すべてのウェブサイトの所有者は、自分のサイトがハッカーに脆弱である可能性に気づいた瞬間に恐怖します。単一のセキュリティ侵害は、苦労して築き上げた評判と収益を瞬時に損なう可能性があります。
サイトの保護には高価なツールや高度なコーディングスキルが必要だと心配するかもしれませんが、それはまったく真実ではありません。ほとんどのセキュリティ対策は、実際には非常に簡単に適用できます。
私たちは16年以上にわたり、プラグインのテストと戦略の改善を行い、WPBeginnerを日々の攻撃から安全に保ってきました。私たちはこれらの正確な方法を自身のプロジェクト保護に使用しています。
このガイドでは、ウェブサイトを安全に保ち、安心して眠れるようにするための究極のセキュリティチェックリストを順を追って説明します。
WordPressのコアソフトウェアは非常に安全で、何百人もの開発者によって定期的に監査されていますが、サイトを安全に保つためにはまだ多くのことが必要です。
WPBeginnerでは、セキュリティはリスク排除だけではないと考えています。リスク軽減も重要です。ウェブサイト所有者として、技術に詳しくなくても、WordPressのセキュリティを向上させるためにできることはたくさんあります。
そのため、セキュリティの脆弱性からウェブサイトを保護するために実行できる具体的なステップのWordPressセキュリティチェックリストを作成しました。
わかりやすくするために、究極のWordPressセキュリティガイドをスムーズに読み進めるための目次を作成しました。
目次
WordPressセキュリティの基本
WordPressセキュリティを簡単なステップで(コーディングなしで)
- WordPressバックアップソリューションをインストールする
- 信頼できるWordPressセキュリティプラグインをインストールする
- Webアプリケーションファイアウォール(WAF)を有効にする
- WordPressサイトをSSL/HTTPSに移行する
DIYユーザーのためのWordPressセキュリティ
- デフォルトの管理者ユーザー名を変更する
- ファイル編集を無効にする
- 特定のWordPressディレクトリでのPHPファイル実行を無効にする
- ログイン試行回数の制限
- 2要素認証(2FA)を追加する
- WordPressデータベースのプレフィックスを変更する
- WordPressの管理画面とログインページにパスワード保護を追加する
- ディレクトリインデックス表示とブラウジングを無効にする
- WordPressでXML-RPCを無効にする
- WordPressでアイドル状態のユーザーを自動的にログアウトする
- WordPressログインにセキュリティの質問を追加
- WordPressのマルウェアと脆弱性をスキャンする
- ハッキングされたWordPressサイトの修復
準備はいいですか?始めましょう。
ウェブサイトのセキュリティが重要な理由
ハッキングされたWordPressウェブサイトは、ビジネスの収益と評判に深刻な損害を与える可能性があります。ハッカーはユーザー情報やパスワードを盗んだり、悪意のあるソフトウェアをインストールしたり、さらにはユーザーにマルウェアを配布したりすることさえあります。
さらに悪いことに、ウェブサイトへのアクセスを回復するために、ハッカーに身代金を支払わなければならない場合があります。
毎日、Googleは、アクセスしようとしているウェブサイトにマルウェアが含まれているか、情報を盗む可能性があることを何百万ものユーザーに警告しています。
さらに、Googleは毎日数千ものウェブサイトをマルウェアやフィッシングのためにブラックリストに登録しています。
物理的な場所を持つ事業主がその財産を保護する責任を負うのと同様に、オンライン事業主はWordPressセキュリティに特別な注意を払う必要があります。
[トップへ戻る ↑]
WordPressを最新の状態に保つ
WordPressはオープンソースソフトウェアであり、定期的に保守および更新されています。デフォルトでは、WordPressはマイナーアップデートを自動的にインストールします。
メジャーリリースの場合、手動でアップデートを開始する必要があります。
WordPressには、ウェブサイトにインストールできる何千ものプラグインやテーマも付属しています。これらのプラグインやテーマはサードパーティの開発者によって管理されており、彼らは定期的にアップデートをリリースしています。
これらのWordPressアップデートは、WordPressサイトのセキュリティと安定性にとって非常に重要です。WordPressのコア、プラグイン、テーマを最新の状態に保つ必要があります。
[トップへ戻る ↑]
強力なパスワードとユーザー権限を使用する
最も一般的なWordPressハッキング試行は、盗まれたパスワードを使用します。しかし、ウェブサイトに強力でユニークなパスワードを使用することで、それを困難にすることができます。
WordPress管理画面だけではありません。FTPアカウント、データベース、WordPressホスティングアカウント、およびサイトのドメイン名を使用するカスタムメールアドレスの強力なパスワードを作成することを忘れないでください。
多くの初心者は、覚えにくいので強力なパスワードの使用を好みません。幸いなことに、パスワードマネージャーを使えばパスワードを覚える必要はもうありません。
詳細については、WordPressパスワードの管理方法に関するガイドをご覧ください。
リスクを軽減するもう1つの方法は、絶対に必要がない限り、WordPress管理アカウントへのアクセスを誰にも許可しないことです。
大規模なチームやゲスト著者がいる場合は、WordPressサイトに新しいユーザーアカウントや著者を新たに追加する前に、WordPressのユーザーロールと権限を理解していることを確認してください。
[トップへ戻る ↑]
WordPressホスティングの役割を理解する
あなたのWordPressホスティングサービスは、WordPressサイトのセキュリティにおいて最も重要な役割を果たします。Hostinger、Bluehost、またはSiteGroundのような優れた共有ホスティングプロバイダーは、一般的な脅威からサーバーを保護するために追加の対策を講じています。
ここに、優れたウェブホスティング会社がウェブサイトとデータを保護するためにバックグラウンドでどのように機能するかのほんの一例を挙げます。
- 彼らは不正なアクティビティを継続的に監視しています。
- すべての優れたホスティング会社は、大規模なDDoS攻撃を防ぐためのツールを備えています。
- 彼らは、ハッカーが古いバージョンに存在する既知のセキュリティ脆弱性を悪用するのを防ぐために、サーバーソフトウェア、PHPバージョン、およびハードウェアを最新の状態に保っています。
- 重大な事故が発生した場合にデータを保護できる、すぐに展開可能な災害復旧および事故計画を用意しています。
共用ホスティングプランでは、多くの他の顧客とサーバーリソースを共有します。クロスサイト汚染のリスクがあり、ハッカーが隣接するサイトを使用してあなたのウェブサイトを攻撃する可能性があります。
対照的に、マネージドWordPressホスティングサービスを使用すると、ウェブサイトにより安全なプラットフォームを提供できます。
マネージドWordPressホスティング会社は、自動バックアップ、自動WordPressアップデート、および高度なファイアウォール構成を提供してウェブサイトを保護します。多くの場合、このリストにある多くの技術的なセキュリティタスクを代わりに処理してくれます。
私たちは、お気に入りのマネージドWordPressホスティングプロバイダーとしてSiteGroundをお勧めします。彼らは応答性の高いサポート、高速なサーバー、そして優れた信頼性を持っています。
私たちの特別なSiteGroundクーポンを使用して、最良の取引を得てください。
[トップへ戻る ↑]
簡単なステップでWordPressのセキュリティを強化(コーディング不要)
WordPressのセキュリティを向上させることは、特に技術に詳しくない初心者にとっては恐ろしいことだと私たちは理解しています。驚くかもしれませんが、あなたは一人ではありません。
何千ものWordPressユーザーのWordPressセキュリティ強化をお手伝いしてきました。
数回のクリック(コーディング不要)でWordPressのセキュリティを向上させる方法をご紹介します。
指差しとクリックができれば、あなたにもできます!
1. WordPressバックアップソリューションをインストールする
バックアップは、あらゆるWordPress攻撃に対する最初の防御策です。覚えておいてください、100%安全なものはありません。政府のウェブサイトがハッキングされる可能性があるなら、あなたのサイトもハッキングされる可能性があります。
バックアップがあれば、何か悪いことが起こった場合にWordPressサイトを迅速に復元できます。
使用できる無料および有料のWordPressバックアッププラグインはたくさんあります。バックアップに関して知っておくべき最も重要なことは、ホスティングアカウント以外のリモートの場所に定期的にフルサイトバックアップを保存する必要があるということです。
Amazon、Dropboxなどのクラウドサービスや、Stashのようなプライベートクラウドに保存することをお勧めします。
ウェブサイトを更新する頻度に応じて、理想的な設定は1日1回またはリアルタイムのバックアップのいずれかになります。
幸いなことに、Duplicator、UpdraftPlus、またはBlogVaultのようなプラグインを使用することで、これを簡単に行うことができます。どちらも信頼性が高く、最も重要なのは使いやすいことです(コーディングは不要です)。
詳細については、WordPressウェブサイトのバックアップ方法に関するガイドをご覧ください。
[トップへ戻る ↑]
信頼できるWordPressセキュリティプラグインをインストールする
バックアップの後、次にやるべきことは、ウェブサイトで起こるすべてのことを追跡する監査および監視システムをセットアップすることです。
これには、ファイル整合性監視、ログイン試行失敗、マルウェアスキャンなどが含まれます。
幸いなことに、Sucuriのような最高のWordPressセキュリティプラグインのいずれかをインストールすることで、これを簡単に処理できます。
無料のSucuri Securityプラグインをインストールして有効化する必要があります。詳細については、WordPressプラグインのインストール方法に関するステップバイステップガイドをご覧ください。
これはリスクを限定しますが、厳密には、無料プラグインはセキュリティ監視とスキャン用であり、ファイアウォールではありません。
次に、Sucuri Security » Dashboard にアクセスして、プラグインがWordPressコードに即時の問題を見つけたかどうかを確認できます。
次に、Sucuri Security » 設定ページに移動し、「ハードニング」タブをクリックします。
デフォルト設定はほとんどのウェブサイトでうまく機能するため、「ハードニングを適用」ボタンをクリックして各オプションを有効にすることができます。
これは、ハッカーが攻撃でよく使用する主要な領域をロックダウンするのに役立ちます。
ヒント: この記事の後半では、データベースプレフィックスや管理者ユーザー名の変更など、ウェブサイトを強化するためのさらなる方法を説明します。ただし、これらはより技術的であり、コーディングの知識が必要になる場合があります。
ハードニング(強化)ステップの後、プラグインの他のデフォルト設定はほとんどのウェブサイトで十分であり、変更は必要ありません。
カスタマイズをお勧めするのは、設定ページの「アラート」タブにあるメールアラートのみです。
デフォルトでは、多くのメールアラートを受信するため、受信トレイが煩雑になる可能性があります。
プラグインの変更や新しいユーザー登録など、通知を受けたい重要なアクションに対してのみアラートを有効にすることをお勧めします。
このWordPressセキュリティプラグインは非常に強力なので、すべてのタブと設定をブラウズして、マルウェアスキャン、監査ログ、ログイン試行失敗の追跡など、それが何をするのかすべてを確認してください。
詳細なSucuriのレビューをご覧いただくと、さらに詳しい情報が得られます。
Webアプリケーションファイアウォール(WAF)を有効にする
前のステップでインストールした無料プラグインは、サイトの問題を監視するのに役立ちますが、リアルタイムで攻撃をブロックすることはできません。そのためには、Webアプリケーションファイアウォール(WAF)が必要です。
WAFを使用することは、サイトを保護し、WordPressのセキュリティに自信を持つための最も簡単な方法です。
ウェブサイトファイアウォールは、悪意のあるトラフィックがウェブサイトに到達する前にすべてブロックします。
- DNSレベルのウェブサイトファイアウォールは、ウェブサイトのトラフィックをクラウドプロキシサーバーを経由させます。これにより、正規のトラフィックのみをウェブサーバーに送信できます。
- アプリケーションレベルのファイアウォールは、トラフィックがサーバーに到達してからほとんどのWordPressスクリプトをロードする前に検査します。この方法は、DNSレベルのファイアウォールほどサーバー負荷を軽減する効率はありません。
詳細については、WordPressファイアウォールプラグインのベストのリストをご覧ください。
私たちは長年WPBeginnerでSucuriを使用しており、WordPress向けの最高のWebアプリケーションファイアウォールの一つとして今でも推奨しています。最近、エンタープライズ顧客により焦点を当てた機能を持つ、より大きなCDNネットワークが必要になったため、SucuriからCloudflareに切り替えました。
Sucuriがどのようにして1か月で45万件のWordPress攻撃をブロックするのに役立ったかについて読むことができます。
Sucuriのファイアウォールの最も良い点は、マルウェアクリーニングとブラックリスト削除の保証も付いていることです。これは、彼らの監視下でハッキングされた場合、ページ数に関係なくウェブサイトを修正することを保証することを意味します。
これはかなり強力な保証です。なぜなら、ハッキングされたウェブサイトの修理は高価だからです。セキュリティ専門家は通常、1時間あたり250ドル以上を請求しますが、Sucuriのセキュリティスタック全体を年間199ドルで入手できます。
とはいえ、Sucuriは唯一のDNSレベルのファイアウォールプロバイダーではありません。もう一つの人気のある競合他社はCloudflareです。Sucuri対Cloudflare(長所と短所)の比較をご覧ください。
[トップへ戻る ↑]
WordPressサイトをSSL/HTTPSに移行する
SSL(Secure Sockets Layer)は、ウェブサイトとユーザーのブラウザ間のデータ転送を暗号化するプロトコルです。この暗号化により、誰かが情報を盗み見ることが困難になります。
SSLを有効にすると、ウェブサイトのアドレスはHTTPの代わりにHTTPSを使用するようになります。ブラウザのウェブサイトアドレスの横には、鍵のアイコンまたはそれに類似したアイコンが表示されます。
過去には、SSL証明書は高価で、年間80ドルから数百ドルかかっていました。今日では、SSL証明書を持つことはすべてのウェブサイトの要件となっています。
もし持っていない場合、Google Chromeなどのブラウザはあなたのウェブサイトを「安全ではありません」とマークし、訪問者を遠ざけてしまう可能性があります。
この問題を解決するために、Let’s Encryptという非営利団体がウェブサイト所有者に無料のSSL証明書を提供し始めました。このプロジェクトは、Google Chrome、Facebook、Mozilla、その他多くの企業によって支援されています。
すべてのWordPressウェブサイトでSSLの使用を開始することが、これまで以上に簡単になりました。多くのホスティング会社が、現在WordPressウェブサイト向けの無料SSL証明書を提供しています。
ホスティング会社が提供していない場合は、Network SolutionsからSSL証明書を購入できます。彼らは市場で最も信頼性の高いSSL取引を提供しています。証明書には10,000ドルのセキュリティ保証とTrustLogoセキュリティシールが付属しています。
DIYユーザーのためのWordPressセキュリティ
ここまで述べたことをすべて実行すれば、かなり安全な状態になります。
しかし、常にそうであるように、WordPressのセキュリティを強化するためにできることは他にもあります。
これらのステップの一部には、コーディングの知識が必要になる場合があることに注意してください。
デフォルトの管理者ユーザー名を変更する
昔は、デフォルトのWordPress管理者ユーザー名は「admin」でした。ユーザー名はログイン資格情報の一部であるため、ハッカーが総当たり攻撃を行いやすくなっていました。
幸いなことに、WordPressはその後これを変更し、現在ではWordPressのインストール時にカスタムユーザー名を選択する必要があります。
ただし、古い1クリックWordPressインストーラーの中には、デフォルトの管理者ユーザー名を「admin」に設定するものがあるかもしれません。もしそうであることに気づいた場合は、Webホスティングを切り替えるのが良いでしょう。
WordPressではデフォルトでユーザー名を変更できないため、ユーザー名を変更するには3つの方法があります。
- 新しい管理者ユーザー名を作成し、古いものを削除します。
- ユーザー名変更プラグインを使用する
- phpMyAdminからユーザー名を更新する
これら3つすべてについて、WordPressのユーザー名を正しく変更する方法に関する詳細ガイドで説明しました。
注意:はっきりさせておくと、ここで話しているのは「admin」という名前のユーザー名を変更することであり、「admin」とも呼ばれる管理者ユーザーロールのことではありません。
[トップへ戻る ↑]
ファイル編集を無効にする
WordPressには、WordPress管理画面からテーマやプラグインファイルを直接編集できる組み込みコードエディタが付属しています。
この機能は、悪意のある手に渡るとセキュリティリスクになる可能性があるため、オフにすることをお勧めします。
これを簡単に行うには、次のコードをwp-config.phpファイルに追加するか、コードスニペットプラグイン(推奨)であるWPCodeを使用します。
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
WordPress管理画面からテーマとプラグインエディターを無効にする方法に関するガイドで、これを段階的に実行する方法を説明します。
あるいは、前述の無料のSucuriプラグインのHardening機能を使用して、ワンクリックでこれを行うことができます。
[トップへ戻る ↑]
特定のWordPressディレクトリでのPHPファイル実行を無効にする
WordPressのセキュリティを強化する別の方法は、必要のないディレクトリ(例:/wp-content/uploads/)でPHPファイルの実行を無効にすることです。
注意:この方法は、Apache Webサーバー(ほとんどの共有ホスティング会社で使用されています)で実行されているWebサイトに有効です。マネージドWordPressホスティングプロバイダーを使用している場合、それらがこれを処理しているか、このファイルが機能しない可能性があります。
メモ帳のようなテキストエディタを開き、このコードを貼り付けることで、これを実行できます。
<Files *.php>
deny from all
</Files>
次に、このファイルを.htaccessとして保存し、FTPクライアントを使用してWebサイトの/wp-content/uploads/フォルダにアップロードする必要があります。
詳細な説明については、WordPressの特定のディレクトリでPHP実行を無効にする方法に関するガイドをご覧ください。
または、前述の無料のSucuriプラグインのHardening機能を使用して、ワンクリックでこれを行うこともできます。
[トップへ戻る ↑]
ログイン試行回数の制限
デフォルトでは、WordPressではユーザーは何回でもログインを試みることができます。これにより、WordPressサイトはブルートフォース攻撃に対して脆弱になります。これは、ハッカーがさまざまな組み合わせを試してパスワードをクラックしようとする方法です。
これは、ユーザーが行えるログイン試行回数を制限することで簡単に修正できます。前述のWebアプリケーションファイアウォールを使用している場合、これは自動的に処理されます。
ただし、ファイアウォールが設定されていない場合は、以下の手順で進めることができます。
まず、無料のLimit Login Attempts Reloadedプラグインをインストールして有効にする必要があります。詳細については、WordPressプラグインのインストール方法に関するステップバイステップガイドをご覧ください。
有効化すると、プラグインはユーザーが試行できるログイン回数を制限し始めます。
デフォルト設定はほとんどのウェブサイトで機能します。ただし、設定 » Limit Login Attemptsページにアクセスし、上部にある「設定」タブをクリックすることでカスタマイズできます。たとえば、GDPR法に準拠するには、「GDPR準拠」チェックボックスをクリックできます。
詳細な手順については、WordPressでログイン試行を制限する方法と理由に関するガイドをご覧ください。
[トップへ戻る ↑]
2要素認証(2FA)を追加する
二要素認証方法は、ユーザーがログインするために2つの異なるステップを必要とします。
- 最初の手順は、ユーザー名とパスワードです。
- 2番目のステップでは、スマートフォンなど、ハッカーがアクセスできない手元にあるデバイスまたはアプリからコードを使用する必要があります。
Google、Facebook、Twitterのようなほとんどのトップオンラインウェブサイトでは、アカウントで有効にすることができます。同様の機能をWordPressサイトに追加することもできます。
まず、WP 2FA – Two-factor Authenticationプラグインをインストールして有効にする必要があります。詳細については、WordPressプラグインのインストール方法に関するステップバイステップガイドをご覧ください。
使いやすいウィザードがプラグインの設定を支援し、その後QRコードが表示されます。
Google Authenticator、Authy、LastPass Authenticatorなどの携帯電話の認証アプリを使用してQRコードをスキャンする必要があります。
アカウントをクラウドにバックアップできるため、LastPass AuthenticatorまたはAuthyの使用をお勧めします。これは、電話を紛失したりリセットしたりした場合、または新しい電話を購入した場合に非常に役立ちます。すべてのアカウントログインは簡単に復元されます。
これらのアプリのほとんどは同様の方法で機能します。Authyを使用している場合は、認証アプリで「+」または「アカウントを追加」ボタンをクリックするだけです。
これにより、スマートフォンのカメラを使用してコンピューター上の QR コードをスキャンできます。最初に、アプリにカメラへのアクセス許可を与える必要がある場合があります。
アカウントに名前を付けたら、保存できます。
次回ウェブサイトにログインする際には、パスワードを入力した後、2要素認証コードを求められます。
スマートフォンの認証アプリを開くだけで、使い捨てコードが表示されます。
ウェブサイトにコードを入力して、ログインを完了できます。
[トップへ戻る ↑]
WordPressデータベースのプレフィックスを変更する
デフォルトでは、WordPressはWordPressデータベースのすべてのテーブルのプレフィックスとしてwp_を使用します。
WordPressサイトでデフォルトのデータベースプレフィックスを使用している場合、ハッカーがテーブル名を推測しやすくなります。そのため、変更することをお勧めします。
セキュリティを向上させるためにWordPressデータベースのプレフィックスを変更する方法に関するステップバイステップチュートリアルに従って、データベースのプレフィックスを変更できます。
注意: データベースのプレフィックスを変更すると、正しく行われない場合、サイトが破損する可能性があります。コーディングスキルに自信がある場合のみ実行してください。
[トップへ戻る ↑]
WordPressの管理画面とログインページにパスワード保護を追加する
通常、ハッカーは制限なしにwp-adminフォルダとログインページをリクエストできます。これにより、ハッキングの試みやDDoS攻撃を実行できます。
サーバーレベルで追加のパスワード保護を追加すると、それらのリクエストを効果的にブロックできます。
単にWordPress管理(wp-admin)ディレクトリにパスワード保護をかける方法に関するステップバイステップの手順に従ってください。
[トップへ戻る ↑]
ディレクトリインデックス表示とブラウジングを無効にする
ウェブブラウザにウェブサイトのフォルダのいずれかのアドレスを入力すると、それが存在する場合、index.html という名前のウェブページが表示されます。存在しない場合は、代わりにそのフォルダ内のファイルのリストが表示されます。これはディレクトリブラウジングとして知られています。
ハッカーはディレクトリブラウジングを使用して、既知の脆弱性を持つファイルがあるかどうかを調べ、それらのファイルを利用してアクセスを得ることができます。
ディレクトリブラウジングは、他の人があなたのファイルを参照したり、画像をコピーしたり、ディレクトリ構造を表示したり、その他の情報にアクセスしたりするためにも使用できます。このため、ディレクトリインデックス作成とブラウジングをオフにすることが強く推奨されます。
FTPまたはホスティングプロバイダーのファイルマネージャーを使用してウェブサイトに接続する必要があります。次に、ウェブサイトのルートディレクトリにある.htaccessファイルを見つけます。そこに見つからない場合は、WordPressで.htaccessファイルが表示されない理由に関するガイドを参照してください。
その後、.htaccessファイルの末尾に次の行を追加する必要があります。
オプション -インデックス
.htaccessファイルを保存してサイトにアップロードし直すことを忘れないでください。
重要: 保存後すぐにウェブサイトを確認してください。エラーが表示された場合、ホスティングプロバイダーはこの特定の Сetting を許可していない可能性があり、その行を削除する必要があります。
このトピックの詳細については、WordPressでディレクトリブラウジングを無効にする方法に関する記事をご覧ください。
[トップへ戻る ↑]
WordPressでXML-RPCを無効にする
XML-RPCは、WordPressサイトをウェブおよびモバイルアプリに接続するのに役立つコアWordPress APIです。WordPress 3.5以降、デフォルトで有効になっています。
しかし、その強力な性質のため、XML-RPCはブルートフォース攻撃を大幅に増幅させる可能性があります。
たとえば、ハッカーが従来、ウェブサイトで500種類の異なるパスワードを試そうとした場合、500回の個別のログイン試行を行う必要がありました。Limit Login Attempts Reloadedプラグインはこれを検出し、ブロックできます。
しかし、XML-RPCを使用すると、ハッカーはsystem.multicall関数を使用して、たとえば20または50のリクエストで数千のパスワードを試すことができます。
このため、XML-RPCを使用していない場合は、無効にすることをお勧めします。(注意:WordPressモバイルアプリまたはJetpackプラグインを使用している場合は、XML-RPCを有効にする必要がある場合があります)。
WordPressでXML-RPCを無効にする方法は3つあり、すべてWordPressでXML-RPCを無効にする方法に関するステップバイステップチュートリアルで説明しています。
ヒント: .htaccess メソッドは、リソース消費が最も少ないため、最良の方法です。他の方法は初心者には簡単です。
あるいは、前述したようにWebアプリケーションファイアウォール(WAF)を使用している場合は、これが自動的に処理されます。
[トップへ戻る ↑]
WordPressでアイドル状態のユーザーを自動的にログアウトする
ログイン中のユーザーは画面から離れることがあり、これはセキュリティリスクとなります。誰かがセッションを乗っ取り、パスワードを変更したり、アカウントに変更を加えたりする可能性があります。
このため、多くの銀行や金融サイトでは、非アクティブなユーザーを自動的にログアウトします。WordPressサイトでも同様の機能を設定できます。
Inactive Logoutプラグインをインストールして有効にする必要があります。有効化したら、設定 » Inactive Logoutページにアクセスして、ログアウト設定をカスタマイズします。
時間を設定し、ログアウトメッセージを追加するだけです。次に、設定を保存するために、ページ下部にある「変更を保存」ボタンをクリックすることを忘れないでください。
ステップバイステップの手順については、WordPressでアイドル状態のユーザーを自動的にログアウトさせる方法に関するガイドを参照してください。
[トップへ戻る ↑]
WordPressログイン画面にセキュリティ質問を追加する
WordPressのログイン画面にセキュリティの質問を追加すると、不正アクセスがさらに困難になります。
セキュリティの質問は、Two Factor Authentication プラグインをインストールすることで追加できます。有効化したら、Multi-factor Authentication » Two Factor ページにアクセスして、プラグインの設定を構成する必要があります。
これにより、セキュリティの質問を含むさまざまな種類の二要素認証をサイトに追加できるようになります。
より詳細な手順については、WordPressのログイン画面にセキュリティの質問を追加する方法に関するチュートリアルをご覧ください。
[トップへ戻る ↑]
WordPressのマルウェアと脆弱性をスキャンする
WordPressセキュリティプラグインがインストールされている場合、マルウェアやセキュリティ侵害の兆候を定期的にチェックしてくれます。
ただし、ウェブサイトのトラフィックや検索ランキングが急激に低下した場合は、手動でマルウェアのスキャンを検討するとよいでしょう。これは、WordPressセキュリティプラグインを使用するか、最高のマルウェアおよびセキュリティスキャナーのいずれかを使用して行うことができます。
これらのオンラインスキャンを実行するのは非常に簡単です。ウェブサイトのURLを入力するだけで、クローラーがウェブサイトをスキャンして、既知のマルウェアや悪意のあるコードを探します。
さて、ほとんどのオンラインWordPressセキュリティスキャナーは、サイトにマルウェアが含まれている場合にのみ警告できることに注意してください。通常、マルウェアを削除したり、ハッキングされたWordPressサイトをクリーンアップしたりすることはできません。
次に、マルウェアやハッキングされたWordPressサイトのクリーンアップセクションに進みます。
[トップへ戻る ↑]
ハッキングされたWordPressサイトの修復
多くのWordPressユーザーは、ウェブサイトがハッキングされるまで、バックアップとウェブサイトセキュリティの重要性に気づいていません。
ハッカーは影響を受けたサイトにバックドアをインストールします。これらのバックドアが適切に修正されない場合、ウェブサイトは再びハッキングされる可能性が高いです。
冒険心のあるDIYユーザーのために、ハッキングされたWordPressサイトの修正方法に関するステップバイステップガイドをまとめました。
ただし、WordPressサイトのクリーンアップは非常に困難で時間がかかる場合があります。専門家に任せることをお勧めします。
前述のSucuriセキュリティプラグインの使用に料金を支払っている場合、ハッキングされたサイトの修復は価格に含まれています。
それ以外の場合は、ハッキングされたサイトを修正できる専門家を見つけるために、最高のWordPressサポートエージェンシーの推奨事項を確認できます。
[トップへ戻る ↑]
WordPressのセキュリティに関するよくある質問
WordPressのセキュリティは非常に重要であるため、それに関する質問を定期的に受けています。ここでは、WordPressウェブサイトを攻撃から安全に保つことに関するよくある質問への回答を紹介します。
WordPress は安全に使用できますか?
WordPressは、特に定期的に更新していれば、安全に設計されています。しかし、非常に人気があるため、ハッカーはWordPressウェブサイトを標的にすることがよくあります。
しかし、心配しないでください。この記事で紹介したような簡単なセキュリティのヒントに従うことで、ウェブサイトがハッキングされる可能性を大幅に減らすことができます。
WordPressウェブサイトを危険にさらす可能性のあるものは?
ハッカーがウェブサイトにアクセスしようとする方法は様々です。一般的な脅威には、パスワードの推測、悪意のあるソフトウェア(マルウェア)のインストール、ウェブサイトのコードの脆弱性を発見して情報を盗んだり、制御を奪ったりすることが含まれます。
WordPressウェブサイトはどのくらいの頻度で更新すべきですか?
WordPressのウェブサイト、テーマ、プラグインを最新の状態に保つことは非常に重要です。新しいアップデートには、セキュリティの問題に対する修正が含まれていることがよくあります。自動更新を使用するか、少なくとも週に1回は自分で更新を確認し、迅速にインストールするようにしてください。
セキュリティのために特別なプラグインが必要ですか?
セキュリティプラグインを使用する必要はありませんが、ウェブサイトをはるかに安全にすることができます。セキュリティプラグインは、ウェブサイトの追加のガードのように機能し、ハッカーやマルウェアから保護します。
ウェブサイトがハッキングされたかどうかを知るには?
ウェブサイトで奇妙なことが起こっていることに気づいた場合、それはハッキングされた兆候である可能性があります。これには、自分で作成していない新しいユーザーやファイルが表示される、ウェブサイトが訪問者を別のウェブサイトにリダイレクトする、ウェブサイトの動作が遅くなる、Googleやウェブホスティングプロバイダーから警告が表示されるなどが含まれます。
ウェブサイトがハッキングされたらどうすればよいですか?
ウェブサイトがハッキングされたと思われる場合は、パニックにならず、迅速に行動してください。ウェブホスティング会社に連絡して助けを求めることができます。また、セキュリティプラグインを使用するか、セキュリティの専門家にウェブサイトのクリーンアップを依頼することもできます。
ウェブサイトのバックアップがある場合は、そのバックアップから復元してください。すべてのパスワードを変更することを忘れないでください。これには、WordPress管理エリア、データベース、FTPのパスワードが含まれます。
追加リソース
この記事が、ウェブサイトを保護するためのベストプラクティスを学ぶのに役立ったことを願っています。WordPressサイトを安全に保つための、これらの他の役立つガイドも参照することをお勧めします。
- WordPress ユーザーの役割と権限に関する初心者ガイド
- WordPressでのDDoS攻撃を停止および防止する方法
- Googleブラックリストとは?(そしてその対処法)
- Sucuri vs. Cloudflare(メリット・デメリット)– どちらが良いか?
- 最適なWordPressホスティングの選び方(比較)
この記事が気に入った場合は、WordPressのビデオチュートリアルのために、YouTubeチャンネルを購読してください。また、TwitterやFacebookでも私たちを見つけることができます。
フレッド・ラクストン
非常に良く、包括的なガイドです。ありがとうございます!
以下のようなプラグインを使用して、WPログインURLを変更することも良い考えだと付け加えたいと思います。
WPSログインを非表示にする
このプラグインを使用して、構築する各WPサイトにカスタムログインを使用しています。これは、ログインレートリミッターなどと組み合わせて、ハッキング試行をブロックするのに大いに役立ちます。
WPBeginnerサポート
ログインURLの変更はセキュリティ対策ではなく、ログイン体験のカスタマイズのためです。ログインURLの変更については、以下の記事をご覧ください。
https://www.wpbeginner.com/plugins/how-to-add-custom-login-url-in-wordpress/
管理者
オラフ
すごい、これは本当に包括的な WordPress セキュリティガイドです。私は何よりもウェブサイトのセキュリティを優先していますが、正直なところ、私自身でさえ、WordPress を侵害されにくくするためにこれほど多くの異なる対策を実装したことはないでしょう。あなたがリストしたソリューションとテクニックの 50% でさえ適用すれば、あなたのサイトは事実上鉄壁になるだろうと敢えて言います。
モイヌディン・ワヒード
WordPressウェブサイトのセキュリティのために、ファイアウォールプラグインの使用に注意を促したいと思います。
Cloudflare CDNやSucuriのような適切なプラグインを使用することで、悪意のあるアクセスをフィルタリングし、あらゆる種類の攻撃からウェブサイトを保護できます。
私はCloudflareを長年使用しており、セキュリティとパフォーマンスにおけるその有用性を証言できます。
オヤトグン・オルワセウン・サミュエル
これは非常に洞察に富んでいます。また、ワークステーションやコンピューターラボへのアクセスを保護することも非常に重要だと付け加えたいと思います。なぜなら、最近ではセキュリティの一環として、WordPressサイトにアクセスするために強力なパスワードを使用しますが、これは簡単に覚えられないため、WordPressサイトにアクセスするために使用するウェブブラウザに保存せざるを得なくなります。コンピューターやこれらのブラウザにアクセスできる人なら誰でも、保存されたユーザー名とパスワードを簡単に使用してWordPressサイトにログインし、大混乱を引き起こす可能性があります。第二に、ランサムウェアから身を守る方がずっと良いと思います。身代金を支払った後でも、WordPressサイトへのアクセスを取り戻せる保証はありません。ところで、マルウェアやフィッシングの結果としてGoogleがウェブサイトをブラックリストに載せているかどうかを知る方法を教えていただけますか?
WPBeginnerサポート
マルウェアやフィッシング攻撃の後、サイトが心配で、ペナルティを見つけて回復するのに役立つ場合は、以下のガイドを使用したいと思うでしょう。
https://www.wpbeginner.com/beginners-guide/how-to-recover-a-wordpress-site-from-a-google-search-penalty/
管理者
オヤトグン・オルワセウン・サミュエル
ご返信ありがとうございます。リンクをたどって、さらに知識を得ます。この回答に満足しています。
ウゾマ・イケタオニェ
わあ…これはウェブサイトをハッカーから保護する方法についての非常に充実した記事ですね。
しかし、このヒントを差し上げましょう:インターネットを閲覧している間、疑わしくスパムのように見えるランダムなリンクをクリックしたり、要求なしに画面に表示されたり、どこかに表示されたりするファイルをダウンロードしたりしないでください。常に正規のソフトウェアを選び、クラック版は避けてください。
ハッカーは、この手段を通じてログイン情報を取得し、それらを使用してウェブサイトへのアクセスを試みます。
特定のリンクをランダムにクリックしてダウンロードした際に間違いを犯し、ウェブサイトがハッキングされましたが、最終的に再び制御を取り戻しました。
ですから、特別なオファーを提供すると誘惑してくるような、不正で疑わしいリンクにアクセスしないようにしましょう。
注意して安全に過ごしてください。
デヨ・オロボヨ
経験を共有してくれてありがとう、Uzomaさん。ハッカーは巧妙になりうるということを思い出させてくれる素晴らしい情報です。疑わしいリンクやダウンロードを避けることについては、まったくその通りです。ウェブサイトのセキュリティにとって非常に重要なステップです。サイトを取り戻せてよかったです!
イジー・ヴァネック
これは一般的に、すべてのヌル化されたプラグインに共通する問題です。多くの人々は、オリジナルソフトウェアで大金を節約できると考えて、非公式ソースからダウンロードしたヌル化されたバージョンを選択します。トリッキーなのは、プラグインが機能し、本来の目的を果たしていることです。これらの人々にとって素晴らしいのは、無料であり、数百ドルを節約できた可能性があることです。しかし、プラグインは本来の目的を果たすだけでなく、ハッカーが望むことも実行します。しばらくすると、これらのウェブサイトの所有者は管理権を失ったことに気づき、サイトを元の状態に戻すには、公式ソースからプラグインを購入した場合よりも費用がかかることがあります。時には、サイトの修復が不可能になることさえあります。最終的に、すべてのデータが削除され、すべてを最初からやり直さなければならなかったウェブサイトをいくつか見てきました。有料プラグインを使用し、ヌル化されたものではありません。
モイヌディン・ワヒード
この事実にこれ以上同意できません。悪意のあるリンクはセキュリティ上の脅威への入り口です。
スパマーは疑わしいリンクを使用し、あらゆる手段でウェブサイトへのアクセスを得ようとします。
したがって、確信できるものだけをクリックし、決してランダムなリンクをクリックしないことの重要性はいくら強調してもしすぎることはありません。
Mrteesurez
真面目なビジネスであれば、特にWordPressに関するウェブサイトのセキュリティの力を過小評価することはありません。その人気は、ハッカーの注目の的となっています。
新しくインストールされたWordPressサイトには、まずこれらのセキュリティ対策のほとんどを実装してから、公開または運用を開始することをお勧めします。
クシャル・ファラック
素晴らしい記事です!昨年、私のウェブサイトがハッキングされ(別の怪しいウェブサイトにリダイレクトされました)、セキュリティ対策の使用は必須だと思います。私の場合は、ウェブサイトを削除する必要がありましたが、幸いにもホスティングプロバイダーにバックアップ機能がありました。それ以来、Wordfenceを使用してウェブサイトを保護していましたが、DDoS保護やCDNなどのサービスも提供しているSucuriに移行しました。
モイヌディン・ワヒード
評判の良い研究所のウェブサイトで働いていた時、私も似たような状況にありました。
すべてを最終決定した後、ディレクターはプレスリリースをスケジュールするために私に日付を尋ねました。
私は自信を持って特定の日付を提案しましたが、予定日の前に、
私のウェブサイトは破損してしまい、残念ながらバックアッププランは何も準備できていませんでした。
私は完全に台無しになり、一日中、以前の機能する状態に復旧しようと努めました。
セキュリティに関するすべての詳細に注意を払う必要があると思います。
アヤンダ・テミタヨ
デフォルトのログインページのURLを別のカスタムURLに変更することは、セキュリティ的に安全でしょうか?例えば、yourwebsite.com/wp-loginをyourwebsite.com/anotherName-loginに変更するなどです。
かつて、ログインURLを誰も簡単にアクセスできない別のURLに変更するプラグインを使用しました。そのため、私のSEO担当者は、プラグインが脆弱であればハッカーが私のサイトをハッキングしやすくなり、カスタムルートをログインページに使用し続けるとウェブサイト上のすべてを失うだろうと言いました。
デフォルトのログインルートを変更することについて、あなたの意見はどうですか?
WPBeginnerサポート
ログインURLの変更は個人の好みであり、特にセキュリティのためではありません。
管理者
アル・アミン・シェイク
ウェブサイトの重要な2つの要素 – パフォーマンスとセキュリティ。
ハッカーからサイトを守る方法が分かりやすく説明されています。WPBさん、ありがとう。
WPBeginnerサポート
どういたしまして
管理者
モイヌディン・ワヒード
ウェブサイトの最も重要な2つの要素について、的確に述べられています。
セキュリティとパフォーマンスです。
WordPressの場合、これらは優れたホスティングプロバイダーと、優れたテーマやプラグインの使用によって、ある程度達成できると考えています。
多くの場合、間違ったプラグインは、気づかないうちにセキュリティ上の脆弱性を引き起こす可能性があります。
もちろん、他の側面も同様に考慮することが重要です。
モハデセ・エスマーイーリ
こんにちは、この素晴らしい記事をありがとうございます。Google reCAPTCHAプラグインの使用、サーバー関連のセキュリティハードウェアの採用、Imunify360などのホスティング環境内のセキュリティツールの調査、および短い間隔でのパスワードの定期的な変更など、このリストにさらにいくつか項目を追加したいと思います。
WPBeginnerサポート
おすすめいただきありがとうございます。ホストは異なるツールを持っているため、ホスティングプロバイダーが提供するセキュリティツールについて確認することをお勧めします。
管理者
ファジュリ
うわー、WordPressでXML-RPCを無効にする方法は私にとって全く新しいです。
ウェブサイトのセキュリティを強化するために適用してみます。この情報を提供してくれたチームに感謝します!
WPBeginnerサポート
当社の記事がお役に立てて嬉しいです
管理者
ムラド・プロダン
WPbeginnerは、私たちのコミュニティにとって最高のウェブサイトの1つです。この記事は私にとって非常に役立ちます。WPbeginnerに感謝します。
WPBeginnerサポート
どういたしまして。ガイドがお役に立てて嬉しいです。
管理者
イジー・ヴァネック
これは素晴らしい記事です。できる限りWordPressでセキュリティ対策をしようとしてきましたが、思いつかなかったことがたくさんあります。WordPressへのログイン時にエラーメッセージを非表示にするためのスニペットをコピーして、自分のウェブサイトに適用する予定です。おそらくこれだけで終わることはないでしょう。この記事は本当に素晴らしいヒントのリストです。セキュリティに関する意識を高めていただきありがとうございます。素晴らしい仕事です。
WPBeginnerサポート
どういたしまして、当社のガイドがお役に立てて嬉しいです
管理者
エトープ・ウドエケネ
大変ありがとうございます。以前のノートパソコンとAndroidスマートフォンを盗難で失った後、ウェブサイトを再設定しているところだったので、この情報はまさに適切なタイミングで届きました。
本当に感謝しています。
WPBeginnerサポート
どういたしまして。状況が改善されることを願っており、このガイドがその後もサイトを安全に保つのに役立つことを願っています。
管理者
マーク・エルズワース
ありがとうございます – 非常に整理されていて包括的です!これは、WordPressのインストールにおける継続的で困難な問題に間違いなく役立つでしょう。
WPBeginnerサポート
当社のセキュリティガイドがお役に立てて嬉しいです。
管理者
イファカヨデ・フェミ
この記事は素晴らしく、将来のためにこのページをブックマークしておきます。ここにリストされているほとんどのプラグインの名前を覚えていないかもしれませんが、正直なところ、この記事は非常に役立ちます。
この文章を作成するために時間を割いていただきありがとうございます。
本当に感謝しています。
WPBeginnerサポート
当社のガイドとおすすめがお役に立てて嬉しいです!
管理者
ニヒル
ありがとうございます、この情報は非常に重要です。本当にありがとうございます。
WPBeginnerサポート
どういたしまして、記事がお役に立てて嬉しいです!
管理者
ヤシン
この記事に大変感謝しています。すべてwpbeginner.comのおかげです。
WPBeginnerサポート
どういたしまして、ガイドがお役に立てて嬉しいです!
管理者
ベリンダ・ヴィレット
素晴らしいアドバイスをありがとうございます!
WPBeginnerサポート
どういたしまして!
管理者
マルコ・コズリカ
すごい!初心者から経験豊富なWordPressユーザーまで、幅広く網羅的で詳細な記事です。これからも頑張ってください!
WPBeginnerサポート
当社の記事がお役に立てて嬉しいです!
管理者
フェデリコ
とても良いガイドで、非常に役立ちます!
WPBeginnerサポート
そう思ってくれて嬉しいです!
管理者
クラウディオ・ロペス
ヒントに従って、サイトがより安全になったと感じています。
WPBeginnerサポート
当社のガイドがお役に立てて嬉しいです!
管理者
ボブ・デ・マリア
こんにちは。
私はこの分野は全くの初心者で、これが初めてのメールです。登録して本当に良かったと思っています。あなたが私のリストの最上位にある懸念事項の一つに触れてくれました。
非常に分かりやすく、大変感謝しております。チュートリアルをありがとうございます。
敬具
ボブ・デ・マリア
WPBeginnerサポート
ガイドがお役に立てて嬉しいです!
管理者
キンバリー
FYI: WPセキュリティ質問プラグインにセキュリティ上の問題があります。wordpress.orgから削除されました。
WPBeginnerサポート
お知らせいただきありがとうございます。代替案を探し、おすすめできるようにいたします。
管理者
MS
皆さん、こんにちは!この役立つリソースを本当にありがとうございます。1つ質問があります。これらのうち、私のウェブサイト/ページの読み込み時間に影響を与えるものはありますか???
WPBeginnerサポート
これらはサイトの速度に大きな影響を与えるべきではありません。
管理者
ジョン
素晴らしい記事です。
フォームで reCAPTCHA を使用することは、セキュリティに役立ちますか?
WPBeginnerサポート
reCAPTCHAは、セキュリティよりもスパム防止のためです。
管理者
ティム・ジャック
こんにちは、チーム
WordPressウェブサイトに2つのセキュリティプラグインをインストールした場合、ウェブサイトに何か不利益はありますか?
WPBeginnerサポート
使用を検討しているプラグインのサポートに確認することをお勧めします。一部のプラグインは連携しますが、他のプラグインは同じタスクを実行しようとして競合を引き起こす可能性があります。
管理者
ディエゴ
私のWordpressサイトはWordPress 5.1.8で実行されており、これは5.1ブランチの一部で、最後に更新されたのは2020年11月です。現在のWordpressバージョンは5.6.2です。
WPの様々なブランチについて、まだよく理解できていません。
それでもアップグレードする必要はありますか?
WPBeginnerサポート
アップグレードするのではなく、サイトを更新する必要があります。サイトを安全に更新する方法については、以下のガイドをご覧ください。
https://www.wpbeginner.com/beginners-guide/ultimate-guide-to-upgrade-wordpress-for-beginners-infograph/
管理者
ジュリア
プレミアム料金を支払っているのに、無料プラグインはビジネス用のみなのですか?何か回避策はありますか?プラグインの購入が許可されていません。プレミアムとそれ以下のレベルは、それらを全く使用できません。
WPBeginnerサポート
それはWordPress.comの制限によるものと思われます。WordPress.comとWordPress.orgの違いについては、以下の記事をご参照ください。
https://www.wpbeginner.com/beginners-guide/self-hosted-wordpress-org-vs-free-wordpress-com-infograph/
管理者
トリシャ
素晴らしいチュートリアルです、ありがとうございます! 404エラーログを確認していると、多くのボットが私の/pluginsフォルダ内の存在しないプラグインにアクセスしていることがわかります…プラグインが存在しないため(したがって404)、あまり心配していません。しかし、通常のプラグイン操作に干渉しない方法で私の/pluginsフォルダを保護する方法はありますか?それは推奨されますか?気にするべきですか?
WPBeginnerサポート
通常、これは心配する必要のあることではありませんが、プラグインがサイトにある場合は、ボットがセキュリティの脆弱性を持つプラグインを探していた場合に備えて、そのプラグインを最新の状態に保つことをお勧めします。
管理者
石
WordPressサイトを引き継ぎましたが、私より前にサイトにクラウドバックアップアカウントがあったかどうかはどうすればわかりますか?
WPBeginnerサポート
アクティブなプラグインを確認し、ホスティングプロバイダーに連絡して、サイトで何がアクティブになっているかを確認する必要があります。
管理者
ルー
サイトがXML-RPCを使用しているかどうかをどのように確認できますか?いつもながら非常に役立ちます。ありがとうございます。
WPBeginnerサポート
WordPressのバージョンが最新であれば、通常はサイトで有効になっているはずです。
管理者
ジュリー・テイラー
非常に役立つ情報です。もしこれらのセキュリティ対策、特にコードが関わるものをすべて実装した場合、Googleがサイトを見つけたり、SEOが効果的に機能したりすることに影響があるかどうか、ご意見をお聞かせいただけますか?
WPBeginnerサポート
セキュリティに関する推奨事項は、サイトのSEOに影響を与えるべきではありません
管理者
ムーン・ミナス
素晴らしい情報を共有していただきありがとうございます。
WPBeginnerサポート
お役に立てて嬉しいです
管理者
サミュエル
このガイドはWordPress.comユーザーにも適用されますか?
WPBeginnerサポート
いいえ、当社のガイドはWordPress.orgサイト用です。WordPress.comに連絡して、許可されている強化手順を確認してください。
管理者
リアン
これは、私がこれまでに(あらゆる主題において)見つけた中で最高のチュートリアルサイトの1つです。ありがとうございます。wpbeginnerを他の人に勧めます – 素晴らしいサイトです!
WPBeginnerサポート
どういたしまして、当社のコンテンツがお役に立てて嬉しいです
管理者
ダニエル
これらすべてを行う方法を教えるために50ドルや100ドル以上請求する人がいるのに、皆さんは無料で提供してくれたんですね!本当にありがとうございます!
WPBeginnerサポート
どういたしまして
管理者
パワー
記事をありがとうございます。非常に役立ちます。
WPBeginnerサポート
どういたしまして
管理者
マイダス
これは非常に役立ちました。私はそれらすべてを実装するためのコーディングスキルを持っており、今では自分やクライアントのWordPressインストールをはるかにうまく管理できるようになりました。無料だとは信じられないほど完全な情報、ありがとうございます xD
WPBeginnerサポート
どういたしまして、当社のガイドがお役に立てて嬉しいです
管理者
スプレンダー・エデシリ
WordPressサイトのセキュリティの一部として、バックエンドからWordPressサイトにアクセスするためにVPNは必要ですか?
WPBeginnerサポート
いいえ、それは必要ありません
管理者
ウゾマ・イケタオニェ
バックエンド経由でウェブサイトにアクセスするためにVPNは必要ないと思います。
VPNは、あなたの身元を偽装または支援したり、あなたの場所からブロックされているサイトにアクセスしたりするために使用されます。
カム
この記事をありがとうございます。必須の読み物です!
Bluehostのようなホスティングを利用している場合、Updraft plus +リモートストレージのようなプラグインでバックアップを取ることは不可欠ですか?結局のところ、ホスティングプロバイダーはバックアップを提供しているはずですよね?
WPBeginnerサポート
一部のホストはバックアップを提供していますが、安全のために独自のバックアップを作成することを引き続きお勧めします。
管理者
カイル・B。
データベースのプレフィックスを変更しても違いはありません。それ以外は、悪い記事ではありません。
WPBeginnerサポート
ご意見をお聞かせいただきありがとうございます。当社の記事を気に入っていただけて嬉しいです
管理者
カルモア
NginxにはApacheの.htaccessのようなディレクトリレベルの設定ファイルはありません。すべての設定は管理者によってサーバーレベルで行う必要があり、WordPressはApacheのように設定を変更することはできません。そのため、「PHPファイル実行の無効化」に関する部分は、Nginx上で動作するWordPressインストールでは完了できません。これには、Vultr上でWordPressを運用している私も含まれます。彼らのワンクリックWordPressインストールはNginx(Ubuntu 18.04)にデプロイされます。
WPBeginnerサポート
ご自身のサイトで特にNginxを使用しているユーザーのために、これを共有していただきありがとうございます。
管理者
トム
複数のプラグインを更新する必要がある場合、最適な更新方法はありますか?一度に1つずつ更新して、更新されたプラグインがウェブサイトの機能に問題を引き起こさないか確認しますか?
WPBeginnerサポート
アップデートがサイトを壊すのではないかと心配な場合は、以下のガイドに従ってステージング環境を作成し、アップデートをテストすることをお勧めします。
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
管理者
Kartik Satija
素晴らしい記事で、非常に分かりやすくまとめられており、情報も豊富です。
皆様、本当にありがとうございます。
これからも頑張ってください。
乾杯、
カルティック。
WPBeginnerサポート
当社のガイドがお役に立てて嬉しいです
管理者
MIMIFTAH
非常に有益なコンテンツです。ありがとうございます
WPBeginnerサポート
どういたしまして
管理者
リズ
素晴らしい記事です。ハードニングオプションについて質問があります。すべてのオプションでハードニングを有効にすると、一部のプラグインやテーマが破損したり、正常に機能しなくなったりする可能性があると読みました。もしそうなった場合、修正はどのくらい難しいですか?ハードニングオプションを元に戻す以上のことがあるように思えます。何か洞察があれば、大いに感謝されます。ありがとうございます!
WPBeginnerサポート
エラーが発生した場合の難易度は、特定の強化推奨事項、プラグイン、およびエラーメッセージによって異なります。それ以外の場合は、ほとんどのプラグインに問題はないはずです。
管理者
ゲイリー・スターリング
非常に役立つ提案で、基本的なことから複雑なことまでよく説明されています
説明をありがとうございました
WPBeginnerサポート
どういたしまして。当社の記事がお役に立てて嬉しいです
管理者
アンドレイ
皆さん、こんにちは。
最初のユーザー列挙の後、ブルートフォース攻撃はセキュリティプラグインによってそのIPアドレスをブロックします。
wp-adminディレクトリにパスワード保護をかけると、プラグインはそのIPをブロックできなくなります。
それは正しい評価ですか?
WPBeginnerサポート
正しいです。ブロックされたIPと同様の負荷がかかりますが、多くの新しいユーザーにサイトにアクセスしてもらう必要がある場合は、ログイン試行回数を制限する方がパスワードでwp-adminを保護するよりも良いでしょう。
管理者
アンドレイ
OK、ようやく仕組みがわかりました。皆さんと共有します。wp-adminのパスワード保護はサーバー(Apache/Nginx)レベルで行われます。ユーザー列挙やブルートフォース攻撃がサーバーレベルをバイパスできない場合、PHP/MySQLに影響を与えることはできません。したがって、wp-adminのパスワード保護はデータベースに余分な負荷をかけません。
ピーター
非常に有益で役立ちました。言及されているすべてのハードニング手順を設定しました。本当にありがとうございます。
WPBeginnerサポート
どういたしまして、当社のガイドがお役に立てて嬉しいです
管理者