロスサイト汚染のリスクがあります。

対照的に、マネージドWordPressホスティングサービスを使用すると、サイトのより安全なプラットフォームを提供します。マネージドWordPressホスティングサービスは、自動バックアップ、WordPressの自動更新、より高度なセキュリティ設定を提供し、お客様のサイトを保護します。

マネージドWordPressホスティングサービスプロバイダーとしてWP Engineをお勧めします。また、業界で最も人気のあるプロバイダーでもあります。

WP Engineの特別クーポンを使って、本当に〜してもよいですか?

[トップに戻る ↑]

WordPressのセキュリティを簡単なステップで(コーディングなし)

WordPressのセキュリティを向上させることは、初心者の方、特に技術に疎い方にとって恐ろしいフィードバックかもしれません。あなたは一人ではありません。

私たちは、WordPressのセキュリティを強化するために何千人ものWordPressユーザーを支援してきました。

数クリックでWordPressのセキュリティを向上させる方法をご紹介します(コーディングは必須ではありません)。

ポイント・アンド・クリックができれば、これはできる!

1.WordPressバックアップソリューションのインストール

WordPress Backup

バックアップはWordPressの攻撃に対する最初の防御策です。覚えておいてほしいのは、100%安全なものなどないということだ。政府のサイトがハッキングされる可能性があるのなら、あなたのサイトもハッキングされる可能性があります。

バックアップによって、万が一の場合にWordPressサイトを素早く復元することができます。

WordPressのバックアッププラグインは、無料・有料を問わず数多くあります。バックアップに関して最も重要なことは、定期的にフルサイトのバックアップをリモートロケーション(ホスティングサービスアカウントではない)に保存する必要があるということです。

AmazonやDropboxなどのクラウドサービス、あるいはStashのようなプライベートクラウドに保存することをお勧めする。

サイトの更新頻度に応じて、1日1回またはリアルタイムのバックアップが理想的です。

ありがたいことに、これはDuplicatorUpdraftPlusBlogVaultのようなプラグインを使えば簡単にできる。どちらも信頼性が高く、何より使いやすい(コーディング不要)。

詳しくは、WordPressサイトのバックアップ方法をご覧ください。

[トップに戻る ↑]

信頼できるWordPressセキュリティプラグインのインストール

バックアップの次に必要なことは、監査と監視システムをセットアップして、サイトで起こるすべてのことを追跡することです。

これには、ファイルの完全性の監視、ログインの失敗、マルウェアのスキャンなどが含まれます。

ありがたいことに、Sucuriのような最高のWordPressセキュリティ・プラグインをインストーラすることで、簡単に対処することができる。

無料のSucuri Securityプラグインをインストールして有効化する必要があります。詳しくは、WordPressプラグインのインストール方法のステップバイステップガイドをご覧ください。

Sucuri Security ” ダッシュボードにアクセスして、プラグインがWordPressコードに直ちに問題を検出したかどうかを確認できます。

Setting up the Sucuri WordPress security plugin

次に必要なことは、Sucuri Security ” Settingsページに移動し、’Hardening’ タブをクリックすることです。

初期設定はほとんどのサイトで有効なので、各オプションの「Apply Hardening」ボタンをクリックして有効化してください。

Hardening your WordPress blog or website

これにより、ハッカーが攻撃によく使う主要エリアをロックダウンすることができる。

ヒント:この投稿の後半で、データベースの接頭辞や管理者ユーザー名を変更するなど、サイトを強固にするさらなる方法を取り上げます。しかし、これらはより技術的で、コーディングの知識が必須かもしれません。

ハードニングの後、プラグインの他の初期設定はほとんどのサイトにとって十分であり、変更の必要はない。

唯一カスタマイズをお勧めするのはメールアラートで、これは設定ページの「アラート」タブにあります。

Customizing your website's security alerts

初期設定では、受信トレイが散らかるほどのメールアラートを受信することになります。

プラグインの変更や新規ユーザー登録など、通知を希望する重要なアクションのみアラートを有効化することをお勧めします。

Customizing your WordPress security notifications

このWordPressセキュリティプラグインは非常に強力なので、マルウェアスキャン、監査ログ記録、ログイン試行失敗のトラッキングなど、すべてのタブと設定を参照してください。

詳しくは、Sucuriの詳細レビューをご覧ください。

ウェブアプリケーションファイアウォール(WAF)の有効化

サイトを保護し、WordPressのセキュリティに自信を持つ最も簡単な方法は、Webアプリケーションファイアウォール(WAF)を使用することです。

ウェブサイトファイアウォールは、悪意のあるトラフィックがサイトに到達する前にすべてブロックします。

  • DNSレベルのウェブサイトファイアウォールは、クラウドプロキシサーバーを経由してあなたのウェブサイトのトラフィックをルーティングします。これにより、本物のトラフィックのみをWebサーバーに送信することができます。
  • アプリケーションレベルのファイアウォールは、トラフィックがサーバーに到達した後、ほとんどのWordPressスクリプトをロードする前にトラフィックを検査します。この方法はDNSレベルのファイアウォールほど効率的ではありませんが、サーバーの負荷を軽減することができます。

さらに詳しく知りたい方は、最高のWordPressファイアウォールプラグインのリストをご覧ください。

How website firewall blocks attacks

私たちは長年WPBeginnerでSucuriを使用しており、WordPressのための最高のWebアプリケーションファイアウォールの1つとして今でも推奨しています。最近SucuriからCloudflareに乗り換えたのは、よりエンタープライズクライアントに特化した機能を持つ、より大規模なCDNネットワークが必要になったからです。

Sucuriのおかげで、1ヶ月で450,000件のWordPress攻撃をブロックできたことについては、こちらをご覧ください。

Attacks blocked by Sucuri

Sucuriのファイアウォールの最も優れた点は、マルウェアのクリーンアップとブラックリストの削除保証が付いていることです。つまり、Sucuriの監視下でハッキングされた場合、ページ数に関係なく、サイトの修復を保証してくれるのだ。

ハッキングされたサイトの修復には費用がかかるため、これはかなり強力な保証だ。セキュリティの専門家は通常、1時間あたり250ドル以上を請求するが、Sucuriのセキュリティスタック全体は1年間199ドルで利用できる。

Sucuri FirewallでWordPressのセキュリティを向上させる

とはいえ、DNSレベルのファイアウォール・プロバイダーはSucuriだけではない。他の人気のある競合はCloudflareです。SucuriとCloudflareの比較(長所と短所)をご覧ください。

[トップに戻る ↑]

WordPressサイトをSSL/HTTPSに移行する

SSL(SecureSockets Layer)は、サイトとユーザーのブラウザー間のデータ転送を暗号化するプロトコルです。この暗号化により、誰かが情報を盗み見ることが難しくなります。

How SSL Works

SSLを有効化すると、サイトアドレスはHTTPではなくHTTPSを使用するようになります。また、ブラウザーでサイトアドレスの横に南京錠のようなアイコンが表示されます。

SSL証明書は通常、投稿者によって発行され、その価格は毎年80ドルから数百ドルです。コストがかさむため、これまでほとんどのサイトオーナーは安全でないプロトコルを使い続けることを選択していました。

この問題を解決するために、Let’s Encryptという非営利団体がサイト所有者に無料のSSL証明書を提供することにした。彼らのプロジェクトは、Google Chrome、Facebook、Mozilla、その他多くの企業によってサポートされている。

WordPressサイトのすべてでSSLを使用することは、これまで以上に簡単です。現在、多くのホスティングサービス会社がWordPressサイトに無料のSSL証明書を提供しています。

ホスティングサービス会社がSSL証明書を提供していない場合は、Domain.comから購入することができます。Domain.comは、市場で最も信頼できるSSL証明書を提供しています。証明書には10,000ドルのセキュリティ保証とTrustLogoセキュリティシールが付いています。

DIYユーザーのためのWordPressセキュリティ

ここまで述べてきたことをすべて実行すれば、かなりいい状態だ。

しかし、いつものように、WordPressのセキュリティを強化するためにできることは他にもあります。

これらのステップの中には、コーディングの知識が必須となるものもあることを覚えておいてください。

初期設定の管理者ユーザー名を変更する

昔、WordPressの管理者ユーザー名の初期設定は「admin」だった。ユーザー名はログイン情報の半分を占めるので、これではハッカーがブルートフォース攻撃をするのが簡単になってしまいます。

ありがたいことに、WordPressはこれを変更し、現在ではWordPressインストール時にカスタマイザーユーザー名を選択する必要があります。

しかし、1クリックWordPressインストーラの中には、初期設定の管理者ユーザー名を「admin」に設定しているものもあります。そのような場合は、ホスティングサービスを変更することをお勧めします。

WordPressは初期設定ではユーザー名を変更できないので、ユーザー名を変更するには3つの方法があります。

  1. 新しい管理者ユーザー名を作成し、古いユーザー名を削除します。
  2. Username Changerプラグインを使う
  3. phpMyAdminからユーザー名を更新する

WordPressのユーザー名を正しく変更する方法の詳細ガイドでは、これら3つをすべて取り上げています。

注:はっきりさせておきたいのは、「admin」と呼ばれるユーザー名を変更するということであって、「admin」と呼ばれることもある管理者ユーザー権限グループを変更するということではありません。

[トップに戻る ↑]

ファイル編集の無効化

WordPressにはコードエディターがビルトインされており、WordPressの管理エリアからテーマやプラグインファイルを編集することができます。

悪用されれば、この機能はセキュリティ上のリスクとなる可能性があるため、オフにすることをお勧めする。

Adding custom CSS in a child theme's stylesheet in the theme file editor

wp-config.phpファイルに以下のコードを追加するか、WPCodeのようなコード・スニペット・プラグイン(推奨)を使えば、簡単にできます:

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Hosted with ❤️ by WPCode
1-click Use in WordPress

WordPressの管理画面からテーマやプラグインのエディターを無効化する方法をステップごとにご紹介します。

または、前述のSucuriプラグイン(無料)のHardening機能を使って、1クリックで行うこともできます。

[トップに戻る ↑]

特定のWordPressディレクトリでのPHPファイル実行無効化

WordPressのセキュリティを強化するもう一つの方法は、/wp-content/uploads/のような不要なディレクトリでのPHPファイルの実行を無効化することです。

メモ帳のようなテキストエディターを開き、このコードを貼り付ければできる:

<Files *.php>
deny from all
</Files>
Hosted with ❤️ by WPCode
1-click Use in WordPress

次に、このファイルを.htaccessとして保存し、FTPクライアントを使用してサイトの/wp-content/uploads/フォルダにアップロードする必要があります。

より詳細な説明については、WordPressの特定のディレクトリでPHPの実行を無効化する方法のガイドを参照してください。

または、上記で紹介した無料のSucuriプラグインのHardening機能を使って、1クリックでこれを行うこともできます。

[トップに戻る ↑]

ログイン試行を制限する

WordPressの初期設定では、ユーザーは何度でもログインを試みることができます。このため、WordPressサイトはブルートフォース攻撃に対して脆弱な状態になります。これは、ハッカーが異なる組み合わせでログインを試みることで、パスワードを解読しようとするものです。

この問題は、ユーザーがログインに失敗する回数を制限することで簡単に解決できます。前述のウェブ・アプリケーション・ファイアウォールを使用している場合、これは自動的に処理されます。

ただし、ファイアウォールを設定していない場合は、以下の手順で先に進むことができる。

まず、無料のLimit Login Attempts Reloadedプラグインをインストールして有効化する必要があります。詳しくは、WordPressプラグインのインストール方法のステップバイステップガイドをご覧ください。

有効化した時点で、プラグインはユーザーのログイン試行回数を制限し始めます。

初期設定はほとんどのサイトで有効ですが、設定 ” ログイン試行を制限ページにアクセスし、上部にある ‘設定’ タブをクリックすることで、カスタマイズすることができます。例えば、GDPR法に準拠するには、’GDPR compliance’チェックボックスをクリックします。

Limit Login Attempts

詳細な手順については、WordPressでログイン試行を制限する方法と理由をご覧ください。

[トップに戻る ↑]

2要素認証(2FA)の追加

2要素認証方式では、ユーザーがログインするために2つの異なるステップが必須です:

  1. 最初のステップはユーザー名とパスワードだ。
  2. 第2のステップでは、ハッカーがアクセスできない端末やアプリ(スマートフォンなど)のコードを使用することが必須となる。

Google、Facebook、Twitterのようなほとんどのトップ・オンライン・サイトでは、自分のアカウントでこの機能を有効化することができる。WordPressサイトにも同じ機能を追加することができます。

まず、WP 2FA – 2要素認証プラグインをインストールして有効化する必要があります。詳しくは、WordPressプラグインのインストール方法のステップバイステップガイドをご覧ください。

ユーザーフレンドリーなウィザードがプラグインのセットアップをサポートし、QRコードが発行されます。

Use Your Authenticator App to Scan the QR Code

Google Authenticator、Authy、LastPass Authenticatorなどの携帯電話の認証アプリを使用してQRコードをスキャンする必要があります。

アカウントをクラウドにバックアップできるLastPass AuthenticatorまたはAuthyのご利用をお勧めします。これは、携帯電話を紛失したり、リセットしたり、新しい携帯電話を購入した場合に非常に便利です。アカウントのログインはすべて簡単に復元できます。

Authyを使用している場合は、認証アプリで「+」または「アカウントを追加」ボタンをクリックするだけです。

Click the + Button to Add an Account

これで、コンピューター上のQRコードを携帯電話のカメラでスキャンできるようになります。まず、アプリにカメラへのアクセス権限を与える必要があるかもしれません。

アカウントに名前をつけたら、保存することができます。

次回サイトにログインする際、パスワード入力後に2要素認証コードの入力を求められます。

Users Must Enter an Authentication Code Before Logging In

携帯電話で認証アプリを開くと、ワンタイムコードが表示されます。

その後、サイトにコードを入力してログインを完了することができます。

Find Your 2FA Token

[トップに戻る ↑]

WordPressデータベースのプレフィックスを変更する

初期設定では、WordPressはWordPressデータベースのすべてのテーブルの接頭辞としてwp_を使用します。

WordPressサイトが初期設定のデータベース接頭辞を使用している場合、ハッカーにテーブル名を推測されやすくなります。そのため、変更することをお勧めします。

WordPressのデータベース接頭辞を変更してセキュリティを向上させる方法のステップバイステップのチュートリアルに従って、データベース接頭辞を変更することができます。

注意:データベース接頭辞の変更は、適切に行わないとサイトを壊してしまう可能性があります。コーディングに自信がある場合のみ行ってください。

[トップに戻る ↑]

WordPress管理画面とログインページのパスワード保護

Password protect WordPress admin example

通常、ハッカーは何の制限もなくあなたのwp-adminフォルダーとログインページを要求することができます。これにより、彼らはハッキングのトリックを試したり、DDoS攻撃を実行することができます。

サーバーサイドレベルでパスワード保護を追加することで、これらのリクエストを効果的にブロックすることができます。

WordPressの管理(wp-admin)ディレクトリをパスワードで保護する方法については、ステップバイステップの指示に従ってください。

[トップに戻る ↑]

ディレクトリのインデックスとブラウジングの無効化

Directory Browsing

ウェブブラウザーにウェブサイトフォルダーのアドレスを入力すると、index.htmlというウェブページが存在すれば、それが表示されます。存在しない場合は、代わりにそのフォルダー内のファイルのリストが表示されます。これはディレクトリ・ブラウジングとして知られています。

ディレクトリの閲覧は、ハッカーが既知の脆弱性を持つファイルがあるかどうかを見つけるために使用することができ、彼らはアクセスするためにこれらのファイルを利用することができます。

ディレクトリの閲覧は、他の人があなたのファイルを覗いたり、画像をコピーしたり、あなたのディレクトリ構造を調べたり、その他の情報を得るのにも使われます。そのため、ディレクトリのインデックスとブラウジングをオフにすることを強くお勧めします。

FTPまたはホスティングサービスのファイルマネージャーを使用してサイトに接続する必要があります。次に、サイトのルートディレクトリにある.htaccessファイルを探します。.htaccessファイルが見つからない場合は、WordPressで.htaccessファイルが見えない理由についてのガイドを参照してください。

その後、.htaccessファイルの最後に以下の行を追加する必要がある:

オプション -インデックス

.htaccessファイルを保存し、サイトにアップロードすることをお忘れなく。

このトピックについては、WordPressでディレクトリ閲覧を無効化する方法の投稿をご覧ください。

[トップに戻る ↑]

WordPressでXML-RPCを無効化する

XML-RPCはWordPressのコアAPIで、WordPressサイトとウェブアプリやモバイルアプリを接続するのに役立ちます。WordPress 3.5 から初期設定で有効化されています。

しかし、XML-RPCはその強力な性質から、ブルートフォース攻撃を大幅に増幅する可能性がある。

例えば、ハッカーが従来からあなたのサイトで500の異なるパスワードを試したいと思っていた場合、彼らは500の別々のログイン試行を行う必要があります。これは、Limit Login Attempts Reloadedプラグインによってキャッチされ、ブロックすることができます。

しかしXML-RPCを使えば、ハッカーはsystem.multicall関数を使い、20回や50回のリクエストで何千ものパスワードを試すことができる。

このため、XML-RPCを使用しない場合は無効化することをお勧めします。

WordPressでXML-RPCを無効化する方法は3つあり、WordPressでXML-RPCを無効化する方法のステップバイステップのチュートリアルですべて取り上げています。

ヒント:.htaccessの方法は、最もリソースを消費しないので最適です。他の方法は初心者には簡単です。

あるいは、先に述べたように、ウェブ・アプリケーション・ファイアウォール(WAF)を使用している場合は、自動的に処理される。

[トップに戻る ↑]

WordPressでアイドルユーザーを自動的にログアウトする

ログイン中のユーザーが画面から離れてしまうことがあり、これはセキュリティ上のリスクとなる。誰かがセッションを乗っ取ったり、パスワードを変更したり、アカウントに変更を加えたりする可能性があります。

このため、多くの銀行や金融のサイトでは、アクティブでないユーザーを自動的にログアウトしています。WordPressサイトでも同様の機能を設定することができます。

Inactive Logoutプラグインをインストールして有効化する必要があります。有効化したら、Settings ” Inactive Logoutページでログアウト設定をカスタマイズしてください。

Logout idle users

単に時間を設定し、ログアウトメッセージを追加します。その後、ページ下部の「変更を保存」ボタンをクリックして、設定を保存することをお忘れなく。

ステップバイステップの手順については、WordPressでアイドルユーザーを自動的にログアウトする方法のガイドを参照してください。

[トップに戻る ↑]

WordPressのログイン画面にセキュリティの質問を追加する

WordPressのログイン画面にセキュリティ質問を追加することで、不正アクセスをさらに難しくすることができます。

2要素認証プラグインをインストールすることでセキュリティ質問を追加することができます。有効化した後、Multi-factor Authentication ” 2要素認証ページにアクセスしてプラグインの設定を行う必要があります。

これにより、セキュリティ質問を含む様々なタイプの2要素認証をサイトに追加することができます。

Adding Security Questions to WordPress Login

より詳細な手順については、WordPressのログイン画面にセキュリティの質問を追加する方法のチュートリアルを参照してください。

[トップに戻る ↑]

WordPressのマルウェアと脆弱性のスキャン

Malware Scan

WordPressのセキュリティプラグインがインストールされていれば、マルウェアやセキュリティ侵害の兆候を定期的にチェックします。

しかし、サイトのトラフィックや検索順位が突然ドロップした場合は、手動でマルウェアをスキャンすることをお勧めします。WordPressのセキュリティ・プラグインや、マルウェアやセキュリティ・スキャナーを使用することができます。

これらのオンライン・スキャンを実行するのは非常に簡単だ。あなたのサイトのURLを入力するだけで、クローラーがあなたのサイトを巡回し、既知のマルウェアや悪質なコードを探します。

ほとんどのWordPressセキュリティ・スキャナーは、サイトにマルウェアが含まれているかどうかを警告するだけであることに留意してください。マルウェアを削除したり、ハッキングされたWordPressサイトをクリーンアップすることはできません。

次のセクションでは、マルウェアやハッキングされたWordPressサイトをクリーンアップする。

[トップに戻る ↑]

ハッキングされたWordPressサイトを修復する

WordPressユーザーの多くは、サイトがハッキングされるまで、バックアップやサイトセキュリティの重要性に気づいていません。

ハッカーは被害を受けたサイトにバックドアをインストールし、これらのバックドアが適切に修正されなければ、ウェブサイトは再びハッキングされる可能性が高い。

冒険好きなユーザーやDIYユーザーのために、ハッキングされたWordPressサイトを修復するためのステップバイステップガイドをまとめました。

しかし、WordPressサイトのクリーンアップは非常に難しく、時間がかかります。私たちのアドバイスとしては、プロに任せることをお勧めします。

前述のSucuriセキュリティ・プラグインを有料で利用している場合、ハッキングされたサイトの修復は料金にビルトインされている。

WPBeginnerプロサービスのハッキングサイト修復サービスを利用することもできます。これには249ドルの一括払いが必須で、プレミアムファイル判定、悪質コード除去、ソフトウェアとセキュリティ更新、クリーンなサイトバックアップが含まれます。

WPBeginner Pro Services Hacked Site Repair

私たちはあなたのサイトを修復するか、お金を返すことを保証します。また、修理後30日間はお客様のサイトをカバーいたしますので、その間に再びハッキングされた場合でも、私たちが修理いたします。

私たちは、10年以上にわたってWordPressサイトのクリーニングとセキュリティ保護を行ってきました。ハッキングされたサイトの修復サービスをご利用になれば、安心です。

[トップに戻る ↑]

ボーナスのヒント:WordPressメンテナンスサービスを依頼する

多忙な中小企業の経営者であれば、サイトのセキュリティを監視し、脆弱性から守る時間がないかもしれません。そこで、24時間365日体制でセキュリティ監視を行うWordPressメンテナンスサービスをご利用ください。

WPBeginnerプロサービスは、包括的なWordPressサイトのメンテナンスを手頃な価格で提供します。セキュリティ監視、定期的なクラウドバックアップ、WordPress更新、稼働時間監視などが含まれます。

WPBeginner WordPress website maintenance service

お客様のニーズに合った月額メンテナンスサービスパッケージをお選びいただくだけで、より安全なWordPressサイトと、ビジネスの他の側面に取り組むための余分な時間を手に入れることができます。

その他のおすすめをご希望の方は、WordPressのベストウェブサイトメンテナンスサービスをご覧ください。

[トップに戻る ↑]

この投稿が、WordPressセキュリティのベストプラクティスを学び、あなたのサイトに最適なWordPressセキュリティプラグインを見つける一助となれば幸いです。また、SEOランキングを向上させるための究極のWordPress SEOガイドや、WordPressを高速化する方法に関する専門家のヒントもご覧ください。

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Reader Interactions

究極のWordPressツールキット

ツールキットへの無料アクセス - すべてのプロフェッショナルが持つべきWordPress関連製品とリソースのコレクション!

今すぐダウンロード

情報開示 私たちのコンテンツは読者支援型です。これは、あなたが私たちのリンクの一部をクリックした場合、私たちはコミッションを得ることができることを意味します。 WPBeginnerの資金源 をご覧ください。3$編集プロセスをご覧ください。

162件のコメント返信を残す

  1. Syed Balkhi says

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Kushal Phalak says

    Great article! Last year my website was hacked(redirecting to another suspicious website), so I think it is a must to use security measure. In my case, I had to delete my website and was lucky that my hosting provider had backup feature. From then I used Wordfence to secure my websites, but moved to Sucuri as it provided the services like DDoS protection, and CDN as well.

    返信

    • Moinuddin Waheed says

      I have been in the similar sitution where I was working for a reputed institue website.
      After making everything final, the director asked me date so that he can schedule a press release.
      I confidently suggested him a particualr date and before the schedule date,
      my website got corrupted and unfortunately I didn’t have any backup plan ready.
      I was completely screwed up and worked the whole day trying to restore to the previous working
      like condition.
      I think it is necessary that we give heed to each detail related to security.

      返信

  3. Ayanda Temitayo says

    Please I want to ask that is it security wise to change the url of the default login page to another custom url. Like from yourwebsite.com/wp-login to yourwebsite.com/anotherName-login

    I once use a plugin to change my login url to another url where nobody can easily route to my login page. So one of my SEO guy said it will be easy for hackers to hack my site if the plugin is vulnerable and I will lose everything on my website if I keep using a custom route to login page.

    What’s your opinion about changing the default login route?

    返信

    • WPBeginner Support says

      Changing your login URL is personal preference and not specifically for security.

      返信

      管理者

  4. al amin Sheikh says

    Two important things in a website – Performance and Security.
    Nicely explained how we can protect our site from hackers. Thanks, WPB.

    返信

  5. mohadese esmaeeli says

    Hello, thank you for this excellent article.I also want to add a few more items to this list, such as using the Google reCAPTCHA plugin, employing security hardware related to the server, examining security tools within the hosting environment, such as Imunify360, and regularly changing passwords at short intervals.

    返信

    • WPBeginner Support says

      Thank you for your recommendations, hosts do have different tools so it would be best to check with the hosting provider for any security tools they offer :)

      返信

      管理者

  6. Fajri says

    Whoa, the method to Disable XML-RPC in WordPress is totally new for me.

    I am gonna try to applicate it to add more security for my websites. Thanks for this information team!

    返信

  7. Murad Prodhan says

    WPbeginner is one the best websites for our community. This article is very helpful for me. Thanks WPbeginner.

    返信

  8. Jiří Vaněk says

    This is a great article. There are many things here that never occurred to me, even though I tried to secure with WordPress as much as possible. I just copied a snippet to hide error messages when logging into WordPress and I’m going to apply it to my website. It probably won’t stop at just this thing. This article is really a fantastic list of great tips. Thank you for advancing awareness about security. Great job.

    返信

  9. Etop Udoekene says

    Thanks very much. This information has come to me at just the right time, as I am in the process of setting up my website again after losing my former laptop and Android phone to thieves.
    I am really grateful.

    返信

    • WPBeginner Support says

      You’re welcome, hopefully things get better and we hope our guide helps you with keeping your site secure after that.

      返信

      管理者

  10. Mark Ellsworth says

    Thank you – very well organized and comprehensive! This will definitely help with what is an ongoing and challenging issue with WordPress installs.

    返信

  11. Ifakayode Femi says

    I loved this article and am bookmarking this page for future cause I might not remember the names of most plugins listed here, but sincerely this article helps a long way

    Thanks for taking your time to compose this
    Thanks a million times

    返信

  15. Marko Kozlica says

    Wow! Extensive and thorough article for beginners and experienced wordpressers alike. Keep up the good work!

    返信

  18. Bob De Maria says

    Hi,
    I am brand new to this and this was my first email and I am ever glad I am signed up. You hit on one of my concerns that is right at the top of my list.

    I can’t thank you enough for a very well written and much appreciated tutorial.

    Best Regards,

    Bob De Maria

    返信

  19. Kimberly says

    FYI: Security issue on the WP Security Questions plugin. It’s been removed from wordpress.org.

    返信

    • WPBeginner Support says

      Thank you for letting us know, we will be sure to look for an alternative we would recommend :)

      返信

      管理者

  20. MS says

    Hi guys! Txs a lot for this usefull resouces. 1 question, will any of this affect the loading time of my website/pages???

    返信

  22. tim jackz says

    Hello team,

    If i install two security plugin in my wordpress website, is there any disadvantages for my website?

    返信

    • WPBeginner Support says

      You would want to check with the support for the plugins you are looking to use, some work together but others try to do the same tasks which can cause conflicts.

      返信

      管理者

  23. Diego says

    My WordPress site is running WordPress 5.1.8 which part of the 5.1 branch, last updated on November 2020. The current WordPress version is 5.6.2.

    I don’t quite understands all these different branches of WP.
    Should I still need to upgrade?

    返信

  24. Julia says

    So I pay premium and the free plugins are only for business, is there a way around that. They don’t let us pay for plugins. Premium and lower are not allowed to use them at all.

    返信

  25. Trisha says

    Great tutorial, thank you! In going thru my 404 error logs, I see a lot of bots hitting non-existent plugins in my /plugins folder….I’m not overly concerned since the plugins they’re looking for don’t exist (hence the 404) BUT is there a way to protect my /plugins folder that won’t interfere with normal plugin operations? Is this advisable? Should I even be concerned?

    返信

    • WPBeginner Support says

      That normally shouldn’t be something you should be concerned with unless the plugin is on your site then you may want to ensure you have that plugin up to date in case the bot was looking for a plugin with a security vulnerability.

      返信

      管理者

    • WPBeginner Support says

      You would need to check your active plugins and reach out to your hosting provider to see what is active for your site.

      返信

      管理者

    • WPBeginner Support says

      If your version of WordPress is up to date it should be active on your site normally.

      返信

      管理者

  28. Julie Taylor says

    Very helpful information. I would like to know your thoughts on the following, if i were to implement all of those security situations, particuarly those that were involving code etc does it effect Google to be able to pull up the site and for SEO to work effectively?

    返信

    • WPBeginner Support says

      No, our guides are for WordPress.org sites, you would want to reach out to WordPress.com for the hardening steps they allow :)

      返信

      管理者

  31. Leanne says

    This is one of the best tutorial sites (on any subject matter) I have found. Thank you I will refer wpbeginner to others – awesome site!

    返信

  32. Daniel says

    You know there are guys charging more than $50 or $100 dollars to teach you how to do all of this, and you gave it for free! Thanks heaps guys!

    返信

  34. Mydas says

    This was super-useful. I have the coding skills to implement all of it, and now I can take much better care of my and my clients’ WordPress installations. Thank you for the info, it’s so complete that I can’t believe it’s free xD

    返信

  35. Splendor Edesiri says

    Please do I need a VPN to access my WordPress site from the backend as part of my WordPress site security.

    返信

  36. Kam says

    Thank you for this article. It is essential reading!

    If you have a host like Bluehost, is it essential to have backup with a plugin such as Updraft plus + remote storage? After all, hosting providers should be providing backup?

    返信

    • WPBeginner Support says

      While some hosts offer backups, we still recommend creating your own backups for safety

      返信

      管理者

  38. kalmoa says

    just an FYI, with Nginx there is no directory-level configuration file like Apache’s .htaccess. All configuration has to be done at the server level by an administrator, and WordPress cannot modify the configuration, like it can with Apache. So the part about ‘Disable PHP File Execution’, cannot be completed by wordpress installs running on Nginx. That includes myself, who is running my wordpress install on Vultr. Their one-click wordpress install gets deployed on Nginx (ubuntu 18.04)

    返信

    • WPBeginner Support says

      Thank you for sharing this for the users who specifically are using Nginx for their site.

      返信

      管理者

  39. Tom says

    What is the best method to update plugins if I have several that need updating? Update one at a time and see if the updated plugin breaks any of the functionality on the website?

    返信

  40. Kartik Satija says

    Amazing article, very well articulated and documented.
    Thank you all so much for this.
    More power to you guys, keep up the good work.

    Cheers,
    Kartik.

    返信

  42. Liz says

    Great article. I have a question about the hardening options. I read that enabling hardening on all options can cause some plugins or the theme to break/not work properly. If this happens, how difficult is it to fix? It seems like there’s more to it than just reverting the hardening option. Any insight you could offer would be greatly appreciated. Thanks!

    返信

    • WPBeginner Support says

      It would depend on the specific hardening recommendation, plugin, and error message for the difficulty should an error appear. Otherwise, most plugins shouldn’t have an issue

      返信

      管理者

  43. Gary Starling says

    Very helpful suggestions and well explained from the basic to the complex
    Thank you four your explanations

    返信

  44. Andrei says

    Hi guys,

    After the first user enumeration, brute force a security plugin will block that IP address.

    If you password protect the wp-admin directory the plugin can no longer block that IP.

    Is that a correct assessment?

    返信

    • WPBeginner Support says

      Correct, there would be a similar load to a blocked IP but if you need many new users to access your site then limiting login attempts would be better than password protecting your wp-admin

      返信

      管理者

      • Andrei says

        Ok, I finally understood how this works and sharing here for everyone. Password protecting wp-admin is done at the server (Apache/Nginx) level. If a user enumeration, brute force is unable to bypass the server level, it would not be able to touch PHP/MySQL. Thus, password protecting wp-admin does not put additional load on the database.

        返信

  45. Peter says

    Very informative and helpful, I have configured all the hardening procedure you mentioned, Thanks a lot.

    返信

  46. Aqib khan says

    i will always follow you.i will always love you and always share such a fresh and cool content to make us smile.Thank You.

    返信

  47. mahmoud says

    I love this site. you’re offering precious information.
    I’m a beginner and this is helpful.
    but can I only have a strong password and disable indexing to do the matter?
    what about all these plugins I think they will affect the site speed or this not installed on the site?

    返信

  48. Krishna says

    Hi WP Beginner Team,

    Thanks for such a brief explanation of WordPress security. This article was very useful and let know the value of wp security for the users and website owner.

    THANKS AGAIN…

    返信

  49. Kushal says

    I used all plugin that you mentioned sucuri, itheams, wp serber and jetpack. How many plugin can I use on my website.

    返信

  51. Dietrich says

    Hi

    Is it okay to use Sucuri and Wordfence at the same time? I installed Wordfence since Sucuri’s free version doesn’t have a firewall feature.

    返信

    • WPBeginner Support says

      We would not recommend using both, multiple security tools can conflict with each other and cause issues with your site.

      返信

      管理者

返信を残す

コメントありがとうございます。すべてのコメントは私たちのコメントポリシーに従ってモデレートされ、あなたのメールアドレスが公開されることはありませんのでご留意ください。名前欄にキーワードを使用しないでください。個人的で有意義な会話をしましょう。

著作権 © 2009 - 2024 WPBeginner LLC.無断複写・転載を禁じます。WPBeginner®は登録商標です。

Awesome Motiveが管理する|WordPressホスティングSiteGroundが管理する

を手伝ってほしい。…

人気のある検索

ブログの開始 ワードプレス SEO WordPress パフォーマンス WordPress エラー WordPress セキュリティ オンラインストアの構築