WordPressのセキュリティは、すべてのサイトオーナーにとって非常に重要なテーマです。
あなたのサイトを真剣に考えるなら、WordPressのセキュリティのベストプラクティスに注意を払う必要があります。そうでなければ、Googleがマルウェアやフィッシングで毎日ブラックリストに載せている10,000以上のサイトの1つになってしまうかもしれません。
このガイドでは、ハッカーやマルウェアからサイトを守るために役立つWordPressセキュリティのヒントをご紹介します。
WordPressのコアソフトウェアは非常に安全で、何百人もの開発者によって定期的に監査されていますが、サイトの安全性を保つために必要なことはまだたくさんあります。
WPBeginnerでは、セキュリティとは単にリスクを排除することではないと考えています。リスクを減らすことでもあります。サイトオーナーとして、たとえ技術に精通していなくても、WordPressのセキュリティを向上させるためにできることはたくさんあります。
そこで、あなたのサイトをセキュリティの脆弱性から守るためにできる、実行可能なステップをまとめました。
究極のWordPressセキュリティガイドを簡単にご覧いただけるよう、目次を作成しました。
目次
WordPressセキュリティの基本
WordPressのセキュリティを簡単なステップで(コーディングなし)
- WordPressバックアップソリューションのインストール
- 信頼できるWordPressセキュリティプラグインのインストール
- ウェブアプリケーションファイアウォール(WAF)の有効化
- WordPressサイトをSSL/HTTPSに移行する
DIYユーザーのためのWordPressセキュリティ
- 初期設定の管理者ユーザー名を変更する
- ファイル編集の無効化
- 特定のWordPressディレクトリでのPHPファイル実行無効化
- ログイン試行を制限する
- 2要素認証(2FA)の追加
- WordPressデータベースのプレフィックスを変更する
- WordPress管理画面とログインページのパスワード保護
- ディレクトリのインデックスとブラウジングの無効化
- WordPressでXML-RPCを無効化する
- WordPressでアイドルユーザーを自動的にログアウトする
- WordPressログインにセキュリティの質問を追加する
- WordPressのマルウェアと脆弱性のスキャン
- ハッキングされたWordPressサイトを修復する
準備はいいかい?始めよう
ウェブサイトのセキュリティが重要な理由
WordPressサイトがハッキングされると、ビジネスの収益や評判に深刻なダメージを与える可能性があります。ハッカーはユーザー情報やパスワードを盗んだり、悪意のあるソフトウェアをインストールしたり、マルウェアをユーザーに配布したりすることもあります。
最悪の場合、サイトへのアクセスを取り戻すためだけにハッカーにランサムウェアを支払うことになるかもしれない。
Googleは毎日1,200万〜1,400万人のユーザーに対して、アクセスしようとしているサイトにマルウェアが含まれていたり、情報が盗まれている可能性があることを警告している。
さらに、Googleは毎日約10,000以上のサイトをマルウェアやフィッシングサイトとしてブラックリストに載せている。
物理的な場所を持つビジネスオーナーが財産を守る責任があるように、オンラインビジネスのオーナーはWordPressのセキュリティに細心の注意を払う必要があります。
WordPressの更新
WordPressはオープンソースのソフトウェアであり、定期的にメンテナンスと更新が行われています。初期設定では、WordPressはマイナーアップデートを自動的にインストールします。
メジャーリリースの場合は、手動で更新を開始する必要があります。
WordPressには、サイトにインストールできる何千ものプラグインやテーマも用意されている。これらのプラグインやテーマはサードパーティの開発者によって管理されており、定期的に更新もリリースされています。
これらのWordPressの更新は、WordPressサイトのセキュリティと安定性のために非常に重要です。WordPressのコア、プラグイン、テーマが最新であることを確認する必要があります。
強力なパスワードとユーザー権限の使用
WordPressのハッキングで最も一般的なのは、盗まれたパスワードを使用することです。サイト独自の強力なパスワードを使用することで、これを困難にすることができます。
WordPressの管理エリアだけの話ではありません。FTPアカウント、データベース、WordPressホスティングサービスアカウント、サイトのドメイン名を使用するカスタマイメールアドレスにも、強力なパスワードを作成することを忘れないでください。
多くの初心者は、強力なパスワードは覚えにくいので使いたがらない。パスワード・マネージャーを使えば、もうパスワードを覚える必要はない。
詳しくはWordPressのパスワード管理方法をご覧ください。
リスクを減らすもう一つの方法は、どうしても必要な場合を除き、WordPressの管理者アカウントへのアクセス権を誰にも与えないことだ。
大規模なチームやゲスト投稿者がいる場合は、WordPressサイトに新しいユーザーアカウントや投稿者を追加する前に、WordPressのユーザー権限グループと機能を理解していることを確認してください。
WordPressホスティングサービスの権限グループを理解する
WordPressホスティングサービスは、WordPressサイトのセキュリティにおいて最も重要な権限グループを果たします。Hostinger、Bluehost、またはSiteGroundのような優れた共有ホスティングサービスは、一般的な脅威からサーバーを保護するために特別な対策を講じています。
ここでは、優れたホスティングサービス会社がお客様のサイトやデータを保護するためにバックグラウンドで行っているいくつかの方法をご紹介します:
- 彼らは不審な動きがないか、継続的にネットワークを監視している。
- 優れたホスティングサービス会社はすべて、大規模なDDoS攻撃を防ぐためのツールを備えています。
- ハッカーが古いバージョンの既知のセキュリティ脆弱性を悪用するのを防ぐため、サーバーソフトウェア、PHPのバージョン、ハードウェアを常に最新に保っている。
- ディザスターリカバリーとアクシデントプランをすぐに導入でき、万が一の大事故の際にもデータを守ることができる。
共有ホスティングプランでは、他の多くのお客様とサーバーリソースを共有します。ハッカーがあなたのサイトを攻撃するために隣のサイトを使用することができるクロスサイト汚染のリスクがあります。
対照的に、マネージドWordPressホスティングサービスを使用すると、サイトのより安全なプラットフォームを提供します。マネージドWordPressホスティングサービスは、自動バックアップ、WordPressの自動更新、より高度なセキュリティ設定を提供し、お客様のサイトを保護します。
マネージドWordPressホスティングサービスプロバイダーとしてWP Engineをお勧めします。また、業界で最も人気のあるプロバイダーでもあります。
WP Engineの特別クーポンを使って、本当に〜してもよいですか?
WordPressのセキュリティを簡単なステップで(コーディングなし)
WordPressのセキュリティを向上させることは、初心者の方、特に技術に疎い方にとって恐ろしいフィードバックかもしれません。あなたは一人ではありません。
私たちは、WordPressのセキュリティを強化するために何千人ものWordPressユーザーを支援してきました。
数クリックでWordPressのセキュリティを向上させる方法をご紹介します(コーディングは必須ではありません)。
ポイント・アンド・クリックができれば、これはできる!
1.WordPressバックアップソリューションのインストール
バックアップはWordPressの攻撃に対する最初の防御策です。覚えておいてほしいのは、100%安全なものなどないということだ。政府のサイトがハッキングされる可能性があるのなら、あなたのサイトもハッキングされる可能性があります。
バックアップによって、万が一の場合にWordPressサイトを素早く復元することができます。
WordPressのバックアッププラグインは、無料・有料を問わず数多くあります。バックアップに関して最も重要なことは、定期的にフルサイトのバックアップをリモートロケーション(ホスティングサービスアカウントではない)に保存する必要があるということです。
AmazonやDropboxなどのクラウドサービス、あるいはStashのようなプライベートクラウドに保存することをお勧めする。
サイトの更新頻度に応じて、1日1回またはリアルタイムのバックアップが理想的です。
ありがたいことに、これはDuplicator、UpdraftPlus、BlogVaultのようなプラグインを使えば簡単にできる。どちらも信頼性が高く、何より使いやすい(コーディング不要)。
詳しくは、WordPressサイトのバックアップ方法をご覧ください。
信頼できるWordPressセキュリティプラグインのインストール
バックアップの次に必要なことは、監査と監視システムをセットアップして、サイトで起こるすべてのことを追跡することです。
これには、ファイルの完全性の監視、ログインの失敗、マルウェアのスキャンなどが含まれます。
ありがたいことに、Sucuriのような最高のWordPressセキュリティ・プラグインをインストーラすることで、簡単に対処することができる。
無料のSucuri Securityプラグインをインストールして有効化する必要があります。詳しくは、WordPressプラグインのインストール方法のステップバイステップガイドをご覧ください。
Sucuri Security ” ダッシュボードにアクセスして、プラグインがWordPressコードに直ちに問題を検出したかどうかを確認できます。
次に必要なことは、Sucuri Security ” Settingsページに移動し、’Hardening’ タブをクリックすることです。
初期設定はほとんどのサイトで有効なので、各オプションの「Apply Hardening」ボタンをクリックして有効化してください。
これにより、ハッカーが攻撃によく使う主要エリアをロックダウンすることができる。
ヒント:この投稿の後半で、データベースの接頭辞や管理者ユーザー名を変更するなど、サイトを強固にするさらなる方法を取り上げます。しかし、これらはより技術的で、コーディングの知識が必須かもしれません。
ハードニングの後、プラグインの他の初期設定はほとんどのサイトにとって十分であり、変更の必要はない。
唯一カスタマイズをお勧めするのはメールアラートで、これは設定ページの「アラート」タブにあります。
初期設定では、受信トレイが散らかるほどのメールアラートを受信することになります。
プラグインの変更や新規ユーザー登録など、通知を希望する重要なアクションのみアラートを有効化することをお勧めします。
このWordPressセキュリティプラグインは非常に強力なので、マルウェアスキャン、監査ログ記録、ログイン試行失敗のトラッキングなど、すべてのタブと設定を参照してください。
詳しくは、Sucuriの詳細レビューをご覧ください。
ウェブアプリケーションファイアウォール(WAF)の有効化
サイトを保護し、WordPressのセキュリティに自信を持つ最も簡単な方法は、Webアプリケーションファイアウォール(WAF)を使用することです。
ウェブサイトファイアウォールは、悪意のあるトラフィックがサイトに到達する前にすべてブロックします。
- DNSレベルのウェブサイトファイアウォールは、クラウドプロキシサーバーを経由してあなたのウェブサイトのトラフィックをルーティングします。これにより、本物のトラフィックのみをWebサーバーに送信することができます。
- アプリケーションレベルのファイアウォールは、トラフィックがサーバーに到達した後、ほとんどのWordPressスクリプトをロードする前にトラフィックを検査します。この方法はDNSレベルのファイアウォールほど効率的ではありませんが、サーバーの負荷を軽減することができます。
さらに詳しく知りたい方は、最高のWordPressファイアウォールプラグインのリストをご覧ください。
私たちは長年WPBeginnerでSucuriを使用しており、WordPressのための最高のWebアプリケーションファイアウォールの1つとして今でも推奨しています。最近SucuriからCloudflareに乗り換えたのは、よりエンタープライズクライアントに特化した機能を持つ、より大規模なCDNネットワークが必要になったからです。
Sucuriのおかげで、1ヶ月で450,000件のWordPress攻撃をブロックできたことについては、こちらをご覧ください。
Sucuriのファイアウォールの最も優れた点は、マルウェアのクリーンアップとブラックリストの削除保証が付いていることです。つまり、Sucuriの監視下でハッキングされた場合、ページ数に関係なく、サイトの修復を保証してくれるのだ。
ハッキングされたサイトの修復には費用がかかるため、これはかなり強力な保証だ。セキュリティの専門家は通常、1時間あたり250ドル以上を請求するが、Sucuriのセキュリティスタック全体は1年間199ドルで利用できる。
とはいえ、DNSレベルのファイアウォール・プロバイダーはSucuriだけではない。他の人気のある競合はCloudflareです。SucuriとCloudflareの比較(長所と短所)をご覧ください。
WordPressサイトをSSL/HTTPSに移行する
SSL(SecureSockets Layer)は、サイトとユーザーのブラウザー間のデータ転送を暗号化するプロトコルです。この暗号化により、誰かが情報を盗み見ることが難しくなります。
SSLを有効化すると、サイトアドレスはHTTPではなくHTTPSを使用するようになります。また、ブラウザーでサイトアドレスの横に南京錠のようなアイコンが表示されます。
SSL証明書は通常、投稿者によって発行され、その価格は毎年80ドルから数百ドルです。コストがかさむため、これまでほとんどのサイトオーナーは安全でないプロトコルを使い続けることを選択していました。
この問題を解決するために、Let’s Encryptという非営利団体がサイト所有者に無料のSSL証明書を提供することにした。彼らのプロジェクトは、Google Chrome、Facebook、Mozilla、その他多くの企業によってサポートされている。
WordPressサイトのすべてでSSLを使用することは、これまで以上に簡単です。現在、多くのホスティングサービス会社がWordPressサイトに無料のSSL証明書を提供しています。
ホスティングサービス会社がSSL証明書を提供していない場合は、Domain.comから購入することができます。Domain.comは、市場で最も信頼できるSSL証明書を提供しています。証明書には10,000ドルのセキュリティ保証とTrustLogoセキュリティシールが付いています。
DIYユーザーのためのWordPressセキュリティ
ここまで述べてきたことをすべて実行すれば、かなりいい状態だ。
しかし、いつものように、WordPressのセキュリティを強化するためにできることは他にもあります。
これらのステップの中には、コーディングの知識が必須となるものもあることを覚えておいてください。
初期設定の管理者ユーザー名を変更する
昔、WordPressの管理者ユーザー名の初期設定は「admin」だった。ユーザー名はログイン情報の半分を占めるので、これではハッカーがブルートフォース攻撃をするのが簡単になってしまいます。
ありがたいことに、WordPressはこれを変更し、現在ではWordPressインストール時にカスタマイザーユーザー名を選択する必要があります。
しかし、1クリックWordPressインストーラの中には、初期設定の管理者ユーザー名を「admin」に設定しているものもあります。そのような場合は、ホスティングサービスを変更することをお勧めします。
WordPressは初期設定ではユーザー名を変更できないので、ユーザー名を変更するには3つの方法があります。
- 新しい管理者ユーザー名を作成し、古いユーザー名を削除します。
- Username Changerプラグインを使う
- phpMyAdminからユーザー名を更新する
WordPressのユーザー名を正しく変更する方法の詳細ガイドでは、これら3つをすべて取り上げています。
注:はっきりさせておきたいのは、「admin」と呼ばれるユーザー名を変更するということであって、「admin」と呼ばれることもある管理者ユーザー権限グループを変更するということではありません。
ファイル編集の無効化
WordPressにはコードエディターがビルトインされており、WordPressの管理エリアからテーマやプラグインファイルを編集することができます。
悪用されれば、この機能はセキュリティ上のリスクとなる可能性があるため、オフにすることをお勧めする。
wp-config.phpファイルに以下のコードを追加するか、WPCodeのようなコード・スニペット・プラグイン(推奨)を使えば、簡単にできます:
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
WordPressの管理画面からテーマやプラグインのエディターを無効化する方法をステップごとにご紹介します。
または、前述のSucuriプラグイン(無料)のHardening機能を使って、1クリックで行うこともできます。
特定のWordPressディレクトリでのPHPファイル実行無効化
WordPressのセキュリティを強化するもう一つの方法は、/wp-content/uploads/の
ような不要なディレクトリでのPHPファイルの実行を無効化することです。
メモ帳のようなテキストエディターを開き、このコードを貼り付ければできる:
<Files *.php>
deny from all
</Files>
次に、このファイルを.htaccessとして保存し、FTPクライアントを使用してサイトの/wp-content/uploads/
フォルダにアップロードする必要があります。
より詳細な説明については、WordPressの特定のディレクトリでPHPの実行を無効化する方法のガイドを参照してください。
または、上記で紹介した無料のSucuriプラグインのHardening機能を使って、1クリックでこれを行うこともできます。
ログイン試行を制限する
WordPressの初期設定では、ユーザーは何度でもログインを試みることができます。このため、WordPressサイトはブルートフォース攻撃に対して脆弱な状態になります。これは、ハッカーが異なる組み合わせでログインを試みることで、パスワードを解読しようとするものです。
この問題は、ユーザーがログインに失敗する回数を制限することで簡単に解決できます。前述のウェブ・アプリケーション・ファイアウォールを使用している場合、これは自動的に処理されます。
ただし、ファイアウォールを設定していない場合は、以下の手順で先に進むことができる。
まず、無料のLimit Login Attempts Reloadedプラグインをインストールして有効化する必要があります。詳しくは、WordPressプラグインのインストール方法のステップバイステップガイドをご覧ください。
有効化した時点で、プラグインはユーザーのログイン試行回数を制限し始めます。
初期設定はほとんどのサイトで有効ですが、設定 ” ログイン試行を制限ページにアクセスし、上部にある ‘設定’ タブをクリックすることで、カスタマイズすることができます。例えば、GDPR法に準拠するには、’GDPR compliance’チェックボックスをクリックします。
詳細な手順については、WordPressでログイン試行を制限する方法と理由をご覧ください。
2要素認証(2FA)の追加
2要素認証方式では、ユーザーがログインするために2つの異なるステップが必須です:
- 最初のステップはユーザー名とパスワードだ。
- 第2のステップでは、ハッカーがアクセスできない端末やアプリ(スマートフォンなど)のコードを使用することが必須となる。
Google、Facebook、Twitterのようなほとんどのトップ・オンライン・サイトでは、自分のアカウントでこの機能を有効化することができる。WordPressサイトにも同じ機能を追加することができます。
まず、WP 2FA – 2要素認証プラグインをインストールして有効化する必要があります。詳しくは、WordPressプラグインのインストール方法のステップバイステップガイドをご覧ください。
ユーザーフレンドリーなウィザードがプラグインのセットアップをサポートし、QRコードが発行されます。
Google Authenticator、Authy、LastPass Authenticatorなどの携帯電話の認証アプリを使用してQRコードをスキャンする必要があります。
アカウントをクラウドにバックアップできるLastPass AuthenticatorまたはAuthyのご利用をお勧めします。これは、携帯電話を紛失したり、リセットしたり、新しい携帯電話を購入した場合に非常に便利です。アカウントのログインはすべて簡単に復元できます。
Authyを使用している場合は、認証アプリで「+」または「アカウントを追加」ボタンをクリックするだけです。
これで、コンピューター上のQRコードを携帯電話のカメラでスキャンできるようになります。まず、アプリにカメラへのアクセス権限を与える必要があるかもしれません。
アカウントに名前をつけたら、保存することができます。
次回サイトにログインする際、パスワード入力後に2要素認証コードの入力を求められます。
携帯電話で認証アプリを開くと、ワンタイムコードが表示されます。
その後、サイトにコードを入力してログインを完了することができます。
WordPressデータベースのプレフィックスを変更する
初期設定では、WordPressはWordPressデータベースのすべてのテーブルの接頭辞としてwp_を
使用します。
WordPressサイトが初期設定のデータベース接頭辞を使用している場合、ハッカーにテーブル名を推測されやすくなります。そのため、変更することをお勧めします。
WordPressのデータベース接頭辞を変更してセキュリティを向上させる方法のステップバイステップのチュートリアルに従って、データベース接頭辞を変更することができます。
注意:データベース接頭辞の変更は、適切に行わないとサイトを壊してしまう可能性があります。コーディングに自信がある場合のみ行ってください。
WordPress管理画面とログインページのパスワード保護
通常、ハッカーは何の制限もなくあなたのwp-adminフォルダーとログインページを要求することができます。これにより、彼らはハッキングのトリックを試したり、DDoS攻撃を実行することができます。
サーバーサイドレベルでパスワード保護を追加することで、これらのリクエストを効果的にブロックすることができます。
WordPressの管理(wp-admin)ディレクトリをパスワードで保護する方法については、ステップバイステップの指示に従ってください。
ディレクトリのインデックスとブラウジングの無効化
ウェブブラウザーにウェブサイトフォルダーのアドレスを入力すると、index.htmlという
ウェブページが存在すれば、それが表示されます。存在しない場合は、代わりにそのフォルダー内のファイルのリストが表示されます。これはディレクトリ・ブラウジングとして知られています。
ディレクトリの閲覧は、ハッカーが既知の脆弱性を持つファイルがあるかどうかを見つけるために使用することができ、彼らはアクセスするためにこれらのファイルを利用することができます。
ディレクトリの閲覧は、他の人があなたのファイルを覗いたり、画像をコピーしたり、あなたのディレクトリ構造を調べたり、その他の情報を得るのにも使われます。そのため、ディレクトリのインデックスとブラウジングをオフにすることを強くお勧めします。
FTPまたはホスティングサービスのファイルマネージャーを使用してサイトに接続する必要があります。次に、サイトのルートディレクトリにある.htaccess
ファイルを探します。.htaccessファイルが見つからない場合は、WordPressで.htaccessファイルが見えない理由についてのガイドを参照してください。
その後、.htaccessファイルの最後に以下の行を追加する必要がある:
オプション -インデックス
.htaccessファイルを保存し、サイトにアップロードすることをお忘れなく。
このトピックについては、WordPressでディレクトリ閲覧を無効化する方法の投稿をご覧ください。
WordPressでXML-RPCを無効化する
XML-RPCはWordPressのコアAPIで、WordPressサイトとウェブアプリやモバイルアプリを接続するのに役立ちます。WordPress 3.5 から初期設定で有効化されています。
しかし、XML-RPCはその強力な性質から、ブルートフォース攻撃を大幅に増幅する可能性がある。
例えば、ハッカーが従来からあなたのサイトで500の異なるパスワードを試したいと思っていた場合、彼らは500の別々のログイン試行を行う必要があります。これは、Limit Login Attempts Reloadedプラグインによってキャッチされ、ブロックすることができます。
しかしXML-RPCを使えば、ハッカーはsystem.multicall
関数を使い、20回や50回のリクエストで何千ものパスワードを試すことができる。
このため、XML-RPCを使用しない場合は無効化することをお勧めします。
WordPressでXML-RPCを無効化する方法は3つあり、WordPressでXML-RPCを無効化する方法のステップバイステップのチュートリアルですべて取り上げています。
ヒント:.htaccessの方法は、最もリソースを消費しないので最適です。他の方法は初心者には簡単です。
あるいは、先に述べたように、ウェブ・アプリケーション・ファイアウォール(WAF)を使用している場合は、自動的に処理される。
WordPressでアイドルユーザーを自動的にログアウトする
ログイン中のユーザーが画面から離れてしまうことがあり、これはセキュリティ上のリスクとなる。誰かがセッションを乗っ取ったり、パスワードを変更したり、アカウントに変更を加えたりする可能性があります。
このため、多くの銀行や金融のサイトでは、アクティブでないユーザーを自動的にログアウトしています。WordPressサイトでも同様の機能を設定することができます。
Inactive Logoutプラグインをインストールして有効化する必要があります。有効化したら、Settings ” Inactive Logoutページでログアウト設定をカスタマイズしてください。
単に時間を設定し、ログアウトメッセージを追加します。その後、ページ下部の「変更を保存」ボタンをクリックして、設定を保存することをお忘れなく。
ステップバイステップの手順については、WordPressでアイドルユーザーを自動的にログアウトする方法のガイドを参照してください。
WordPressのログイン画面にセキュリティの質問を追加する
WordPressのログイン画面にセキュリティ質問を追加することで、不正アクセスをさらに難しくすることができます。
2要素認証プラグインをインストールすることでセキュリティ質問を追加することができます。有効化した後、Multi-factor Authentication ” 2要素認証ページにアクセスしてプラグインの設定を行う必要があります。
これにより、セキュリティ質問を含む様々なタイプの2要素認証をサイトに追加することができます。
より詳細な手順については、WordPressのログイン画面にセキュリティの質問を追加する方法のチュートリアルを参照してください。
WordPressのマルウェアと脆弱性のスキャン
WordPressのセキュリティプラグインがインストールされていれば、マルウェアやセキュリティ侵害の兆候を定期的にチェックします。
しかし、サイトのトラフィックや検索順位が突然ドロップした場合は、手動でマルウェアをスキャンすることをお勧めします。WordPressのセキュリティ・プラグインや、マルウェアやセキュリティ・スキャナーを使用することができます。
これらのオンライン・スキャンを実行するのは非常に簡単だ。あなたのサイトのURLを入力するだけで、クローラーがあなたのサイトを巡回し、既知のマルウェアや悪質なコードを探します。
ほとんどのWordPressセキュリティ・スキャナーは、サイトにマルウェアが含まれているかどうかを警告するだけであることに留意してください。マルウェアを削除したり、ハッキングされたWordPressサイトをクリーンアップすることはできません。
次のセクションでは、マルウェアやハッキングされたWordPressサイトをクリーンアップする。
ハッキングされたWordPressサイトを修復する
WordPressユーザーの多くは、サイトがハッキングされるまで、バックアップやサイトセキュリティの重要性に気づいていません。
ハッカーは被害を受けたサイトにバックドアをインストールし、これらのバックドアが適切に修正されなければ、ウェブサイトは再びハッキングされる可能性が高い。
冒険好きなユーザーやDIYユーザーのために、ハッキングされたWordPressサイトを修復するためのステップバイステップガイドをまとめました。
しかし、WordPressサイトのクリーンアップは非常に難しく、時間がかかります。私たちのアドバイスとしては、プロに任せることをお勧めします。
前述のSucuriセキュリティ・プラグインを有料で利用している場合、ハッキングされたサイトの修復は料金にビルトインされている。
WPBeginnerプロサービスのハッキングサイト修復サービスを利用することもできます。これには249ドルの一括払いが必須で、プレミアムファイル判定、悪質コード除去、ソフトウェアとセキュリティ更新、クリーンなサイトバックアップが含まれます。
私たちはあなたのサイトを修復するか、お金を返すことを保証します。また、修理後30日間はお客様のサイトをカバーいたしますので、その間に再びハッキングされた場合でも、私たちが修理いたします。
私たちは、10年以上にわたってWordPressサイトのクリーニングとセキュリティ保護を行ってきました。ハッキングされたサイトの修復サービスをご利用になれば、安心です。
ボーナスのヒント:WordPressメンテナンスサービスを依頼する
多忙な中小企業の経営者であれば、サイトのセキュリティを監視し、脆弱性から守る時間がないかもしれません。そこで、24時間365日体制でセキュリティ監視を行うWordPressメンテナンスサービスをご利用ください。
WPBeginnerプロサービスは、包括的なWordPressサイトのメンテナンスを手頃な価格で提供します。セキュリティ監視、定期的なクラウドバックアップ、WordPress更新、稼働時間監視などが含まれます。
お客様のニーズに合った月額メンテナンスサービスパッケージをお選びいただくだけで、より安全なWordPressサイトと、ビジネスの他の側面に取り組むための余分な時間を手に入れることができます。
その他のおすすめをご希望の方は、WordPressのベストウェブサイトメンテナンスサービスをご覧ください。
この投稿が、WordPressセキュリティのベストプラクティスを学び、あなたのサイトに最適なWordPressセキュリティプラグインを見つける一助となれば幸いです。また、SEOランキングを向上させるための究極のWordPress SEOガイドや、WordPressを高速化する方法に関する専門家のヒントもご覧ください。
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Kushal Phalak
Great article! Last year my website was hacked(redirecting to another suspicious website), so I think it is a must to use security measure. In my case, I had to delete my website and was lucky that my hosting provider had backup feature. From then I used Wordfence to secure my websites, but moved to Sucuri as it provided the services like DDoS protection, and CDN as well.
Moinuddin Waheed
I have been in the similar sitution where I was working for a reputed institue website.
After making everything final, the director asked me date so that he can schedule a press release.
I confidently suggested him a particualr date and before the schedule date,
my website got corrupted and unfortunately I didn’t have any backup plan ready.
I was completely screwed up and worked the whole day trying to restore to the previous working
like condition.
I think it is necessary that we give heed to each detail related to security.
Ayanda Temitayo
Please I want to ask that is it security wise to change the url of the default login page to another custom url. Like from yourwebsite.com/wp-login to yourwebsite.com/anotherName-login
I once use a plugin to change my login url to another url where nobody can easily route to my login page. So one of my SEO guy said it will be easy for hackers to hack my site if the plugin is vulnerable and I will lose everything on my website if I keep using a custom route to login page.
What’s your opinion about changing the default login route?
WPBeginner Support
Changing your login URL is personal preference and not specifically for security.
管理者
al amin Sheikh
Two important things in a website – Performance and Security.
Nicely explained how we can protect our site from hackers. Thanks, WPB.
WPBeginner Support
You’re welcome
管理者
mohadese esmaeeli
Hello, thank you for this excellent article.I also want to add a few more items to this list, such as using the Google reCAPTCHA plugin, employing security hardware related to the server, examining security tools within the hosting environment, such as Imunify360, and regularly changing passwords at short intervals.
WPBeginner Support
Thank you for your recommendations, hosts do have different tools so it would be best to check with the hosting provider for any security tools they offer
管理者
Fajri
Whoa, the method to Disable XML-RPC in WordPress is totally new for me.
I am gonna try to applicate it to add more security for my websites. Thanks for this information team!
WPBeginner Support
Glad you found our article helpful
管理者
Murad Prodhan
WPbeginner is one the best websites for our community. This article is very helpful for me. Thanks WPbeginner.
WPBeginner Support
You’re welcome, glad the guide was helpful
管理者
Jiří Vaněk
This is a great article. There are many things here that never occurred to me, even though I tried to secure with WordPress as much as possible. I just copied a snippet to hide error messages when logging into WordPress and I’m going to apply it to my website. It probably won’t stop at just this thing. This article is really a fantastic list of great tips. Thank you for advancing awareness about security. Great job.
WPBeginner Support
You’re welcome, glad our guide was helpful
管理者
Etop Udoekene
Thanks very much. This information has come to me at just the right time, as I am in the process of setting up my website again after losing my former laptop and Android phone to thieves.
I am really grateful.
WPBeginner Support
You’re welcome, hopefully things get better and we hope our guide helps you with keeping your site secure after that.
管理者
Mark Ellsworth
Thank you – very well organized and comprehensive! This will definitely help with what is an ongoing and challenging issue with WordPress installs.
WPBeginner Support
Glad you found our security guide helpful
管理者
Ifakayode Femi
I loved this article and am bookmarking this page for future cause I might not remember the names of most plugins listed here, but sincerely this article helps a long way
Thanks for taking your time to compose this
Thanks a million times
WPBeginner Support
Glad you found our guide and recommendations helpful!
管理者
Nikhil
thankyou sir it’s information is to important thankyou so much sir
WPBeginner Support
You’re welcome, glad to hear our article was helpful!
管理者
Yasin
I am very grateful for this article, all thanks to wpbeginner.com.
WPBeginner Support
You’re welcome glad you found our guide helpful!
管理者
Belinda Viret
Thank you for the great advice!
WPBeginner Support
You’re welcome!
管理者
Marko Kozlica
Wow! Extensive and thorough article for beginners and experienced wordpressers alike. Keep up the good work!
WPBeginner Support
Glad you found our article helpful!
管理者
Federico
Really good guide, very useful!
WPBeginner Support
Glad you think so!
管理者
Claudio Lopes
Following the tips and feeling that my site is more secure.
WPBeginner Support
Glad to hear our guide could help you!
管理者
Bob De Maria
Hi,
I am brand new to this and this was my first email and I am ever glad I am signed up. You hit on one of my concerns that is right at the top of my list.
I can’t thank you enough for a very well written and much appreciated tutorial.
Best Regards,
Bob De Maria
WPBeginner Support
Glad to hear our guide was helpful!
管理者
Kimberly
FYI: Security issue on the WP Security Questions plugin. It’s been removed from wordpress.org.
WPBeginner Support
Thank you for letting us know, we will be sure to look for an alternative we would recommend
管理者
MS
Hi guys! Txs a lot for this usefull resouces. 1 question, will any of this affect the loading time of my website/pages???
WPBeginner Support
These should not cause a major change to your site’s speed.
管理者
john
nice Article ,
Do use reCAPTCHA in forms is helpful in securing?
WPBeginner Support
reCAPTCHA is for preventing spam more than security.
管理者
tim jackz
Hello team,
If i install two security plugin in my wordpress website, is there any disadvantages for my website?
WPBeginner Support
You would want to check with the support for the plugins you are looking to use, some work together but others try to do the same tasks which can cause conflicts.
管理者
Diego
My Wordpress site is running WordPress 5.1.8 which part of the 5.1 branch, last updated on November 2020. The current Wordpress version is 5.6.2.
I don’t quite understands all these different branches of WP.
Should I still need to upgrade?
WPBeginner Support
Rather than upgrade, you need to update your site, you can take a look at our guide below for how to safely update your site:
https://www.wpbeginner.com/beginners-guide/ultimate-guide-to-upgrade-wordpress-for-beginners-infograph/
管理者
Julia
So I pay premium and the free plugins are only for business, is there a way around that. They don’t let us pay for plugins. Premium and lower are not allowed to use them at all.
WPBeginner Support
That would be a WordPress.com limitation, for the difference between WordPress.com and WordPress.org we would recommend taking a look at our article below:
https://www.wpbeginner.com/beginners-guide/self-hosted-wordpress-org-vs-free-wordpress-com-infograph/
管理者
Trisha
Great tutorial, thank you! In going thru my 404 error logs, I see a lot of bots hitting non-existent plugins in my /plugins folder….I’m not overly concerned since the plugins they’re looking for don’t exist (hence the 404) BUT is there a way to protect my /plugins folder that won’t interfere with normal plugin operations? Is this advisable? Should I even be concerned?
WPBeginner Support
That normally shouldn’t be something you should be concerned with unless the plugin is on your site then you may want to ensure you have that plugin up to date in case the bot was looking for a plugin with a security vulnerability.
管理者
Ish
I took over a word press site how would i know if my site has a cloud backup account prior before me?
WPBeginner Support
You would need to check your active plugins and reach out to your hosting provider to see what is active for your site.
管理者
Lu
How can you find out if your site uses XML-RPC? Really useful as always. Thank you.
WPBeginner Support
If your version of WordPress is up to date it should be active on your site normally.
管理者
Julie Taylor
Very helpful information. I would like to know your thoughts on the following, if i were to implement all of those security situations, particuarly those that were involving code etc does it effect Google to be able to pull up the site and for SEO to work effectively?
WPBeginner Support
The security recommendations should not affect your site’s SEO
管理者
MooN Minhas
Thanks for sharing nice information.
WPBeginner Support
Glad you found it helpful
管理者
Samuel
is this guide also applies to WordPress.com users?
WPBeginner Support
No, our guides are for WordPress.org sites, you would want to reach out to WordPress.com for the hardening steps they allow
管理者
Leanne
This is one of the best tutorial sites (on any subject matter) I have found. Thank you I will refer wpbeginner to others – awesome site!
WPBeginner Support
You’re welcome and glad you’ve found our content helpful
管理者
Daniel
You know there are guys charging more than $50 or $100 dollars to teach you how to do all of this, and you gave it for free! Thanks heaps guys!
WPBeginner Support
You’re welcome
管理者
Power
Thanks for the article, its really useful
WPBeginner Support
You’re welcome
管理者
Mydas
This was super-useful. I have the coding skills to implement all of it, and now I can take much better care of my and my clients’ Wordpress installations. Thank you for the info, it’s so complete that I can’t believe it’s free xD
WPBeginner Support
You’re welcome, glad our guide was helpful
管理者
Splendor Edesiri
Please do I need a VPN to access my WordPress site from the backend as part of my WordPress site security.
WPBeginner Support
No, that is not required
管理者
Kam
Thank you for this article. It is essential reading!
If you have a host like Bluehost, is it essential to have backup with a plugin such as Updraft plus + remote storage? After all, hosting providers should be providing backup?
WPBeginner Support
While some hosts offer backups, we still recommend creating your own backups for safety
管理者
Kyle B.
Changing the database prefix won’t make any difference. Other than that, not a bad article.
WPBeginner Support
Thanks for sharing your opinion and glad you liked our article
管理者
kalmoa
just an FYI, with Nginx there is no directory-level configuration file like Apache’s .htaccess. All configuration has to be done at the server level by an administrator, and WordPress cannot modify the configuration, like it can with Apache. So the part about ‘Disable PHP File Execution’, cannot be completed by wordpress installs running on Nginx. That includes myself, who is running my wordpress install on Vultr. Their one-click wordpress install gets deployed on Nginx (ubuntu 18.04)
WPBeginner Support
Thank you for sharing this for the users who specifically are using Nginx for their site.
管理者
Tom
What is the best method to update plugins if I have several that need updating? Update one at a time and see if the updated plugin breaks any of the functionality on the website?
WPBeginner Support
If you are concerned an update would break your site, we would recommend testing the update by following our guide on how to create a staging environment below:
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
管理者
Kartik Satija
Amazing article, very well articulated and documented.
Thank you all so much for this.
More power to you guys, keep up the good work.
Cheers,
Kartik.
WPBeginner Support
Glad you found our guide helpful
管理者
MIMIFTAH
Very Informative content. Thanks
WPBeginner Support
You’re welcome
管理者
Liz
Great article. I have a question about the hardening options. I read that enabling hardening on all options can cause some plugins or the theme to break/not work properly. If this happens, how difficult is it to fix? It seems like there’s more to it than just reverting the hardening option. Any insight you could offer would be greatly appreciated. Thanks!
WPBeginner Support
It would depend on the specific hardening recommendation, plugin, and error message for the difficulty should an error appear. Otherwise, most plugins shouldn’t have an issue
管理者
Gary Starling
Very helpful suggestions and well explained from the basic to the complex
Thank you four your explanations
WPBeginner Support
You’re welcome, glad our article could be helpful
管理者
Andrei
Hi guys,
After the first user enumeration, brute force a security plugin will block that IP address.
If you password protect the wp-admin directory the plugin can no longer block that IP.
Is that a correct assessment?
WPBeginner Support
Correct, there would be a similar load to a blocked IP but if you need many new users to access your site then limiting login attempts would be better than password protecting your wp-admin
管理者
Andrei
Ok, I finally understood how this works and sharing here for everyone. Password protecting wp-admin is done at the server (Apache/Nginx) level. If a user enumeration, brute force is unable to bypass the server level, it would not be able to touch PHP/MySQL. Thus, password protecting wp-admin does not put additional load on the database.
Peter
Very informative and helpful, I have configured all the hardening procedure you mentioned, Thanks a lot.
WPBeginner Support
You’re welcome, glad our guide was helpful
管理者
Aqib khan
i will always follow you.i will always love you and always share such a fresh and cool content to make us smile.Thank You.
WPBeginner Support
Thank you, glad you’ve enjoyed our content
管理者
mahmoud
I love this site. you’re offering precious information.
I’m a beginner and this is helpful.
but can I only have a strong password and disable indexing to do the matter?
what about all these plugins I think they will affect the site speed or this not installed on the site?
WPBeginner Support
For your concern with plugins slowing down your site, you shouldn’t need to worry, we explain our reasoning behind this here: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
管理者
Krishna
Hi WP Beginner Team,
Thanks for such a brief explanation of WordPress security. This article was very useful and let know the value of wp security for the users and website owner.
THANKS AGAIN…
WPBeginner Support
You’re welcome, glad our article was helpful
管理者
Kushal
I used all plugin that you mentioned sucuri, itheams, wp serber and jetpack. How many plugin can I use on my website.
WPBeginner Support
We would recommend sticking with only one plugin for a specific feature but for in general how many plugins to use you would want to take a look at our article here: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
管理者
Leighann
This was SO helpful. Thanks for the information and saving me so much time!
WPBeginner Support
You’re welcome, glad our guide could be helpful
管理者
Dietrich
Hi
Is it okay to use Sucuri and Wordfence at the same time? I installed Wordfence since Sucuri’s free version doesn’t have a firewall feature.
WPBeginner Support
We would not recommend using both, multiple security tools can conflict with each other and cause issues with your site.
管理者