私たちが知っているすべてのWordPressサイトの所有者は、自分のウェブサイトがハッカーに脆弱になる可能性があることに気づいたときに、パニックになった経験があります。私たちは、セキュリティ侵害がビジネスにどのような影響を与えるかを知った初期の段階で、この教訓を苦労して学びました。
だからこそ、長年にわたり、最高のセキュリティプラグインを使用し、WordPressのセキュリティベストプラクティスに従うことで、WPBeginnerを度重なる攻撃から安全に保つことができています。
WordPressのセキュリティは、複雑である必要も高価である必要もありません。ほとんどのサイト所有者は、専門家を雇うか、セキュリティツールに数千ドルを費やす必要があると考えていますが、それはまったく真実ではありません。適切なアプローチと実績のある戦略があれば、当社のサイトを保護するのと同じように、ウェブサイトを保護できます。
私たちは長年、セキュリティプラグインのテスト、ベストプラクティスの実装、そして何千ものWordPressユーザーのサイトセキュリティの支援に費やしてきました。このガイドでは、私たちのサイトを安全に保つために使用するすべてのステップを順を追って説明します。これにより、WordPressウェブサイトが保護されていることを知って安心して眠ることができます。
WordPressのコアソフトウェアは非常に安全で、何百人もの開発者によって定期的に監査されていますが、サイトを安全に保つためにはまだ多くのことが必要です。
WPBeginnerでは、セキュリティはリスク排除だけではないと考えています。リスク軽減も重要です。ウェブサイト所有者として、技術に詳しくなくても、WordPressのセキュリティを向上させるためにできることはたくさんあります。
そのため、セキュリティの脆弱性からウェブサイトを保護するために実行できる具体的なステップのWordPressセキュリティチェックリストを作成しました。
簡単にするために、WordPressセキュリティガイド全体を簡単にナビゲートできるように、目次を作成しました。
目次
WordPressセキュリティの基本
WordPressセキュリティを簡単なステップで(コーディングなしで)
- WordPressバックアップソリューションをインストールする
- 信頼できるWordPressセキュリティプラグインをインストールする
- Webアプリケーションファイアウォール(WAF)を有効にする
- WordPressサイトをSSL/HTTPSに移行する
DIYユーザーのためのWordPressセキュリティ
- デフォルトの管理者ユーザー名を変更する
- ファイル編集を無効にする
- 特定のWordPressディレクトリでのPHPファイル実行を無効にする
- ログイン試行回数の制限
- 2要素認証(2FA)を追加する
- WordPressデータベースのプレフィックスを変更する
- WordPressの管理画面とログインページにパスワード保護を追加する
- ディレクトリインデックス表示とブラウジングを無効にする
- WordPressでXML-RPCを無効にする
- WordPressでアイドル状態のユーザーを自動的にログアウトする
- WordPressログインにセキュリティの質問を追加
- WordPressのマルウェアと脆弱性をスキャンする
- ハッキングされたWordPressサイトの修復
準備はいいですか?始めましょう。
ウェブサイトのセキュリティが重要な理由
ハッキングされたWordPressウェブサイトは、ビジネスの収益と評判に深刻な損害を与える可能性があります。ハッカーはユーザー情報やパスワードを盗んだり、悪意のあるソフトウェアをインストールしたり、ユーザーにマルウェアを配布したりすることさえできます。
最悪の場合、ウェブサイトへのアクセスを回復するために、ハッカーにランサムウェアを支払うことになるかもしれません。
Googleは毎日、1200万から1400万人のユーザーに対し、アクセスしようとしているウェブサイトにマルウェアが含まれているか、情報を盗む可能性があると警告しています。
さらに、Googleは毎日約10,000以上のウェブサイトをマルウェアやフィッシングのためにブラックリストに登録しています。
物理的な場所を持つ事業主がその財産を保護する責任を負うのと同様に、オンライン事業主はWordPressセキュリティに特別な注意を払う必要があります。
[トップへ戻る ↑]
WordPressを最新の状態に保つ
WordPressはオープンソースソフトウェアであり、定期的に保守および更新されています。デフォルトでは、WordPressはマイナーアップデートを自動的にインストールします。
メジャーリリースの場合、手動でアップデートを開始する必要があります。
WordPressには、ウェブサイトにインストールできる数千ものプラグインやテーマも付属しています。これらのプラグインやテーマはサードパーティの開発者によって保守されており、定期的にアップデートもリリースされます。
これらのWordPressのアップデートは、WordPressサイトのセキュリティと安定性にとって非常に重要です。WordPressのコア、プラグイン、テーマを最新の状態に保つ必要があります。
[トップへ戻る ↑]
強力なパスワードとユーザー権限を使用する
最も一般的なWordPressハッキング試行は、盗まれたパスワードを使用します。しかし、ウェブサイトに強力でユニークなパスワードを使用することで、それを困難にすることができます。
WordPressの管理エリアだけではありません。FTPアカウント、データベース、WordPressホスティングアカウント、およびサイトのドメイン名を使用するカスタムメールアドレスには、強力なパスワードを作成することを忘れないでください。
多くの初心者は、覚えにくいので強力なパスワードの使用を好みません。幸いなことに、パスワードマネージャーを使えばパスワードを覚える必要はもうありません。
WordPressのパスワード管理方法については、WordPressパスワードの管理方法に関するガイドをご覧ください。
リスクを軽減するもう1つの方法は、絶対に必要がない限り、WordPress管理アカウントへのアクセスを誰にも与えないことです。
大規模なチームやゲスト作成者がいる場合は、WordPressサイトに新しいユーザーアカウントや作成者を追加する前に、WordPressのユーザーロールと権限を理解していることを確認してください。
[トップへ戻る ↑]
WordPressホスティングの役割を理解する
あなたのWordPressホスティングサービスは、WordPressサイトのセキュリティにおいて最も重要な役割を果たします。共有ホスティングプロバイダーであるHostinger、Bluehost、またはSiteGroundのような優れたプロバイダーは、一般的な脅威からサーバーを保護するために追加の対策を講じています。
ここに、優れたウェブホスティング会社がウェブサイトとデータを保護するためにバックグラウンドでどのように機能するかのほんの一例を挙げます。
- 彼らは不正なアクティビティを継続的に監視しています。
- すべての優れたホスティング会社は、大規模なDDoS攻撃を防ぐためのツールを備えています。
- サーバーソフトウェア、PHPバージョン、およびハードウェアを最新の状態に保ち、古いバージョンに存在する既知のセキュリティ脆弱性をハッカーが悪用するのを防ぎます。
- 重大な事故が発生した場合にデータを保護できる、すぐに展開可能な災害復旧および事故計画を用意しています。
共用ホスティングプランでは、多くの他の顧客とサーバーリソースを共有します。クロスサイト汚染のリスクがあり、ハッカーが隣接するサイトを使用してあなたのウェブサイトを攻撃する可能性があります。
対照的に、マネージドWordPressホスティングサービスを使用すると、ウェブサイトにより安全なプラットフォームが提供されます。マネージドWordPressホスティング会社は、自動バックアップ、WordPressの自動更新、およびウェブサイトを保護するためのより高度なセキュリティ設定を提供します。
私たちは、推奨されるマネージドWordPressホスティングプロバイダーとしてSiteGroundを推奨しています。彼らは応答性の高いサポート、高速なサーバー、そして優れた信頼性を持っています。
特別なSiteGroundクーポンを使用して、最良の取引を入手してください。
[トップへ戻る ↑]
簡単なステップでWordPressのセキュリティを強化(コーディング不要)
WordPressのセキュリティを向上させることは、特に技術に詳しくない初心者にとっては恐ろしいことだと私たちは理解しています。驚くかもしれませんが、あなたは一人ではありません。
何千ものWordPressユーザーのWordPressセキュリティ強化をお手伝いしてきました。
数回のクリック(コーディング不要)でWordPressのセキュリティを向上させる方法をご紹介します。
ポイント&クリックができれば、これもできます!
1. WordPressバックアップソリューションをインストールする
バックアップは、あらゆるWordPress攻撃に対する最初の防御策です。覚えておいてください、100%安全なものはありません。政府のウェブサイトがハッキングされる可能性があるなら、あなたのサイトもハッキングされる可能性があります。
バックアップにより、万が一悪いことが起こった場合にWordPressサイトを迅速に復元できます。
無料および有料のWordPressバックアッププラグインはたくさんあります。バックアップに関して最も重要なことは、ホスティングアカウントではなく、リモートの場所に定期的にフルサイトバックアップを保存する必要があるということです。
Amazon、Dropboxなどのクラウドサービスや、Stashのようなプライベートクラウドに保存することをお勧めします。
ウェブサイトを更新する頻度に応じて、理想的な設定は1日1回またはリアルタイムのバックアップのいずれかになります。
幸いなことに、これはDuplicator、UpdraftPlus、またはBlogVaultのようなプラグインを使用することで簡単に実行できます。どちらも信頼性が高く、最も重要なのは使いやすいことです(コーディングは不要です)。
詳細については、WordPressウェブサイトのバックアップ方法に関するガイドをご覧ください。
[トップへ戻る ↑]
信頼できるWordPressセキュリティプラグインをインストールする
バックアップの後、次にやるべきことは、ウェブサイトで起こるすべてのことを追跡する監査および監視システムをセットアップすることです。
これには、ファイル整合性監視、ログイン試行失敗、マルウェアスキャンなどが含まれます。
幸いなことに、最高のWordPressセキュリティプラグインのいずれか、例えばSucuriをインストールすることで、これを簡単に解決できます。
無料のSucuri Securityプラグインをインストールして有効化する必要があります。詳細については、WordPressプラグインのインストール方法に関するステップバイステップガイドをご覧ください。
次に、Sucuri Security » Dashboard にアクセスして、プラグインがWordPressコードに即時の問題を見つけたかどうかを確認できます。
次に、Sucuri Security » 設定ページに移動し、「ハードニング」タブをクリックします。
デフォルト設定はほとんどのウェブサイトでうまく機能するため、「ハードニングを適用」ボタンをクリックして各オプションを有効にすることができます。
これは、ハッカーが攻撃でよく使用する主要な領域をロックダウンするのに役立ちます。
ヒント: この記事の後半では、データベースプレフィックスや管理者ユーザー名の変更など、ウェブサイトを強化するためのさらなる方法を説明します。ただし、これらはより技術的であり、コーディングの知識が必要になる場合があります。
ハードニング(セキュリティ強化)部分の後、プラグインの他のデフォルト設定はほとんどのウェブサイトで十分であり、変更の必要はありません。
カスタマイズをお勧めするのは、設定ページの「アラート」タブにあるメールアラートのみです。
デフォルトでは、多くのメールアラートを受信するため、受信トレイが煩雑になる可能性があります。
プラグインの変更や新しいユーザー登録など、通知を受けたい重要なアクションに対してのみアラートを有効にすることをお勧めします。
このWordPressセキュリティプラグインは非常に強力なので、すべてのタブと設定を確認して、マルウェアスキャン、監査ログ、ログイン失敗試行の追跡など、それが何をするかを確認してください。
詳細については、当社の詳細なSucuriレビューをご覧ください。
Webアプリケーションファイアウォール(WAF)を有効にする
Webアプリケーションファイアウォール(WAF)を使用することは、サイトを保護し、WordPressのセキュリティに自信を持つための最も簡単な方法です。
ウェブサイトファイアウォールは、悪意のあるトラフィックがウェブサイトに到達する前にすべてブロックします。
- DNSレベルのウェブサイトファイアウォールは、ウェブサイトのトラフィックをクラウドプロキシサーバーを経由させます。これにより、正規のトラフィックのみをウェブサーバーに送信できます。
- アプリケーションレベルのファイアウォールは、トラフィックがサーバーに到達してからほとんどのWordPressスクリプトをロードする前に検査します。この方法は、DNSレベルのファイアウォールほどサーバー負荷を軽減する効率はありません。
詳細については、最高のWordPressファイアウォールプラグインのリストをご覧ください。
WPBeginnerでは長年Sucuriを使用しており、WordPress向けの最高のWebアプリケーションファイアウォールの一つとして今でも推奨しています。最近、エンタープライズ顧客により重点を置いた機能を持つ、より大きなCDNネットワークが必要になったため、SucuriからCloudflareに切り替えました。
Sucuriがどのようにして1ヶ月で450,000件のWordPress攻撃をブロックするのに役立ったかについては、こちらでお読みいただけます。
Sucuriファイアウォールの最も良い点は、マルウェアの駆除とブラックリストからの削除保証も付いていることです。つまり、彼らの監視下でハッキングされた場合、ページ数がどれだけあってもウェブサイトを修正することを保証してくれます。
これはかなり強力な保証です。なぜなら、ハッキングされたウェブサイトの修理は高価だからです。セキュリティ専門家は通常、1時間あたり250ドル以上を請求しますが、Sucuriのセキュリティスタック全体を年間199ドルで入手できます。
そうは言っても、Sucuriは唯一のDNSレベルファイアウォールプロバイダーではありません。もう一つの人気のある競合他社はCloudflareです。SucuriとCloudflare(長所と短所)の比較をご覧ください。
[トップへ戻る ↑]
WordPressサイトをSSL/HTTPSに移行する
SSL(Secure Sockets Layer)は、ウェブサイトとユーザーのブラウザ間のデータ転送を暗号化するプロトコルです。この暗号化により、誰かが情報を盗み見ることが困難になります。
SSLを有効にすると、ウェブサイトのアドレスはHTTPの代わりにHTTPSを使用するようになります。ブラウザのウェブサイトアドレスの横にも、鍵のマークやそれに類するアイコンが表示されます。
SSL証明書は通常、認証局によって発行され、価格は年間80ドルから数百ドルです。追加費用のため、過去のほとんどのウェブサイト所有者は、安全でないプロトコルを使い続けることを選択していました。
これを解決するために、Let’s Encryptという非営利団体がウェブサイト所有者に無料のSSL証明書を提供することを決定しました。このプロジェクトは、Google Chrome、Facebook、Mozilla、その他多くの企業に支援されています。
すべてのWordPressウェブサイトでSSLの使用を開始するのがこれまで以上に簡単になりました。多くのホスティング会社は現在、WordPressウェブサイト用の無料SSL証明書を提供しています。
ホスティング会社が提供していない場合は、Domain.comからSSL証明書を購入できます。彼らは市場で最高かつ最も信頼性の高いSSL取引を提供しています。証明書には10,000ドルのセキュリティ保証とTrustLogoセキュリティシールが付いています。
DIYユーザーのためのWordPressセキュリティ
ここまで述べたことをすべて実行すれば、かなり安全な状態になります。
しかし、常にそうであるように、WordPressのセキュリティを強化するためにできることは他にもあります。
これらのステップの一部には、コーディングの知識が必要になる場合があることに注意してください。
デフォルトの管理者ユーザー名を変更する
昔は、デフォルトのWordPress管理者ユーザー名は「admin」でした。ユーザー名はログイン資格情報の一部であるため、ハッカーが総当たり攻撃を行いやすくなっていました。
幸いなことに、WordPress はその後これを変更し、WordPressをインストールする際にカスタムユーザー名を選択するように要求しています。
ただし、一部のワンクリックWordPressインストーラーは、デフォルトの管理者ユーザー名を「admin」に設定したままです。もしそうであることに気づいた場合は、ウェブホスティングを変更するのが良いでしょう。
WordPressではデフォルトでユーザー名を変更できないため、ユーザー名を変更するには3つの方法があります。
- 新しい管理者ユーザー名を作成し、古いものを削除します。
- ユーザー名変更プラグインを使用する
- phpMyAdminからユーザー名を更新する
これら3つすべてについて、WordPressのユーザー名を正しく変更する方法に関する詳細ガイドで説明しました。
注意: はっきりさせておきますが、ここで変更するのは「admin」というユーザー名であり、管理者ユーザーロール(これも「admin」と呼ばれることがあります)のことではありません。
[トップへ戻る ↑]
ファイル編集を無効にする
WordPressには、WordPress管理エリアから直接テーマやプラグインファイルを編集できる組み込みコードエディターが付属しています。
この機能は、悪意のある手に渡るとセキュリティリスクになる可能性があるため、オフにすることをお勧めします。
以下のコードをwp-config.phpファイルに追加するか、コードスニペットプラグイン(推奨)であるWPCodeを使用して、これを簡単に行うことができます。
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
WordPress管理画面からテーマおよびプラグインエディターを無効にする方法については、テーマおよびプラグインエディターを無効にする方法のガイドでステップバイステップで説明しています。
または、上記で言及した無料のSucuriプラグインのハードニング機能を使用して、ワンクリックでこれを行うこともできます。
[トップへ戻る ↑]
特定のWordPressディレクトリでのPHPファイル実行を無効にする
WordPressのセキュリティを強化する別の方法は、必要のないディレクトリ(例:/wp-content/uploads/)でPHPファイルの実行を無効にすることです。
メモ帳のようなテキストエディタを開き、このコードを貼り付けることで、これを実行できます。
<Files *.php>
deny from all
</Files>
次に、このファイルを .htaccess として保存し、FTPクライアントを使用してウェブサイトの/wp-content/uploads/フォルダにアップロードする必要があります。
より詳細な説明については、特定のWordPressディレクトリでのPHP実行を無効にする方法に関するガイドをご覧ください。
または、前述の無料のSucuriプラグインのハードニング機能を使用して、ワンクリックでこれを実行することもできます。
[トップへ戻る ↑]
ログイン試行回数の制限
デフォルトでは、WordPressはユーザーが無制限にログインを試行することを許可しています。これにより、WordPressサイトはブルートフォース攻撃に対して脆弱になります。これは、ハッカーがさまざまな組み合わせでログインを試みてパスワードをクラックしようとする方法です。
これは、ユーザーが行えるログイン試行回数を制限することで簡単に修正できます。前述のWebアプリケーションファイアウォールを使用している場合、これは自動的に処理されます。
ただし、ファイアウォールが設定されていない場合は、以下の手順で進めることができます。
まず、無料のLimit Login Attempts Reloadedプラグインをインストールして有効にする必要があります。詳細については、WordPressプラグインのインストール方法に関するステップバイステップガイドをご覧ください。
有効化すると、プラグインはユーザーが試行できるログイン回数を制限し始めます。
デフォルト設定はほとんどのウェブサイトで機能します。ただし、設定 » ログイン試行回数の制限ページにアクセスし、上部にある「設定」タブをクリックすることでカスタマイズできます。例えば、GDPR法に準拠するには、「GDPRコンプライアンス」チェックボックスをクリックできます。
詳細な手順については、WordPressでログイン試行回数を制限する方法と理由に関するガイドをご覧ください。
[トップへ戻る ↑]
2要素認証(2FA)を追加する
二要素認証方式では、ユーザーがログインするために2つの異なるステップが必要です。
- 最初の手順は、ユーザー名とパスワードです。
- 2番目のステップでは、スマートフォンなど、ハッカーがアクセスできない手元にあるデバイスまたはアプリからコードを使用する必要があります。
Google、Facebook、Twitterなどのほとんどのトップオンラインウェブサイトでは、アカウントで有効にすることができます。WordPressサイトにも同じ機能を追加できます。
まず、WP 2FA – Two-factor Authenticationプラグインをインストールして有効化する必要があります。詳細については、WordPressプラグインのインストール方法に関するステップバイステップガイドをご覧ください。
ユーザーフレンドリーなウィザードがプラグインの設定を支援し、その後QRコードが表示されます。
Google Authenticator、Authy、LastPass Authenticatorなどの携帯電話の認証アプリを使用してQRコードをスキャンする必要があります。
クラウドにアカウントをバックアップできるため、LastPass AuthenticatorまたはAuthyの使用をお勧めします。これは、電話を紛失したり、リセットしたり、新しい電話を購入したりした場合に非常に役立ちます。すべてのアカウントログインは簡単に復元されます。
これらのアプリのほとんどは同様の方法で機能します。Authyを使用している場合は、認証アプリで「+」または「アカウントを追加」ボタンをクリックするだけです。
これにより、スマートフォンのカメラを使用してコンピューター上の QR コードをスキャンできます。最初に、アプリにカメラへのアクセス許可を与える必要がある場合があります。
アカウントに名前を付けたら、保存できます。
次回ウェブサイトにログインする際には、パスワードを入力した後、2要素認証コードを求められます。
スマートフォンの認証アプリを開くだけで、使い捨てコードが表示されます。
ウェブサイトにコードを入力して、ログインを完了できます。
[トップへ戻る ↑]
WordPressデータベースのプレフィックスを変更する
デフォルトでは、WordPressはデータベースのすべてのテーブルにwp_をプレフィックスとして使用します。WordPressデータベース。
WordPressサイトでデフォルトのデータベースプレフィックスを使用している場合、ハッカーがテーブル名を推測しやすくなります。そのため、変更することをお勧めします。
WordPressデータベースプレフィックスを変更してセキュリティを向上させる方法というステップバイステップのチュートリアルに従って、データベースプレフィックスを変更できます。
注意: データベースのプレフィックスを変更すると、正しく行われない場合、サイトが破損する可能性があります。コーディングスキルに自信がある場合のみ実行してください。
[トップへ戻る ↑]
WordPressの管理画面とログインページにパスワード保護を追加する
通常、ハッカーは制限なしにwp-adminフォルダとログインページをリクエストできます。これにより、ハッキングの試みやDDoS攻撃を実行できます。
サーバーレベルで追加のパスワード保護を追加すると、それらのリクエストを効果的にブロックできます。
WordPress管理(wp-admin)ディレクトリのパスワード保護方法に関するステップバイステップの説明に従ってください。
[トップへ戻る ↑]
ディレクトリインデックス表示とブラウジングを無効にする
ウェブブラウザにウェブサイトのフォルダのいずれかのアドレスを入力すると、それが存在する場合、index.html という名前のウェブページが表示されます。存在しない場合は、代わりにそのフォルダ内のファイルのリストが表示されます。これはディレクトリブラウジングとして知られています。
ディレクトリブラウジングは、ハッカーが悪用可能な既知の脆弱性を持つファイルがないかを見つけるために使用される可能性があり、それらのファイルを利用してアクセスを得ることができます。
ディレクトリブラウジングは、他の人があなたのファイルを見たり、画像をコピーしたり、ディレクトリ構造やその他の情報を調べたりするためにも使用できます。そのため、ディレクトリインデックス作成とブラウジングをオフにすることが強く推奨されます。
FTPまたはホスティングプロバイダーのファイルマネージャーを使用してウェブサイトに接続する必要があります。次に、ウェブサイトのルートディレクトリにある.htaccessファイルを見つけます。そこに見つからない場合は、WordPressで.htaccessファイルが見えない理由に関するガイドを参照してください。
その後、.htaccessファイルの末尾に次の行を追加する必要があります。
Options -Indexes
.htaccessファイルを保存してサイトにアップロードし直すことを忘れないでください。
このトピックの詳細については、WordPressでディレクトリブラウジングを無効にする方法に関する記事をご覧ください。
[トップへ戻る ↑]
WordPressでXML-RPCを無効にする
XML-RPCは、WordPressサイトをウェブおよびモバイルアプリに接続するのに役立つWordPressのコアAPIです。WordPress 3.5以降、デフォルトで有効になっています。
しかし、その強力な性質のため、XML-RPCはブルートフォース攻撃を大幅に増幅させる可能性があります。
たとえば、ハッカーが従来、ウェブサイトで500種類の異なるパスワードを試そうとした場合、500回の個別のログイン試行を行う必要がありました。Limit Login Attempts Reloadedプラグインはこれを検出し、ブロックできます。
しかし、XML-RPCを使用すると、ハッカーはsystem.multicall関数を使用して、20または50のリクエストで数千のパスワードを試すことができます。
このため、XML-RPC を使用していない場合は、無効にすることをお勧めします。
WordPressでXML-RPCを無効にする方法は3つあり、それらはすべてWordPressでXML-RPCを無効にする方法に関するステップバイステップチュートリアルでカバーしています。
ヒント: .htaccess メソッドは、リソース消費が最も少ないため、最良の方法です。他の方法は初心者には簡単です。
あるいは、前述したようにWebアプリケーションファイアウォール(WAF)を使用している場合は、これが自動的に処理されます。
[トップへ戻る ↑]
WordPressでアイドル状態のユーザーを自動的にログアウトする
ログイン中のユーザーは画面から離れることがあり、これはセキュリティリスクとなります。誰かがセッションを乗っ取り、パスワードを変更したり、アカウントに変更を加えたりする可能性があります。
このため、多くの銀行や金融サイトでは、非アクティブなユーザーを自動的にログアウトさせます。WordPressサイトでも同様の機能を設定できます。
Inactive Logoutプラグインをインストールして有効化する必要があります。有効化したら、設定 » 非アクティブログアウトページにアクセスして、ログアウト設定をカスタマイズしてください。
時間を設定し、ログアウトメッセージを追加するだけです。次に、設定を保存するために、ページ下部にある「変更を保存」ボタンをクリックすることを忘れないでください。
手順については、WordPressでアイドル状態のユーザーを自動的にログアウトさせる方法に関するガイドを参照してください。
[トップへ戻る ↑]
WordPressログイン画面にセキュリティ質問を追加する
WordPressのログイン画面にセキュリティの質問を追加すると、不正アクセスがさらに困難になります。
Two Factor Authenticationプラグインをインストールすることで、セキュリティ質問を追加できます。有効化後、プラグインの設定を構成するには、Multi-factor Authentication » Two Factorページにアクセスする必要があります。
これにより、セキュリティの質問を含むさまざまな種類の二要素認証をサイトに追加できるようになります。
詳細な手順については、WordPressログイン画面にセキュリティ質問を追加する方法に関するチュートリアルをご覧ください。
[トップへ戻る ↑]
WordPressのマルウェアと脆弱性をスキャンする
WordPressのセキュリティプラグインがインストールされていれば、マルウェアやセキュリティ侵害の兆候を定期的にチェックしてくれます。
ただし、ウェブサイトのトラフィックや検索順位が急激に低下した場合は、手動でマルウェアをスキャンする必要があるかもしれません。これは、WordPressセキュリティプラグインまたは最高のマルウェアおよびセキュリティスキャナーのいずれかを使用して行うことができます。
これらのオンラインスキャンを実行するのは非常に簡単です。ウェブサイトのURLを入力するだけで、クローラーがウェブサイトをスキャンして、既知のマルウェアや悪意のあるコードを探します。
さて、ほとんどのWordPressセキュリティスキャナーは、サイトにマルウェアが含まれている場合に警告することしかできないことに注意してください。マルウェアを削除したり、ハッキングされたWordPressサイトをクリーンアップしたりすることはできません。
次に、マルウェアやハッキングされたWordPressサイトのクリーンアップセクションに進みます。
[トップへ戻る ↑]
ハッキングされたWordPressサイトの修復
多くのWordPressユーザーは、ウェブサイトがハッキングされるまで、バックアップとウェブサイトセキュリティの重要性に気づいていません。
ハッカーは、影響を受けたサイトにバックドアをインストールします。これらのバックドアが適切に修正されない場合、ウェブサイトは再びハッキングされる可能性が高いです。
冒険心のあるDIYユーザーのために、ハッキングされたWordPressサイトの修正方法に関するステップバイステップガイドをまとめました。
ただし、WordPressサイトのクリーンアップは非常に困難で時間がかかる場合があります。専門家に任せることをお勧めします。
上記で言及したSucuriセキュリティプラグインを有料で使用している場合、ハッキングされたサイトの修復は価格に含まれています。
それ以外の場合は、最高のWordPressサポートエージェンシーの推奨事項を確認して、ハッキングされたサイトを修正できる専門家を見つけることができます。
[トップへ戻る ↑]
WordPressのセキュリティに関するFAQ
WordPressのセキュリティは非常に重要であるため、それに関する質問を定期的に受けています。ここでは、WordPressウェブサイトを攻撃から安全に保つことに関するよくある質問への回答を紹介します。
WordPress は安全に使用できますか?
WordPressは、特に定期的に更新していれば、安全に設計されています。しかし、非常に人気があるため、ハッカーはWordPressウェブサイトを標的にすることがよくあります。
しかし、心配しないでください。この記事で紹介したような簡単なセキュリティのヒントに従うことで、ウェブサイトがハッキングされる可能性を大幅に減らすことができます。
WordPressウェブサイトを危険にさらす可能性のあるものは?
ハッカーがウェブサイトにアクセスしようとする方法は様々です。一般的な脅威には、パスワードの推測、悪意のあるソフトウェア(マルウェア)のインストール、ウェブサイトのコードの脆弱性を発見して情報を盗んだり、制御を奪ったりすることが含まれます。
WordPressウェブサイトはどのくらいの頻度で更新すべきですか?
WordPressウェブサイト、テーマ、プラグインを最新の状態に保つことは非常に重要です。新しいアップデートには、セキュリティ問題の修正が含まれていることがよくあります。自動更新を使用するか、少なくとも週に一度は自分で更新を確認して迅速にインストールするようにしてください。
セキュリティのために特別なプラグインが必要ですか?
セキュリティプラグインを使用する必要はありませんが、ウェブサイトをはるかに安全にすることができます。セキュリティプラグインは、ウェブサイトの追加のガードのように機能し、ハッカーやマルウェアから保護します。
ウェブサイトがハッキングされたかどうかを知るには?
ウェブサイトで奇妙なことが起こっていることに気づいた場合、それはハッキングされた兆候である可能性があります。これには、自分で作成していない新しいユーザーやファイルが表示される、ウェブサイトが訪問者を別のウェブサイトにリダイレクトする、ウェブサイトの動作が遅くなる、Googleやウェブホスティングプロバイダーから警告が表示されるなどが含まれます。
ウェブサイトがハッキングされたらどうすればよいですか?
ウェブサイトがハッキングされたと思っても、慌てずにすぐに行動してください。ウェブホスティング会社に連絡して助けを求めることができます。セキュリティプラグインを使用したり、セキュリティ専門家にウェブサイトのクリーンアップを依頼することもできます。
ウェブサイトのバックアップがある場合は、そのバックアップから復元してください。WordPress管理画面、データベース、FTPのパスワードを含め、すべてのパスワードを変更してください。
この記事が、ウェブサイトを保護するためのベストプラクティスと推奨されるWordPressセキュリティチェックリストを学ぶのに役立ったことを願っています。また、WordPressサイトがハッキングされる主な理由と、最高のWordPressセキュリティプラグインの専門家による選び方もご覧ください。
この記事が気に入ったら、WordPressのビデオチュートリアルについては、YouTubeチャンネルを購読してください。 TwitterやFacebookでもフォローできます。
Leanne
これは、私がこれまでに(あらゆる主題において)見つけた中で最高のチュートリアルサイトの1つです。ありがとうございます。wpbeginnerを他の人に勧めます – 素晴らしいサイトです!
WPBeginnerサポート
You’re welcome and glad you’ve found our content helpful
管理者
Daniel
これらすべてを行う方法を教えるために50ドルや100ドル以上請求する人がいるのに、皆さんは無料で提供してくれたんですね!本当にありがとうございます!
WPBeginnerサポート
You’re welcome
管理者
パワー
記事をありがとうございます。非常に役立ちます。
WPBeginnerサポート
You’re welcome
管理者
マイダス
これは非常に役立ちました。私はそれらすべてを実装するためのコーディングスキルを持っており、今では自分やクライアントのWordPressインストールをはるかにうまく管理できるようになりました。無料だとは信じられないほど完全な情報、ありがとうございます xD
WPBeginnerサポート
You’re welcome, glad our guide was helpful
管理者
Splendor Edesiri
WordPressサイトのセキュリティの一部として、バックエンドからWordPressサイトにアクセスするためにVPNは必要ですか?
WPBeginnerサポート
いいえ、それは必要ありません
管理者
uzoma ichetaonye
バックエンド経由でウェブサイトにアクセスするためにVPNは必要ないと思います。
VPNは、あなたの身元を偽装または支援したり、あなたの場所からブロックされているサイトにアクセスしたりするために使用されます。
カム
この記事をありがとうございます。必須の読み物です!
Bluehostのようなホスティングを利用している場合、Updraft plus +リモートストレージのようなプラグインでバックアップを取ることは不可欠ですか?結局のところ、ホスティングプロバイダーはバックアップを提供しているはずですよね?
WPBeginnerサポート
一部のホストはバックアップを提供していますが、安全のために独自のバックアップを作成することを引き続きお勧めします。
管理者
Kyle B.
データベースのプレフィックスを変更しても違いはありません。それ以外は、悪い記事ではありません。
WPBeginnerサポート
Thanks for sharing your opinion and glad you liked our article
管理者
kalmoa
NginxにはApacheの.htaccessのようなディレクトリレベルの設定ファイルはありません。すべての設定は管理者によってサーバーレベルで行う必要があり、WordPressはApacheのように設定を変更することはできません。そのため、「PHPファイル実行の無効化」に関する部分は、Nginx上で動作するWordPressインストールでは完了できません。これには、Vultr上でWordPressを運用している私も含まれます。彼らのワンクリックWordPressインストールはNginx(Ubuntu 18.04)にデプロイされます。
WPBeginnerサポート
ご自身のサイトで特にNginxを使用しているユーザーのために、これを共有していただきありがとうございます。
管理者
トム
複数のプラグインを更新する必要がある場合、最適な更新方法はありますか?一度に1つずつ更新して、更新されたプラグインがウェブサイトの機能に問題を引き起こさないか確認しますか?
WPBeginnerサポート
アップデートがサイトを壊すのではないかとご心配な場合は、以下のステージング環境の作成方法に関するガイドに従ってアップデートをテストすることをお勧めします。
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
管理者
Kartik Satija
素晴らしい記事で、非常に分かりやすくまとめられており、情報も豊富です。
皆様、本当にありがとうございます。
これからも頑張ってください。
乾杯、
カルティック。
WPBeginnerサポート
Glad you found our guide helpful
管理者
MIMIFTAH
非常に有益なコンテンツです。ありがとうございます
WPBeginnerサポート
You’re welcome
管理者
リズ
素晴らしい記事です。ハードニングオプションについて質問があります。すべてのオプションでハードニングを有効にすると、一部のプラグインやテーマが破損したり、正常に機能しなくなったりする可能性があると読みました。もしそうなった場合、修正はどのくらい難しいですか?ハードニングオプションを元に戻す以上のことがあるように思えます。何か洞察があれば、大いに感謝されます。ありがとうございます!
WPBeginnerサポート
エラーが発生した場合の難易度は、特定の強化推奨事項、プラグイン、およびエラーメッセージによって異なります。それ以外の場合は、ほとんどのプラグインに問題はないはずです。
管理者
Gary Starling
非常に役立つ提案で、基本的なことから複雑なことまでよく説明されています
説明をありがとうございました
WPBeginnerサポート
You’re welcome, glad our article could be helpful
管理者
Andrei
皆さん、こんにちは。
最初のユーザー列挙の後、ブルートフォース攻撃はセキュリティプラグインによってそのIPアドレスをブロックします。
wp-adminディレクトリにパスワード保護をかけると、プラグインはそのIPをブロックできなくなります。
それは正しい評価ですか?
WPBeginnerサポート
正しいです。ブロックされたIPと同様の負荷がかかりますが、多くの新しいユーザーにサイトにアクセスしてもらう必要がある場合は、ログイン試行回数を制限する方がパスワードでwp-adminを保護するよりも良いでしょう。
管理者
Andrei
OK、ようやく仕組みがわかりました。皆さんと共有します。wp-adminのパスワード保護はサーバー(Apache/Nginx)レベルで行われます。ユーザー列挙やブルートフォース攻撃がサーバーレベルをバイパスできない場合、PHP/MySQLに影響を与えることはできません。したがって、wp-adminのパスワード保護はデータベースに余分な負荷をかけません。
Peter
非常に有益で役立ちました。言及されているすべてのハードニング手順を設定しました。本当にありがとうございます。
WPBeginnerサポート
You’re welcome, glad our guide was helpful
管理者
Aqib khan
いつもあなたをフォローします。いつもあなたを愛し、私たちを笑顔にするために、このような新鮮でクールなコンテンツを常に共有します。ありがとうございます。
WPBeginnerサポート
Thank you, glad you’ve enjoyed our content
管理者
mahmoud
このサイトが大好きです。貴重な情報を提供してくださっています。
私は初心者で、これは役立ちます。
しかし、強力なパスワードを設定してインデックス作成を無効にするだけで十分でしょうか?
これらのプラグインはサイトの速度に影響すると思いますが、それらはサイトにインストールされていないのでしょうか?
WPBeginnerサポート
プラグインがサイトを遅くすることについてのご懸念ですが、心配する必要はありません。その理由については、こちらで説明しています: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
管理者
Krishna
WP Beginnerチーム様
WordPressセキュリティに関するこのような簡潔な説明をありがとうございます。この記事は非常に役立ち、ユーザーとウェブサイト所有者にとってWPセキュリティの価値を知らせてくれました。
再度感謝します…
WPBeginnerサポート
You’re welcome, glad our article was helpful
管理者
Kushal
あなたが言及したsucuri、itheams、wp serber、jetpackのすべてのプラグインを使用しました。私のウェブサイトでいくつのプラグインを使用できますか?
WPBeginnerサポート
特定の機能については、プラグインを1つに絞ることをお勧めしますが、一般的にいくつのプラグインを使用すべきかについては、こちらの記事をご覧ください: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
管理者
リーアン
とても参考になりました。情報提供と時間の節約に感謝します!
WPBeginnerサポート
You’re welcome, glad our guide could be helpful
管理者
Dietrich
Hi
SucuriとWordfenceを同時に使用しても大丈夫ですか?Sucuriの無料版にはファイアウォール機能がないため、Wordfenceをインストールしました。
WPBeginnerサポート
両方を使用することは推奨しません。複数のセキュリティツールは互いに競合し、サイトに問題を引き起こす可能性があります。
管理者
イアニス・クリストドゥルー
非常に役立つ記事です。
共有していただきありがとうございます。
WPBeginnerサポート
You’re welcome, glad our article could help
管理者
スティーブ・シュルツ
無料のSucuri Securityプラグインへのリンクが壊れています…404エラーです。
WPBeginnerサポート
Thanks for letting us know, the link should be fixed
管理者
Monty parihar
ウェブサイトが保護されました。投稿を読んですぐにセキュリティプラグインをインストールしました。WP Beginnerさん、ありがとうございます。
WPBeginnerサポート
You’re welcome
管理者
メルビン・アダメ
素晴らしい記事です!ウェブサイトの所有者は、自分自身と訪問者のために、常にセキュリティを最優先事項とすべきです。
WPBeginnerサポート
Thank you, glad you like our content
管理者
Adil
この情報すべてに感謝します!
WPBeginnerサポート
You’re welcome
管理者
マーク・バナー
ここにはいくつか良いヒントがあります。すでに多くを使用していますが、他にいくつか検討すべき分野があります。
WPBeginnerサポート
Thank you, glad you like our recommendations
管理者
Chukwuemeka Ebuka
この記事に大変感謝しています。すべてwpbeginner.comのおかげです。
WPBeginnerサポート
You’re welcome, glad our article could be helpful
管理者
ハイジ
Great article, thanks! I think I’ve done most of these things now (except ones requiring coding). I did however have a problem setting a password for the admin folder. While I worked out how to do this in cPanel (under ‘directory privacy’), when I went back to my dashboard I found I was locked out. Then I spent over an hour on chat support with Bluehost only to discover what I suspected – that when you log in to WP from Bluehost it takes you straight to the admin area, so there is no opportunity to login to the admin folder, which means you just get locked out. Guess this is a problem with Bluehost and the only solution they gave me was install a plugin
WPBeginnerサポート
ホスティングダッシュボードからサイトにログインするためのリンクを使用している場合はそうかもしれませんが、ドメインに「/wp-admin」を追加すると、ログインページに移動し、追加のログイン要件が表示されるはずです。
管理者
ハイジ
はい、ありがとうございます。試してみます。
Julian Song
セキュリティに関する素晴らしい記事です。WordPressのセットアップは簡単ですが、管理するには多くの学習と調査が必要です。あなたのブログは、あなたが想像する以上にコミュニティに役立っています。最近のWordPressミートアップでも、最高のガイドラインの一つとしてあなたのブログを共有しました。
WPBeginnerサポート
Thank you for your kind words and sharing our articles
管理者
Malith
ありがとうございます!
WPBeginnerサポート
You’re welcome, glad our guide could be helpful
管理者
シヴァ・プラサド
良いメンターでいてくれて、正しい道に導いてくれてありがとう。あなたには常に感謝しています。
WPBeginnerサポート
Glad our guides could help you
管理者
Majid
こんにちは、
WordPressは初めてで、ウェブサイトのホスティングにBluehostを使用しています。WordPressボタンをクリックすると、パスワードを尋ねられることなく、自動的にcPanelに移動しました。どのパスワードについて話していますか?
追伸:右上隅に「こんにちは、私の名前…」と表示されていますが、それは私のユーザー名ということですか?
BluehostにWordPressをインストールした記憶はありませんし、WordPress用に個別にユーザー名やパスワードを入力したこともありません。
お願いします。
WPBeginnerサポート
これは、WordPressサイトのセットアップを容易にするためのBlueHostのツールです。この記事では、WordPressサイトのパスワードについて説明しています。サイトのパスワードは、[ユーザー] > [プロフィール] で変更できます。「こんにちは」の横の名前は、あなたのユーザー名であるはずです。
管理者
テレンス・ビッカース
XML-RPCセクションにタイプミスがある可能性があり、少々混乱を招いています。
現在、「XML-RPCを使用していない場合は、無効にすることをお勧めします。」と表示されています。
もし私がそれを使用しない場合、おそらくそれを無効にする方法はないでしょう。
WPBeginnerサポート
Apologies for any confusion, with that statement we mean if you’re not using it for a specific plugin or other need then we would recommend disabling it rather than meaning if it is disabled to disable it. We’ll look into clarifying that
管理者
Syed Gallani
WordPressを最新の状態に保つことがセキュリティにとって不可欠であることは理解していますが、セキュリティの観点から、すべてのプラグインを更新する必要があるのでしょうか?古いプラグインはどのようにウェブサイトをハッキングされやすくするのですか?
WPBeginnerサポート
プラグインによっては、サイトが脆弱になる可能性がありますが、一部のプラグインには、新たに発見されたコードの問題に対して古いコードが含まれている場合があります。
管理者
デビッド・アノジー
本当にありがとうございます!あなたはボスです。
WPBeginnerサポート
Thank you for being one of our readers
管理者
Nick
robots.txt を介して検索エンジンスパイダーがディレクトリをインデックス化するのをブロックすることは、セキュリティに役立ちますか?
WPBeginnerサポート
いいえ、それは単に検索クローラーがあなたのサイトを見ないことを意味するだけです。
管理者
寒星
WPの維持に本当に役立ちます。気に入っています。本当にありがとうございます。
WPBeginnerサポート
You’re welcome, glad our article was helpful
管理者
peg
苦労して学んでいます! :) あなたを見つけられて本当に嬉しいです。GoDaddyでホストされているハッキングされた5年前のサイト(管理画面に全く入れない)があり…彼らは修理に300ドルを要求するので、Bluehostで再構築し、あなたのセキュリティ提案を実装しています。もっとたくさん学ぶのを楽しみにしています!このリソースを本当にありがとうございます。
WPBeginnerサポート
You’re welcome, glad our guide can help
管理者
ジェフ・モイヤー
素晴らしい包括的なリスト、ありがとうございます!ログイン試行回数を制限することは、多くのハッカーを最初から思いとどまらせるため、非常に重要だと思います。パスワードを紛失したり忘れたりするとイライラするかもしれませんが、それでも十分に価値があります。
WPBeginnerサポート
You’re welcome, glad you liked our article
管理者
タンメイ・カプセ
素晴らしい詳細な投稿です!! すべてが完璧に説明されています。これからも頑張ってください
WPBeginnerサポート
Thank you, glad you liked our content
管理者
Sunny Chawla
私のサイトを改善するためのサポートページをありがとうございます
WPBeginnerサポート
Glad our guide could be helpful
管理者
Santhosh Naikar
社内ネットワーク(オフィスのネットワーク内のシステムにのみアクセス可能)でホストされている場合、どのようなことに注意する必要がありますか?
WPBeginnerサポート
イントラネットの主な懸念事項は、各ユーザーが自分の役割に適した権限を持っていることを確認することです。その後、ブルートフォース攻撃などから自分自身を保護することになります。
管理者
steven suslick
この投稿や他の多くの投稿が非常に役立つと感じています。ハッキングに関する質問があります。Googleアナリティクスで、実際には投稿に存在しない奇妙なページが報告されています。すべて /?s= のようになっています。例:/?s=dox。ソースが見つかりません。何か提案はありますか?
WPBeginnerサポート
Those pages are from users using the search on your site, for the second someone searched for the word dox
管理者
Emmanuel Ikechukwu
これは私が今までに出会った中で最高のWordPressオンラインチューターです。
WPBeginnerサポート
Glad our articles are helpful
管理者
Bobbie Camp
この記事は非常に参考になりました。私は全くの初心者で「テックに詳しくない」ため、あらゆる助けが必要です。分かりやすい説明に感謝します。
WPBeginnerサポート
Glad our articles could help
管理者
Jemes
とても参考になります。ありがとうございます。
WPBeginnerサポート
You’re welcome
管理者
NICHOLAS AMOL GOMES
サイト改善に役立つページをありがとうございます
WPBeginnerサポート
You’re welcome
管理者
ブラッド・ヴィンセント
皆さん、こんにちは。
Sucuriについては、あなたの言及に同意せざるを得ません。長年にわたり、私のハッキングされたサイトをいくつか解決してくれました。一銭の価値があります!
必要な情報がすべて含まれたこれらの詳細な投稿が本当に気に入っています。あなたのウェブサイトのスピードに関する投稿を参考にさせてもらい、私のサイトに大きな違いをもたらしました。それが終わったら、間違いなくこの記事も参考にさせてもらいます。
素晴らしい仕事、そして大変感謝しています。
WPBeginnerサポート
Thank you, glad you find our articles helpful
管理者
Brian
同じWPインストールでWordfenceとSucuriについてどう思いますか?機能が似ているように見えるので、1つのセキュリティツールだけの場合と比べて、両方でどれだけ多くの機能が得られるか疑問に思っています。Wordfenceは妥当な代替手段ですか?
WPBeginnerサポート
プラグイン間の競合を防ぐため、一度に1つのみの使用をお勧めします。
管理者
Mark
WordfenceとSucuriを異なる機能で使用しています。一見競合するように見えますが、実際には補完的な関係にあります。両方を同時に実行しても問題はありません…今のところ…しかし、一般的にプラグイン間の互換性の問題がないわけではありません。