すべてのウェブサイトの所有者は、自分のサイトがハッカーに脆弱である可能性に気づいた瞬間に恐怖します。単一のセキュリティ侵害は、苦労して築き上げた評判と収益を瞬時に損なう可能性があります。
サイトの保護には高価なツールや高度なコーディングスキルが必要だと心配するかもしれませんが、それはまったく真実ではありません。ほとんどのセキュリティ対策は、実際には非常に簡単に適用できます。
私たちは16年以上にわたり、プラグインのテストと戦略の改善を行い、WPBeginnerを日々の攻撃から安全に保ってきました。私たちはこれらの正確な方法を自身のプロジェクト保護に使用しています。
このガイドでは、ウェブサイトを安全に保ち、安心して眠れるようにするための究極のセキュリティチェックリストを順を追って説明します。
WordPressのコアソフトウェアは非常に安全で、何百人もの開発者によって定期的に監査されていますが、サイトを安全に保つためにはまだ多くのことが必要です。
WPBeginnerでは、セキュリティはリスク排除だけではないと考えています。リスク軽減も重要です。ウェブサイト所有者として、技術に詳しくなくても、WordPressのセキュリティを向上させるためにできることはたくさんあります。
そのため、セキュリティの脆弱性からウェブサイトを保護するために実行できる具体的なステップのWordPressセキュリティチェックリストを作成しました。
わかりやすくするために、究極のWordPressセキュリティガイドをスムーズに読み進めるための目次を作成しました。
目次
WordPressセキュリティの基本
WordPressセキュリティを簡単なステップで(コーディングなしで)
- WordPressバックアップソリューションをインストールする
- 信頼できるWordPressセキュリティプラグインをインストールする
- Webアプリケーションファイアウォール(WAF)を有効にする
- WordPressサイトをSSL/HTTPSに移行する
DIYユーザーのためのWordPressセキュリティ
- デフォルトの管理者ユーザー名を変更する
- ファイル編集を無効にする
- 特定のWordPressディレクトリでのPHPファイル実行を無効にする
- ログイン試行回数の制限
- 2要素認証(2FA)を追加する
- WordPressデータベースのプレフィックスを変更する
- WordPressの管理画面とログインページにパスワード保護を追加する
- ディレクトリインデックス表示とブラウジングを無効にする
- WordPressでXML-RPCを無効にする
- WordPressでアイドル状態のユーザーを自動的にログアウトする
- WordPressログインにセキュリティの質問を追加
- WordPressのマルウェアと脆弱性をスキャンする
- ハッキングされたWordPressサイトの修復
準備はいいですか?始めましょう。
ウェブサイトのセキュリティが重要な理由
ハッキングされたWordPressウェブサイトは、ビジネスの収益と評判に深刻な損害を与える可能性があります。ハッカーはユーザー情報やパスワードを盗んだり、悪意のあるソフトウェアをインストールしたり、さらにはユーザーにマルウェアを配布したりすることさえあります。
さらに悪いことに、ウェブサイトへのアクセスを回復するために、ハッカーに身代金を支払わなければならない場合があります。
毎日、Googleは、アクセスしようとしているウェブサイトにマルウェアが含まれているか、情報を盗む可能性があることを何百万ものユーザーに警告しています。
さらに、Googleは毎日数千ものウェブサイトをマルウェアやフィッシングのためにブラックリストに登録しています。
物理的な場所を持つ事業主がその財産を保護する責任を負うのと同様に、オンライン事業主はWordPressセキュリティに特別な注意を払う必要があります。
[トップへ戻る ↑]
WordPressを最新の状態に保つ
WordPressはオープンソースソフトウェアであり、定期的に保守および更新されています。デフォルトでは、WordPressはマイナーアップデートを自動的にインストールします。
メジャーリリースの場合、手動でアップデートを開始する必要があります。
WordPressには、ウェブサイトにインストールできる何千ものプラグインやテーマも付属しています。これらのプラグインやテーマはサードパーティの開発者によって管理されており、彼らは定期的にアップデートをリリースしています。
これらのWordPressアップデートは、WordPressサイトのセキュリティと安定性にとって非常に重要です。WordPressのコア、プラグイン、テーマを最新の状態に保つ必要があります。
[トップへ戻る ↑]
強力なパスワードとユーザー権限を使用する
最も一般的なWordPressハッキング試行は、盗まれたパスワードを使用します。しかし、ウェブサイトに強力でユニークなパスワードを使用することで、それを困難にすることができます。
WordPress管理画面だけではありません。FTPアカウント、データベース、WordPressホスティングアカウント、およびサイトのドメイン名を使用するカスタムメールアドレスの強力なパスワードを作成することを忘れないでください。
多くの初心者は、覚えにくいので強力なパスワードの使用を好みません。幸いなことに、パスワードマネージャーを使えばパスワードを覚える必要はもうありません。
詳細については、WordPressパスワードの管理方法に関するガイドをご覧ください。
リスクを軽減するもう1つの方法は、絶対に必要がない限り、WordPress管理アカウントへのアクセスを誰にも許可しないことです。
大規模なチームやゲスト著者がいる場合は、WordPressサイトに新しいユーザーアカウントや著者を新たに追加する前に、WordPressのユーザーロールと権限を理解していることを確認してください。
[トップへ戻る ↑]
WordPressホスティングの役割を理解する
あなたのWordPressホスティングサービスは、WordPressサイトのセキュリティにおいて最も重要な役割を果たします。Hostinger、Bluehost、またはSiteGroundのような優れた共有ホスティングプロバイダーは、一般的な脅威からサーバーを保護するために追加の対策を講じています。
ここに、優れたウェブホスティング会社がウェブサイトとデータを保護するためにバックグラウンドでどのように機能するかのほんの一例を挙げます。
- 彼らは不正なアクティビティを継続的に監視しています。
- すべての優れたホスティング会社は、大規模なDDoS攻撃を防ぐためのツールを備えています。
- 彼らは、ハッカーが古いバージョンに存在する既知のセキュリティ脆弱性を悪用するのを防ぐために、サーバーソフトウェア、PHPバージョン、およびハードウェアを最新の状態に保っています。
- 重大な事故が発生した場合にデータを保護できる、すぐに展開可能な災害復旧および事故計画を用意しています。
共用ホスティングプランでは、多くの他の顧客とサーバーリソースを共有します。クロスサイト汚染のリスクがあり、ハッカーが隣接するサイトを使用してあなたのウェブサイトを攻撃する可能性があります。
対照的に、マネージドWordPressホスティングサービスを使用すると、ウェブサイトにより安全なプラットフォームを提供できます。
マネージドWordPressホスティング会社は、自動バックアップ、自動WordPressアップデート、および高度なファイアウォール構成を提供してウェブサイトを保護します。多くの場合、このリストにある多くの技術的なセキュリティタスクを代わりに処理してくれます。
私たちは、お気に入りのマネージドWordPressホスティングプロバイダーとしてSiteGroundをお勧めします。彼らは応答性の高いサポート、高速なサーバー、そして優れた信頼性を持っています。
私たちの特別なSiteGroundクーポンを使用して、最良の取引を得てください。
[トップへ戻る ↑]
簡単なステップでWordPressのセキュリティを強化(コーディング不要)
WordPressのセキュリティを向上させることは、特に技術に詳しくない初心者にとっては恐ろしいことだと私たちは理解しています。驚くかもしれませんが、あなたは一人ではありません。
何千ものWordPressユーザーのWordPressセキュリティ強化をお手伝いしてきました。
数回のクリック(コーディング不要)でWordPressのセキュリティを向上させる方法をご紹介します。
指差しとクリックができれば、あなたにもできます!
1. WordPressバックアップソリューションをインストールする
バックアップは、あらゆるWordPress攻撃に対する最初の防御策です。覚えておいてください、100%安全なものはありません。政府のウェブサイトがハッキングされる可能性があるなら、あなたのサイトもハッキングされる可能性があります。
バックアップがあれば、何か悪いことが起こった場合にWordPressサイトを迅速に復元できます。
使用できる無料および有料のWordPressバックアッププラグインはたくさんあります。バックアップに関して知っておくべき最も重要なことは、ホスティングアカウント以外のリモートの場所に定期的にフルサイトバックアップを保存する必要があるということです。
Amazon、Dropboxなどのクラウドサービスや、Stashのようなプライベートクラウドに保存することをお勧めします。
ウェブサイトを更新する頻度に応じて、理想的な設定は1日1回またはリアルタイムのバックアップのいずれかになります。
幸いなことに、Duplicator、UpdraftPlus、またはBlogVaultのようなプラグインを使用することで、これを簡単に行うことができます。どちらも信頼性が高く、最も重要なのは使いやすいことです(コーディングは不要です)。
詳細については、WordPressウェブサイトのバックアップ方法に関するガイドをご覧ください。
[トップへ戻る ↑]
信頼できるWordPressセキュリティプラグインをインストールする
バックアップの後、次にやるべきことは、ウェブサイトで起こるすべてのことを追跡する監査および監視システムをセットアップすることです。
これには、ファイル整合性監視、ログイン試行失敗、マルウェアスキャンなどが含まれます。
幸いなことに、最高のWordPressセキュリティプラグインの1つ、例えばSucuriをインストールすることで、これを簡単に処理できます。
無料のSucuri Securityプラグインをインストールして有効化する必要があります。詳細については、WordPressプラグインのインストール方法に関するステップバイステップガイドをご覧ください。
これはリスクを限定しますが、厳密には、無料プラグインはセキュリティ監視とスキャン用であり、ファイアウォールではありません。
次に、Sucuri Security » Dashboard にアクセスして、プラグインがWordPressコードに即時の問題を見つけたかどうかを確認できます。
次に、Sucuri Security » 設定ページに移動し、「ハードニング」タブをクリックします。
デフォルト設定はほとんどのウェブサイトでうまく機能するため、「ハードニングを適用」ボタンをクリックして各オプションを有効にすることができます。
これは、ハッカーが攻撃でよく使用する主要な領域をロックダウンするのに役立ちます。
ヒント: この記事の後半では、データベースプレフィックスや管理者ユーザー名の変更など、ウェブサイトを強化するためのさらなる方法を説明します。ただし、これらはより技術的であり、コーディングの知識が必要になる場合があります。
ハードニング(強化)ステップの後、プラグインの他のデフォルト設定はほとんどのウェブサイトで十分であり、変更は必要ありません。
カスタマイズをお勧めするのは、設定ページの「アラート」タブにあるメールアラートのみです。
デフォルトでは、多くのメールアラートを受信するため、受信トレイが煩雑になる可能性があります。
プラグインの変更や新しいユーザー登録など、通知を受けたい重要なアクションに対してのみアラートを有効にすることをお勧めします。
このWordPressセキュリティプラグインは非常に強力なので、すべてのタブと設定をブラウズして、マルウェアスキャン、監査ログ、ログイン試行失敗の追跡など、それが何をするのかすべてを確認してください。
詳細なSucuriのレビューをご覧いただくと、さらに詳しい情報が得られます。
Webアプリケーションファイアウォール(WAF)を有効にする
前のステップでインストールした無料プラグインは、サイトの問題を監視するのに役立ちますが、リアルタイムで攻撃をブロックすることはできません。そのためには、Webアプリケーションファイアウォール(WAF)が必要です。
WAFを使用することは、サイトを保護し、WordPressのセキュリティに自信を持つための最も簡単な方法です。
ウェブサイトファイアウォールは、悪意のあるトラフィックがウェブサイトに到達する前にすべてブロックします。
- DNSレベルのウェブサイトファイアウォールは、ウェブサイトのトラフィックをクラウドプロキシサーバーを経由させます。これにより、正規のトラフィックのみをウェブサーバーに送信できます。
- アプリケーションレベルのファイアウォールは、トラフィックがサーバーに到達してからほとんどのWordPressスクリプトをロードする前に検査します。この方法は、DNSレベルのファイアウォールほどサーバー負荷を軽減する効率はありません。
詳細については、WordPressファイアウォールプラグインのベストのリストをご覧ください。
私たちは長年WPBeginnerでSucuriを使用しており、WordPress向けの最高のWebアプリケーションファイアウォールの一つとして今でも推奨しています。最近、エンタープライズ顧客により焦点を当てた機能を持つ、より大きなCDNネットワークが必要になったため、SucuriからCloudflareに切り替えました。
Sucuriがどのようにして1か月で45万件のWordPress攻撃をブロックするのに役立ったかについて読むことができます。
Sucuriのファイアウォールの最も良い点は、マルウェアクリーニングとブラックリスト削除の保証も付いていることです。これは、彼らの監視下でハッキングされた場合、ページ数に関係なくウェブサイトを修正することを保証することを意味します。
これはかなり強力な保証です。なぜなら、ハッキングされたウェブサイトの修理は高価だからです。セキュリティ専門家は通常、1時間あたり250ドル以上を請求しますが、Sucuriのセキュリティスタック全体を年間199ドルで入手できます。
とはいえ、Sucuriは唯一のDNSレベルのファイアウォールプロバイダーではありません。もう一つの人気のある競合他社はCloudflareです。Sucuri対Cloudflare(長所と短所)の比較をご覧ください。
[トップへ戻る ↑]
WordPressサイトをSSL/HTTPSに移行する
SSL(Secure Sockets Layer)は、ウェブサイトとユーザーのブラウザ間のデータ転送を暗号化するプロトコルです。この暗号化により、誰かが情報を盗み見ることが困難になります。
SSLを有効にすると、ウェブサイトのアドレスはHTTPの代わりにHTTPSを使用するようになります。ブラウザのウェブサイトアドレスの横には、鍵のアイコンまたはそれに類似したアイコンが表示されます。
過去には、SSL証明書は高価で、年間80ドルから数百ドルかかっていました。今日では、SSL証明書を持つことはすべてのウェブサイトの要件となっています。
もし持っていない場合、Google Chromeなどのブラウザはあなたのウェブサイトを「安全ではありません」とマークし、訪問者を遠ざけてしまう可能性があります。
この問題を解決するために、Let’s Encryptという非営利団体がウェブサイト所有者に無料のSSL証明書を提供し始めました。このプロジェクトは、Google Chrome、Facebook、Mozilla、その他多くの企業によって支援されています。
すべてのWordPressウェブサイトでSSLの使用を開始することが、これまで以上に簡単になりました。多くのホスティング会社が、現在WordPressウェブサイト向けの無料SSL証明書を提供しています。
ホスティング会社が提供していない場合は、Network SolutionsからSSL証明書を購入できます。彼らは市場で最も信頼性の高いSSL取引を提供しています。証明書には10,000ドルのセキュリティ保証とTrustLogoセキュリティシールが付属しています。
DIYユーザーのためのWordPressセキュリティ
ここまで述べたことをすべて実行すれば、かなり安全な状態になります。
しかし、常にそうであるように、WordPressのセキュリティを強化するためにできることは他にもあります。
これらのステップの一部には、コーディングの知識が必要になる場合があることに注意してください。
デフォルトの管理者ユーザー名を変更する
昔は、デフォルトのWordPress管理者ユーザー名は「admin」でした。ユーザー名はログイン資格情報の一部であるため、ハッカーが総当たり攻撃を行いやすくなっていました。
幸いなことに、WordPressはその後これを変更し、現在ではWordPressのインストール時にカスタムユーザー名を選択する必要があります。
ただし、古い1クリックWordPressインストーラーの中には、デフォルトの管理者ユーザー名を「admin」に設定するものがあるかもしれません。もしそうであることに気づいた場合は、Webホスティングを切り替えるのが良いでしょう。
WordPressではデフォルトでユーザー名を変更できないため、ユーザー名を変更するには3つの方法があります。
- 新しい管理者ユーザー名を作成し、古いものを削除します。
- ユーザー名変更プラグインを使用する
- phpMyAdminからユーザー名を更新する
これら3つすべてについて、WordPressのユーザー名を正しく変更する方法に関する詳細ガイドで説明しました。
注意:はっきりさせておくと、ここで話しているのは「admin」という名前のユーザー名を変更することであり、「admin」とも呼ばれる管理者ユーザーロールのことではありません。
[トップへ戻る ↑]
ファイル編集を無効にする
WordPressには、WordPress管理画面からテーマやプラグインファイルを直接編集できる組み込みコードエディタが付属しています。
この機能は、悪意のある手に渡るとセキュリティリスクになる可能性があるため、オフにすることをお勧めします。
これを簡単に行うには、次のコードをwp-config.phpファイルに追加するか、コードスニペットプラグイン(推奨)であるWPCodeを使用します。
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
WordPress管理画面からテーマとプラグインエディターを無効にする方法に関するガイドで、これを段階的に実行する方法を説明します。
あるいは、前述の無料のSucuriプラグインのHardening機能を使用して、ワンクリックでこれを行うことができます。
[トップへ戻る ↑]
特定のWordPressディレクトリでのPHPファイル実行を無効にする
WordPressのセキュリティを強化する別の方法は、必要のないディレクトリ(例:/wp-content/uploads/)でPHPファイルの実行を無効にすることです。
注意:この方法は、Apache Webサーバー(ほとんどの共有ホスティング会社で使用されています)で実行されているWebサイトに有効です。マネージドWordPressホスティングプロバイダーを使用している場合、それらがこれを処理しているか、このファイルが機能しない可能性があります。
メモ帳のようなテキストエディタを開き、このコードを貼り付けることで、これを実行できます。
<Files *.php>
deny from all
</Files>
次に、このファイルを.htaccessとして保存し、FTPクライアントを使用してWebサイトの/wp-content/uploads/フォルダにアップロードする必要があります。
詳細な説明については、WordPressの特定のディレクトリでPHP実行を無効にする方法に関するガイドをご覧ください。
または、前述の無料のSucuriプラグインのハードニング機能を使用して、ワンクリックでこれを実行することもできます。
[トップへ戻る ↑]
ログイン試行回数の制限
デフォルトでは、WordPressではユーザーは何回でもログインを試みることができます。これにより、WordPressサイトはブルートフォース攻撃に対して脆弱になります。これは、ハッカーがさまざまな組み合わせを試してパスワードをクラックしようとする方法です。
これは、ユーザーが行えるログイン試行回数を制限することで簡単に修正できます。前述のWebアプリケーションファイアウォールを使用している場合、これは自動的に処理されます。
ただし、ファイアウォールが設定されていない場合は、以下の手順で進めることができます。
まず、無料のLimit Login Attempts Reloadedプラグインをインストールして有効にする必要があります。詳細については、WordPressプラグインのインストール方法に関するステップバイステップガイドをご覧ください。
有効化すると、プラグインはユーザーが試行できるログイン回数を制限し始めます。
デフォルト設定はほとんどのウェブサイトで機能します。ただし、設定 » Limit Login Attemptsページにアクセスし、上部にある「設定」タブをクリックすることでカスタマイズできます。たとえば、GDPR法に準拠するには、「GDPR準拠」チェックボックスをクリックできます。
詳細な手順については、WordPressでログイン試行を制限する方法と理由に関するガイドをご覧ください。
[トップへ戻る ↑]
2要素認証(2FA)を追加する
二要素認証方法は、ユーザーがログインするために2つの異なるステップを必要とします。
- 最初の手順は、ユーザー名とパスワードです。
- 2番目のステップでは、スマートフォンなど、ハッカーがアクセスできない手元にあるデバイスまたはアプリからコードを使用する必要があります。
Google、Facebook、Twitterのようなほとんどのトップオンラインウェブサイトでは、アカウントで有効にすることができます。同様の機能をWordPressサイトに追加することもできます。
まず、WP 2FA – Two-factor Authenticationプラグインをインストールして有効にする必要があります。詳細については、WordPressプラグインのインストール方法に関するステップバイステップガイドをご覧ください。
使いやすいウィザードがプラグインの設定を支援し、その後QRコードが表示されます。
Google Authenticator、Authy、LastPass Authenticatorなどの携帯電話の認証アプリを使用してQRコードをスキャンする必要があります。
アカウントをクラウドにバックアップできるため、LastPass AuthenticatorまたはAuthyの使用をお勧めします。これは、電話を紛失したりリセットしたりした場合、または新しい電話を購入した場合に非常に役立ちます。すべてのアカウントログインは簡単に復元されます。
これらのアプリのほとんどは同様の方法で機能します。Authyを使用している場合は、認証アプリで「+」または「アカウントを追加」ボタンをクリックするだけです。
これにより、スマートフォンのカメラを使用してコンピューター上の QR コードをスキャンできます。最初に、アプリにカメラへのアクセス許可を与える必要がある場合があります。
アカウントに名前を付けたら、保存できます。
次回ウェブサイトにログインする際には、パスワードを入力した後、2要素認証コードを求められます。
スマートフォンの認証アプリを開くだけで、使い捨てコードが表示されます。
ウェブサイトにコードを入力して、ログインを完了できます。
[トップへ戻る ↑]
WordPressデータベースのプレフィックスを変更する
デフォルトでは、WordPressはWordPressデータベースのすべてのテーブルのプレフィックスとしてwp_を使用します。
WordPressサイトでデフォルトのデータベースプレフィックスを使用している場合、ハッカーがテーブル名を推測しやすくなります。そのため、変更することをお勧めします。
セキュリティを向上させるためにWordPressデータベースのプレフィックスを変更する方法に関するステップバイステップチュートリアルに従って、データベースのプレフィックスを変更できます。
注意: データベースのプレフィックスを変更すると、正しく行われない場合、サイトが破損する可能性があります。コーディングスキルに自信がある場合のみ実行してください。
[トップへ戻る ↑]
WordPressの管理画面とログインページにパスワード保護を追加する
通常、ハッカーは制限なしにwp-adminフォルダとログインページをリクエストできます。これにより、ハッキングの試みやDDoS攻撃を実行できます。
サーバーレベルで追加のパスワード保護を追加すると、それらのリクエストを効果的にブロックできます。
単にWordPress管理(wp-admin)ディレクトリにパスワード保護をかける方法に関するステップバイステップの手順に従ってください。
[トップへ戻る ↑]
ディレクトリインデックス表示とブラウジングを無効にする
ウェブブラウザにウェブサイトのフォルダのいずれかのアドレスを入力すると、それが存在する場合、index.html という名前のウェブページが表示されます。存在しない場合は、代わりにそのフォルダ内のファイルのリストが表示されます。これはディレクトリブラウジングとして知られています。
ハッカーはディレクトリブラウジングを使用して、既知の脆弱性を持つファイルがあるかどうかを調べ、それらのファイルを利用してアクセスを得ることができます。
ディレクトリブラウジングは、他の人があなたのファイルを参照したり、画像をコピーしたり、ディレクトリ構造を表示したり、その他の情報にアクセスしたりするためにも使用できます。このため、ディレクトリインデックス作成とブラウジングをオフにすることが強く推奨されます。
FTPまたはホスティングプロバイダーのファイルマネージャーを使用してウェブサイトに接続する必要があります。次に、ウェブサイトのルートディレクトリにある.htaccessファイルを見つけます。そこに見つからない場合は、WordPressで.htaccessファイルが表示されない理由に関するガイドを参照してください。
その後、.htaccessファイルの末尾に次の行を追加する必要があります。
オプション -インデックス
.htaccessファイルを保存してサイトにアップロードし直すことを忘れないでください。
重要: 保存後すぐにウェブサイトを確認してください。エラーが表示された場合、ホスティングプロバイダーはこの特定の Сetting を許可していない可能性があり、その行を削除する必要があります。
このトピックの詳細については、WordPressでディレクトリブラウジングを無効にする方法に関する記事をご覧ください。
[トップへ戻る ↑]
WordPressでXML-RPCを無効にする
XML-RPCは、WordPressサイトをウェブおよびモバイルアプリに接続するのに役立つコアWordPress APIです。WordPress 3.5以降、デフォルトで有効になっています。
しかし、その強力な性質のため、XML-RPCはブルートフォース攻撃を大幅に増幅させる可能性があります。
たとえば、ハッカーが従来、ウェブサイトで500種類の異なるパスワードを試そうとした場合、500回の個別のログイン試行を行う必要がありました。Limit Login Attempts Reloadedプラグインはこれを検出し、ブロックできます。
しかし、XML-RPCを使用すると、ハッカーはsystem.multicall関数を使用して、たとえば20または50のリクエストで数千のパスワードを試すことができます。
このため、XML-RPCを使用していない場合は、無効にすることをお勧めします。(注意:WordPressモバイルアプリまたはJetpackプラグインを使用している場合は、XML-RPCを有効にする必要がある場合があります)。
WordPressでXML-RPCを無効にする方法は3つあり、すべてWordPressでXML-RPCを無効にする方法に関するステップバイステップチュートリアルで説明しています。
ヒント: .htaccess メソッドは、リソース消費が最も少ないため、最良の方法です。他の方法は初心者には簡単です。
あるいは、前述したようにWebアプリケーションファイアウォール(WAF)を使用している場合は、これが自動的に処理されます。
[トップへ戻る ↑]
WordPressでアイドル状態のユーザーを自動的にログアウトする
ログイン中のユーザーは画面から離れることがあり、これはセキュリティリスクとなります。誰かがセッションを乗っ取り、パスワードを変更したり、アカウントに変更を加えたりする可能性があります。
このため、多くの銀行や金融サイトでは、非アクティブなユーザーを自動的にログアウトします。WordPressサイトでも同様の機能を設定できます。
Inactive Logoutプラグインをインストールして有効にする必要があります。有効化したら、設定 » Inactive Logoutページにアクセスして、ログアウト設定をカスタマイズします。
時間を設定し、ログアウトメッセージを追加するだけです。次に、設定を保存するために、ページ下部にある「変更を保存」ボタンをクリックすることを忘れないでください。
ステップバイステップの手順については、WordPressでアイドル状態のユーザーを自動的にログアウトさせる方法に関するガイドを参照してください。
[トップへ戻る ↑]
WordPressログイン画面にセキュリティ質問を追加する
WordPressのログイン画面にセキュリティの質問を追加すると、不正アクセスがさらに困難になります。
セキュリティの質問は、Two Factor Authentication プラグインをインストールすることで追加できます。有効化したら、Multi-factor Authentication » Two Factor ページにアクセスして、プラグインの設定を構成する必要があります。
これにより、セキュリティの質問を含むさまざまな種類の二要素認証をサイトに追加できるようになります。
より詳細な手順については、WordPressのログイン画面にセキュリティの質問を追加する方法に関するチュートリアルをご覧ください。
[トップへ戻る ↑]
WordPressのマルウェアと脆弱性をスキャンする
WordPressセキュリティプラグインがインストールされている場合、マルウェアやセキュリティ侵害の兆候を定期的にチェックしてくれます。
ただし、ウェブサイトのトラフィックや検索ランキングが急激に低下した場合は、手動でマルウェアのスキャンを検討するとよいでしょう。これは、WordPressセキュリティプラグインを使用するか、最高のマルウェアおよびセキュリティスキャナーのいずれかを使用して行うことができます。
これらのオンラインスキャンを実行するのは非常に簡単です。ウェブサイトのURLを入力するだけで、クローラーがウェブサイトをスキャンして、既知のマルウェアや悪意のあるコードを探します。
さて、ほとんどのオンラインWordPressセキュリティスキャナーは、サイトにマルウェアが含まれている場合にのみ警告できることに注意してください。通常、マルウェアを削除したり、ハッキングされたWordPressサイトをクリーンアップしたりすることはできません。
次に、マルウェアやハッキングされたWordPressサイトのクリーンアップセクションに進みます。
[トップへ戻る ↑]
ハッキングされたWordPressサイトの修復
多くのWordPressユーザーは、ウェブサイトがハッキングされるまで、バックアップとウェブサイトセキュリティの重要性に気づいていません。
ハッカーは影響を受けたサイトにバックドアをインストールします。これらのバックドアが適切に修正されない場合、ウェブサイトは再びハッキングされる可能性が高いです。
冒険心のあるDIYユーザーのために、ハッキングされたWordPressサイトの修正方法に関するステップバイステップガイドをまとめました。
ただし、WordPressサイトのクリーンアップは非常に困難で時間がかかる場合があります。専門家に任せることをお勧めします。
前述のSucuriセキュリティプラグインの使用に料金を支払っている場合、ハッキングされたサイトの修復は価格に含まれています。
それ以外の場合は、ハッキングされたサイトを修正できる専門家を見つけるために、最高のWordPressサポートエージェンシーの推奨事項を確認できます。
[トップへ戻る ↑]
WordPressのセキュリティに関するよくある質問
WordPressのセキュリティは非常に重要であるため、それに関する質問を定期的に受けています。ここでは、WordPressウェブサイトを攻撃から安全に保つことに関するよくある質問への回答を紹介します。
WordPress は安全に使用できますか?
WordPressは、特に定期的に更新していれば、安全に設計されています。しかし、非常に人気があるため、ハッカーはWordPressウェブサイトを標的にすることがよくあります。
しかし、心配しないでください。この記事で紹介したような簡単なセキュリティのヒントに従うことで、ウェブサイトがハッキングされる可能性を大幅に減らすことができます。
WordPressウェブサイトを危険にさらす可能性のあるものは?
ハッカーがウェブサイトにアクセスしようとする方法は様々です。一般的な脅威には、パスワードの推測、悪意のあるソフトウェア(マルウェア)のインストール、ウェブサイトのコードの脆弱性を発見して情報を盗んだり、制御を奪ったりすることが含まれます。
WordPressウェブサイトはどのくらいの頻度で更新すべきですか?
WordPressのウェブサイト、テーマ、プラグインを最新の状態に保つことは非常に重要です。新しいアップデートには、セキュリティの問題に対する修正が含まれていることがよくあります。自動更新を使用するか、少なくとも週に1回は自分で更新を確認し、迅速にインストールするようにしてください。
セキュリティのために特別なプラグインが必要ですか?
セキュリティプラグインを使用する必要はありませんが、ウェブサイトをはるかに安全にすることができます。セキュリティプラグインは、ウェブサイトの追加のガードのように機能し、ハッカーやマルウェアから保護します。
ウェブサイトがハッキングされたかどうかを知るには?
ウェブサイトで奇妙なことが起こっていることに気づいた場合、それはハッキングされた兆候である可能性があります。これには、自分で作成していない新しいユーザーやファイルが表示される、ウェブサイトが訪問者を別のウェブサイトにリダイレクトする、ウェブサイトの動作が遅くなる、Googleやウェブホスティングプロバイダーから警告が表示されるなどが含まれます。
ウェブサイトがハッキングされたらどうすればよいですか?
ウェブサイトがハッキングされたと思われる場合は、パニックにならず、迅速に行動してください。ウェブホスティング会社に連絡して助けを求めることができます。また、セキュリティプラグインを使用するか、セキュリティの専門家にウェブサイトのクリーンアップを依頼することもできます。
ウェブサイトのバックアップがある場合は、そのバックアップから復元してください。すべてのパスワードを変更することを忘れないでください。これには、WordPress管理エリア、データベース、FTPのパスワードが含まれます。
追加リソース
この記事が、ウェブサイトを保護するためのベストプラクティスを学ぶのに役立ったことを願っています。WordPressサイトを安全に保つための、これらの他の役立つガイドも参照することをお勧めします。
- WordPress ユーザーの役割と権限に関する初心者ガイド
- WordPressでのDDoS攻撃を停止および防止する方法
- Googleブラックリストとは?(そしてその対処法)
- Sucuri vs. Cloudflare(メリット・デメリット)– どちらが良いか?
- 最適なWordPressホスティングの選び方(比較)
この記事が気に入った場合は、WordPressのビデオチュートリアルのために、YouTubeチャンネルを購読してください。また、TwitterやFacebookでも私たちを見つけることができます。
リアン
これは、私がこれまでに(あらゆる主題において)見つけた中で最高のチュートリアルサイトの1つです。ありがとうございます。wpbeginnerを他の人に勧めます – 素晴らしいサイトです!
WPBeginnerサポート
どういたしまして、当社のコンテンツがお役に立てて嬉しいです
管理者
ダニエル
これらすべてを行う方法を教えるために50ドルや100ドル以上請求する人がいるのに、皆さんは無料で提供してくれたんですね!本当にありがとうございます!
WPBeginnerサポート
どういたしまして
管理者
パワー
記事をありがとうございます。非常に役立ちます。
WPBeginnerサポート
どういたしまして
管理者
マイダス
これは非常に役立ちました。私はそれらすべてを実装するためのコーディングスキルを持っており、今では自分やクライアントのWordPressインストールをはるかにうまく管理できるようになりました。無料だとは信じられないほど完全な情報、ありがとうございます xD
WPBeginnerサポート
どういたしまして、当社のガイドがお役に立てて嬉しいです
管理者
スプレンダー・エデシリ
WordPressサイトのセキュリティの一部として、バックエンドからWordPressサイトにアクセスするためにVPNは必要ですか?
WPBeginnerサポート
いいえ、それは必要ありません
管理者
ウゾマ・イケタオニェ
バックエンド経由でウェブサイトにアクセスするためにVPNは必要ないと思います。
VPNは、あなたの身元を偽装または支援したり、あなたの場所からブロックされているサイトにアクセスしたりするために使用されます。
カム
この記事をありがとうございます。必須の読み物です!
Bluehostのようなホスティングを利用している場合、Updraft plus +リモートストレージのようなプラグインでバックアップを取ることは不可欠ですか?結局のところ、ホスティングプロバイダーはバックアップを提供しているはずですよね?
WPBeginnerサポート
一部のホストはバックアップを提供していますが、安全のために独自のバックアップを作成することを引き続きお勧めします。
管理者
カイル・B。
データベースのプレフィックスを変更しても違いはありません。それ以外は、悪い記事ではありません。
WPBeginnerサポート
ご意見をお聞かせいただきありがとうございます。当社の記事を気に入っていただけて嬉しいです
管理者
カルモア
NginxにはApacheの.htaccessのようなディレクトリレベルの設定ファイルはありません。すべての設定は管理者によってサーバーレベルで行う必要があり、WordPressはApacheのように設定を変更することはできません。そのため、「PHPファイル実行の無効化」に関する部分は、Nginx上で動作するWordPressインストールでは完了できません。これには、Vultr上でWordPressを運用している私も含まれます。彼らのワンクリックWordPressインストールはNginx(Ubuntu 18.04)にデプロイされます。
WPBeginnerサポート
ご自身のサイトで特にNginxを使用しているユーザーのために、これを共有していただきありがとうございます。
管理者
トム
複数のプラグインを更新する必要がある場合、最適な更新方法はありますか?一度に1つずつ更新して、更新されたプラグインがウェブサイトの機能に問題を引き起こさないか確認しますか?
WPBeginnerサポート
アップデートがサイトを壊すのではないかと心配な場合は、以下のガイドに従ってステージング環境を作成し、アップデートをテストすることをお勧めします。
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
管理者
Kartik Satija
素晴らしい記事で、非常に分かりやすくまとめられており、情報も豊富です。
皆様、本当にありがとうございます。
これからも頑張ってください。
乾杯、
カルティック。
WPBeginnerサポート
当社のガイドがお役に立てて嬉しいです
管理者
MIMIFTAH
非常に有益なコンテンツです。ありがとうございます
WPBeginnerサポート
どういたしまして
管理者
リズ
素晴らしい記事です。ハードニングオプションについて質問があります。すべてのオプションでハードニングを有効にすると、一部のプラグインやテーマが破損したり、正常に機能しなくなったりする可能性があると読みました。もしそうなった場合、修正はどのくらい難しいですか?ハードニングオプションを元に戻す以上のことがあるように思えます。何か洞察があれば、大いに感謝されます。ありがとうございます!
WPBeginnerサポート
エラーが発生した場合の難易度は、特定の強化推奨事項、プラグイン、およびエラーメッセージによって異なります。それ以外の場合は、ほとんどのプラグインに問題はないはずです。
管理者
ゲイリー・スターリング
非常に役立つ提案で、基本的なことから複雑なことまでよく説明されています
説明をありがとうございました
WPBeginnerサポート
どういたしまして。当社の記事がお役に立てて嬉しいです
管理者
アンドレイ
皆さん、こんにちは。
最初のユーザー列挙の後、ブルートフォース攻撃はセキュリティプラグインによってそのIPアドレスをブロックします。
wp-adminディレクトリにパスワード保護をかけると、プラグインはそのIPをブロックできなくなります。
それは正しい評価ですか?
WPBeginnerサポート
正しいです。ブロックされたIPと同様の負荷がかかりますが、多くの新しいユーザーにサイトにアクセスしてもらう必要がある場合は、ログイン試行回数を制限する方がパスワードでwp-adminを保護するよりも良いでしょう。
管理者
アンドレイ
OK、ようやく仕組みがわかりました。皆さんと共有します。wp-adminのパスワード保護はサーバー(Apache/Nginx)レベルで行われます。ユーザー列挙やブルートフォース攻撃がサーバーレベルをバイパスできない場合、PHP/MySQLに影響を与えることはできません。したがって、wp-adminのパスワード保護はデータベースに余分な負荷をかけません。
ピーター
非常に有益で役立ちました。言及されているすべてのハードニング手順を設定しました。本当にありがとうございます。
WPBeginnerサポート
どういたしまして、当社のガイドがお役に立てて嬉しいです
管理者
アキブ・カーン
いつもあなたをフォローします。いつもあなたを愛し、私たちを笑顔にするために、このような新鮮でクールなコンテンツを常に共有します。ありがとうございます。
WPBeginnerサポート
ありがとうございます。コンテンツをお楽しみいただけて嬉しいです
管理者
マフムード
このサイトが大好きです。貴重な情報を提供してくださっています。
私は初心者で、これは役立ちます。
しかし、強力なパスワードを設定してインデックス作成を無効にするだけで十分でしょうか?
これらのプラグインはサイトの速度に影響すると思いますが、それらはサイトにインストールされていないのでしょうか?
WPBeginnerサポート
プラグインがサイトを遅くするという懸念については、心配する必要はありません。その理由については、こちらで説明しています: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
管理者
Krishna
WP Beginnerチーム様
WordPressセキュリティに関するこのような簡潔な説明をありがとうございます。この記事は非常に役立ち、ユーザーとウェブサイト所有者にとってWPセキュリティの価値を知らせてくれました。
再度感謝します…
WPBeginnerサポート
どういたしまして、記事がお役に立てて嬉しいです
管理者
クシャル
あなたが言及したsucuri、itheams、wp serber、jetpackのすべてのプラグインを使用しました。私のウェブサイトでいくつのプラグインを使用できますか?
WPBeginnerサポート
特定の機能については、プラグインは1つに絞ることをお勧めしますが、一般的にいくつのプラグインを使用すべきかについては、こちらの記事をご覧ください:https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
管理者
リーアン
とても参考になりました。情報提供と時間の節約に感謝します!
WPBeginnerサポート
どういたしまして、ガイドがお役に立てて嬉しいです
管理者
ディートリッヒ
こんにちは
SucuriとWordfenceを同時に使用しても大丈夫ですか?Sucuriの無料版にはファイアウォール機能がないため、Wordfenceをインストールしました。
WPBeginnerサポート
両方を使用することは推奨しません。複数のセキュリティツールは互いに競合し、サイトに問題を引き起こす可能性があります。
管理者
イアニス・クリストドゥルー
非常に役立つ記事です。
共有していただきありがとうございます。
WPBeginnerサポート
どういたしまして、私たちの記事がお役に立てて嬉しいです
管理者
スティーブ・シュルツ
無料のSucuri Securityプラグインへのリンクが壊れています…404エラーです。
WPBeginnerサポート
お知らせいただきありがとうございます。リンクは修正されるはずです
管理者
モンティ・パリハル
ウェブサイトが保護されました。投稿を読んですぐにセキュリティプラグインをインストールしました。WP Beginnerさん、ありがとうございます。
WPBeginnerサポート
どういたしまして
管理者
メルビン・アダメ
素晴らしい記事です!ウェブサイトの所有者は、自分自身と訪問者のために、常にセキュリティを最優先事項とすべきです。
WPBeginnerサポート
ありがとうございます。当社のコンテンツをお気に召したようで嬉しいです
管理者
アディル
この情報すべてに感謝します!
WPBeginnerサポート
どういたしまして
管理者
マーク・バナー
ここにはいくつか良いヒントがあります。すでに多くを使用していますが、他にいくつか検討すべき分野があります。
WPBeginnerサポート
ありがとうございます、当社の推奨事項を気に入っていただけて嬉しいです
管理者
チュクウェメカ・エブカ
この記事に大変感謝しています。すべてwpbeginner.comのおかげです。
WPBeginnerサポート
どういたしまして。当社の記事がお役に立てて嬉しいです
管理者
ハイジ
素晴らしい記事、ありがとうございます!コーディングが必要なものを除いて、ほとんどのことをすでに実行したと思います。ただし、管理フォルダのパスワードを設定する際に問題が発生しました。cPanel(「ディレクトリプライバシー」の下)でその方法を理解しましたが、ダッシュボードに戻るとロックアウトされていました。その後、Bluehostのチャットサポートで1時間以上費やしましたが、私が疑っていたことが判明しました。BluehostからWPにログインすると、管理エリアに直接移動するため、管理フォルダにログインする機会がなく、ロックアウトされるだけです。これはBluehostの問題であり、彼らが私に与えた唯一の解決策はプラグインをインストールすることでした
WPBeginnerサポート
ホスティングダッシュボードからサイトにログインするためのリンクを使用している場合はそうかもしれませんが、ドメインに「/wp-admin」を追加すると、ログインページに移動し、追加のログイン要件が表示されるはずです。
管理者
ハイジ
はい、ありがとうございます。試してみます。
ジュリアン・ソング
セキュリティに関する素晴らしい記事です。WordPressのセットアップは簡単ですが、管理するには多くの学習と調査が必要です。あなたのブログは、あなたが想像する以上にコミュニティに役立っています。最近のWordPressミートアップでも、最高のガイドラインの一つとしてあなたのブログを共有しました。
WPBeginnerサポート
温かいお言葉と記事の共有をありがとうございます
管理者
マリス
ありがとうございます!
WPBeginnerサポート
どういたしまして、ガイドがお役に立てて嬉しいです
管理者
シヴァ・プラサド
良いメンターでいてくれて、正しい道に導いてくれてありがとう。あなたには常に感謝しています。
WPBeginnerサポート
私たちのガイドがお役に立てて嬉しいです
管理者
マージド
こんにちは、
WordPressは初めてで、ウェブサイトのホスティングにBluehostを使用しています。WordPressボタンをクリックすると、パスワードを尋ねられることなく、自動的にcPanelに移動しました。どのパスワードについて話していますか?
追伸:右上隅に「こんにちは、私の名前…」と表示されていますが、それは私のユーザー名ということですか?
BluehostにWordPressをインストールした記憶はありませんし、WordPress用に個別にユーザー名やパスワードを入力したこともありません。
お願いします。
WPBeginnerサポート
これは、WordPressサイトのセットアップを容易にするためのBlueHostのツールです。この記事では、WordPressサイトのパスワードについて説明しています。サイトのパスワードは、[ユーザー] > [プロフィール] で変更できます。「こんにちは」の横の名前は、あなたのユーザー名であるはずです。
管理者
テレンス・ビッカース
XML-RPCセクションにタイプミスがある可能性があり、少々混乱を招いています。
現在、「XML-RPCを使用していない場合は、無効にすることをお勧めします。」と表示されています。
もし私がそれを使用しない場合、おそらくそれを無効にする方法はないでしょう。
WPBeginnerサポート
混乱させてしまい申し訳ありません。その記述は、特定のプラグインやその他の目的で使用していない場合は、無効にするのではなく無効にすることを推奨するという意味です。明確にするために確認します
管理者
サイード・ガッラーニ
WordPressを最新の状態に保つことがセキュリティにとって不可欠であることは理解していますが、セキュリティの観点から、すべてのプラグインを更新する必要があるのでしょうか?古いプラグインはどのようにウェブサイトをハッキングされやすくするのですか?
WPBeginnerサポート
プラグインによっては、サイトが脆弱になる可能性がありますが、一部のプラグインには、新たに発見されたコードの問題に対して古いコードが含まれている場合があります。
管理者
デビッド・アノジー
本当にありがとうございます!あなたはボスです。
WPBeginnerサポート
読者になっていただきありがとうございます
管理者
ニック
robots.txt を介して検索エンジンスパイダーがディレクトリをインデックス化するのをブロックすることは、セキュリティに役立ちますか?
WPBeginnerサポート
いいえ、それは単に検索クローラーがあなたのサイトを見ないことを意味するだけです。
管理者
寒星
WPの維持に本当に役立ちます。気に入っています。本当にありがとうございます。
WPBeginnerサポート
どういたしまして、記事がお役に立てて嬉しいです
管理者
ペグ
苦労して学んでいます! :) あなたを見つけられて本当に嬉しいです。GoDaddyでホストされているハッキングされた5年前のサイト(管理画面に全く入れない)があり…彼らは修理に300ドルを要求するので、Bluehostで再構築し、あなたのセキュリティ提案を実装しています。もっとたくさん学ぶのを楽しみにしています!このリソースを本当にありがとうございます。
WPBeginnerサポート
どういたしまして。当社のガイドがお役に立てて嬉しいです
管理者
ジェフ・モイヤー
素晴らしい包括的なリスト、ありがとうございます!ログイン試行回数を制限することは、多くのハッカーを最初から思いとどまらせるため、非常に重要だと思います。パスワードを紛失したり忘れたりするとイライラするかもしれませんが、それでも十分に価値があります。
WPBeginnerサポート
どういたしまして、私たちの記事を気に入っていただけて嬉しいです
管理者
タンメイ・カプセ
素晴らしい詳細な投稿です!! すべてが完璧に説明されています。これからも頑張ってください
WPBeginnerサポート
ありがとうございます。私たちのコンテンツを気に入っていただけて嬉しいです
管理者
サニー・チャウラ
私のサイトを改善するためのサポートページをありがとうございます
WPBeginnerサポート
私たちのガイドがお役に立てて嬉しいです
管理者
サントシュ・ナイカー
社内ネットワーク(オフィスのネットワーク内のシステムにのみアクセス可能)でホストされている場合、どのようなことに注意する必要がありますか?
WPBeginnerサポート
イントラネットの主な懸念事項は、各ユーザーが自分の役割に適した権限を持っていることを確認することです。その後、ブルートフォース攻撃などから自分自身を保護することになります。
管理者
スティーブン・サスリック
この投稿や他の多くの投稿が非常に役立つと感じています。ハッキングに関する質問があります。Googleアナリティクスで、実際には投稿に存在しない奇妙なページが報告されています。すべて /?s= のようになっています。例:/?s=dox。ソースが見つかりません。何か提案はありますか?
WPBeginnerサポート
これらのページは、サイトの検索を使用しているユーザーからのものです。2番目の例では、誰かが「dox」という単語を検索しました
管理者
エマニュエル・イケチュクウ
これは私が今までに出会った中で最高のWordPressオンラインチューターです。
WPBeginnerサポート
記事がお役に立てて嬉しいです
管理者
ボビー・キャンプ
この記事は非常に参考になりました。私は全くの初心者で「テックに詳しくない」ため、あらゆる助けが必要です。分かりやすい説明に感謝します。
WPBeginnerサポート
当社の記事がお役に立てて嬉しいです
管理者
ジェームズ
とても参考になります。ありがとうございます。
WPBeginnerサポート
どういたしまして
管理者
ニコラス・アモール・ゴメス
サイト改善に役立つページをありがとうございます
WPBeginnerサポート
どういたしまして
管理者
ブラッド・ヴィンセント
皆さん、こんにちは。
Sucuriについては、あなたの言及に同意せざるを得ません。長年にわたり、私のハッキングされたサイトをいくつか解決してくれました。一銭の価値があります!
必要な情報がすべて含まれたこれらの詳細な投稿が本当に気に入っています。あなたのウェブサイトのスピードに関する投稿を参考にさせてもらい、私のサイトに大きな違いをもたらしました。それが終わったら、間違いなくこの記事も参考にさせてもらいます。
素晴らしい仕事、そして大変感謝しています。
WPBeginnerサポート
ありがとうございます。当社の記事がお役に立つとのこと、嬉しいです
管理者
ブライアン
同じWPインストールでWordfenceとSucuriについてどう思いますか?機能が似ているように見えるので、1つのセキュリティツールだけの場合と比べて、両方でどれだけ多くの機能が得られるか疑問に思っています。Wordfenceは妥当な代替手段ですか?
WPBeginnerサポート
プラグイン間の競合を防ぐため、一度に1つのみの使用をお勧めします。
管理者
マーク
WordfenceとSucuriを異なる機能で使用しています。一見競合するように見えますが、実際には補完的な関係にあります。両方を同時に実行しても問題はありません…今のところ…しかし、一般的にプラグイン間の互換性の問題がないわけではありません。