ウェブサイトが侵害されたと知るほど悪いことはありません。WordPress管理エリアはハッカーの主な侵入口であり、サイトを保護する上で最も重要な部分です。
ブルートフォース攻撃やデータ盗難について考えるとストレスになることは承知しています。多くのウェブサイト所有者は、ダッシュボードを適切に保護するための技術的なスキルがないのではないかと心配しています。
素晴らしいニュースは、セキュリティの専門家でなくても大きな影響を与えることができるということです。何千ものWordPressサイトを管理してきた経験から、強力な防御を構築するには、いくつかの簡単な変更で十分であることがわかりました。
このガイドでは、管理エリアを保護するための最も効果的なヒントを順を追って説明します。これらの簡単な手順により、安心感が得られ、ウェブサイトを安全に保つことができます。
ここでは多くのヒントを紹介します。以下のクイックリンクを使用して、各ヒントにジャンプできます。
- 1. ファイアウォールを使用する
- 2. WordPress管理ディレクトリにパスワード保護をかける
- 3. 必ず強力なパスワードを使用する
- 4. WordPressログイン画面で二段階認証を使用する
- 5. ログイン試行回数の制限
- 6. IPアドレスへのログインアクセスを制限する
- 7. ログインヒントを無効にする
- 8. ユーザーに強力なパスワードの使用を要求する
- 9. 全ユーザーのパスワードリセット
- 10. WordPressを常に最新の状態に保つ
- 11. カスタムログインおよび登録ページを作成する
- WordPressのユーザーロールと権限について学ぶ
- 13. WordPressダッシュボードへのアクセスを制限する
- 14. アイドルユーザーをログアウトさせる
- WordPress管理のセキュリティに関するよくある質問
- WordPress セキュリティに関する追加リソース
1. ファイアウォールを使用する
Webサイトアプリケーションファイアウォール(WAF)は、サイトのトラフィックを監視し、悪意のあるリクエストがサーバーに到達する前にブロックします。これは、ハッキング試行に対する最初の防御線です。
いくつかのWordPressファイアウォールプラグインがありますが、CloudflareのようなDNSレベルのファイアウォールをお勧めします。DNSレベルのファイアウォールは、脅威をネットワークエッジでブロックするため、悪意のあるトラフィックがウェブサイトに到達することさえなく、より効果的です。
WPBeginnerでは、ハッキングの試み、マルウェア、その他の悪意のあるアクティビティからウェブサイトを保護するためにCloudflareのエンタープライズプランを使用しています。ステップバイステップの設定手順については、ウェブサイトにCloudflareの無料CDNを設定する方法に関する記事をご覧ください。
もう1つの優れた選択肢は、以前使用していたSucuriです。詳細については、SucuriからCloudflareに切り替えた理由に関する記事をご覧ください。
2. WordPress管理ディレクトリにパスワード保護をかける
私たちが非常に効果的だと感じたもう一つのヒントは、WordPress管理ディレクトリにパスワード保護を追加することです。これにより、ダッシュボードにアクセスするために2つの異なるパスワードが必要となり、防御層が追加されます。
これは、WordPressウェブホスティングコントロールパネルから行うことができます。cPanelの手順は次のとおりです。
- WordPressホスティングのcPanelダッシュボードにログインし、「ディレクトリプライバシー」アイコンをクリックします。
- 通常、
/public_html/ディレクトリ内にあるwp-adminフォルダを選択します。 - 「このディレクトリにパスワード保護を適用する」の横にあるチェックボックスをオンにし、名前を入力します。
- 「保存」をクリックしてから、新しいユーザー名とパスワードでユーザーを作成するために戻ってください。
これで、管理ログインページにアクセスしようとする人は誰でも、最初に認証プロンプトが表示されます。
これにより、ほとんどの自動ボット攻撃を防ぐことができます。
詳細な手順については、WordPress管理画面(wp-admin)ディレクトリにパスワード保護をかける方法に関するガイドをご覧ください。これらの手順はcPanelを使用しているホスト向けです。異なるコントロールパネルを使用している場合は、ホストのドキュメントを確認してください。
3. 必ず強力なパスワードを使用する
すべてのWordPressアカウントには、強力で複雑なパスワードを使用する必要があります。弱いパスワードは、ウェブサイトがハッキングされる最も一般的な理由の1つです。
強力なパスワードは、大文字と小文字の英字、数字、および特殊文字(!、#、@、%、など)の組み合わせを使用します。長いほど安全になります。
何十もの複雑なパスワードを覚えることはほぼ不可能です。そのため、WPBeginnerのチーム全体で、1Passwordのようなパスワードマネージャーアプリを使用して、すべてのサービスに対してユニークなパスワードを安全に生成および保存しています。
このトピックに関する詳細については、WordPress初心者のためのパスワード管理の最良の方法に関するガイドをご覧ください。
4. WordPressログイン画面で二段階認証を使用する
2段階認証(ツーファクター認証、2FAとも呼ばれる)は、もう1つの重要なセキュリティレイヤーを追加します。私たちはWordPressウェブサイトだけでなく、オプションが利用可能なすべてのオンラインアカウントで2FAを使用しています。
パスワードを入力した後、携帯電話上のアプリ(1PasswordやAuthenticatorなど)で生成された時間制限のあるコードも提供する必要があります。ハッカーがパスワードを盗んだとしても、携帯電話なしではログインできません。
詳細なステップバイステップの手順については、Google Authenticatorを使用してWordPressで2段階認証を設定する方法に関するガイドを参照してください。WordPressでGoogle Authenticatorを使用して2段階認証を設定する方法。
5. ログイン試行回数の制限
デフォルトでは、WordPressではユーザーは何回でもログインを試みることができます。これにより、ハッカーは「総当たり攻撃」として知られる、何千ものパスワードの組み合わせを試す自動スクリプトを使用できます。
Limit Login Attempts Reloadedプラグインをインストールすることで、これを簡単に停止できます。有効化後、設定 » Limit Login Attemptsに移動して、IPアドレスが一時的にブロックされる前に許可される失敗した試行回数を設定します。
詳細な手順については、WordPressでログイン試行を制限すべき理由に関するガイドを参照してください。
プラグインの詳細については、当社の詳細なLimit Login Attempts レビューもご覧いただけます。
6. IPアドレスへのログインアクセスを制限する
警告: これは高度なテクニックであり、静的(固定)IPアドレスを持っている場合にのみ使用してください。ほとんどの家庭用インターネット接続は、定期的に変更される動的IPを使用しています。動的IPでこの方法を使用すると、自分自身でウェブサイトにアクセスできなくなります。
固定IPアドレスがある場合は、管理者エリアへのアクセスをそのアドレスのみに制限できます。このコードを.htaccessファイルに追加するだけです。
「xx」の値をあなた自身のIPアドレスに置き換えることを忘れないでください。Googleで「私のIPアドレスは何ですか」と検索すると、現在のIPアドレスを簡単に見つけることができます。複数のIPアドレスを使用している場合は、それらも追加してください。
詳細な手順については、.htaccessを使用してWordPress管理へのアクセスを制限する方法に関するガイドを参照してください。
7. ログインヒントを無効にする
ログインに失敗した場合、WordPressはユーザー名またはパスワードが間違っていることを通知します。これはユーザーには便利ですが、攻撃者にとっても有効なユーザー名を特定するヒントとなり、作業を容易にします。
テーマのfunctions.phpファイルに次のコードを追加することで、これらのヒントを非表示にできます。ただし、WPCodeのようなコードスニペットプラグインを使用することをお勧めします。サイトのエラーを発生させるリスクなしにカスタムコードを管理する、はるかに安全な方法です。
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
詳細については、WordPressでウェブサイトを壊さずにカスタムコードを簡単に追加する方法に関するガイドをご覧ください。
8. ユーザーに強力なパスワードの使用を要求する
複数の著者を持つWordPressサイトを実行している場合、弱いパスワードを持つ単一のユーザーが全員に脆弱性をもたらす可能性があります。これを防ぐために強力なパスワードポリシーを強制できます。
これを行うには、SolidWPチームが作成したSolid Security(旧iThemes Security)プラグイン(Solid Security)をインストールして有効化できます。
次に、WordPressでユーザーに強力なパスワードを強制する方法に関する完全ガイドの手順に従ってください。
9. 全ユーザーのパスワードリセット
マルチユーザーWordPressサイトでは、すべてのユーザーにパスワードのリセットを強制することでセキュリティを向上させることができます。これは、セキュリティ侵害が疑われる場合や、新しいパスワードポリシーを強制したい場合に特に役立ちます。
まず、Emergency Password Reset プラグインをインストールして有効化してください。有効化したら、ユーザー » Emergency Password Reset ページに移動し、「すべてのパスワードをリセット」ボタンをクリックします。
詳細な手順については、WordPressの全ユーザーのパスワードをリセットする方法に関するガイドを参照してください。
10. WordPressを常に最新の状態に保つ
WordPressは、機能を追加したりセキュリティの脆弱性を修正したりするために、新しいバージョンを頻繁にリリースします。古いバージョンのWordPress、プラグイン、またはテーマを実行することは、あなたが犯す可能性のある最大のセキュリティリスクの1つです。
WordPressのコアソフトウェア、およびすべてのプラグインとテーマの最新バージョンを使用していることを常に確認してください。詳細については、WordPressの最新バージョンを常に使用すべき理由に関するガイドを参照してください。
11. カスタムログインおよび登録ページを作成する
ユーザー登録が必要なサイト(メンバーシップサイトやオンラインストアなど)では、カスタムのログインおよび登録ページを作成する必要があります。
これにより、管理者以外のユーザーがデフォルトのWordPressログイン画面を表示したりアクセスしたりする必要がなくなります。よりプロフェッショナルなユーザーエクスペリエンスを提供し、メンバーや顧客に影響を与えることなく標準のwp-adminアクセスを完全にロックダウンできます。
これを行う最も簡単な方法は、強力なユーザー登録アドオンを備えたWPFormsのようなプラグインを使用することです。詳細な手順については、WordPress でカスタムログインページと登録ページを作成する方法に関するガイドをご覧ください。
WordPressのユーザーロールと権限について学ぶ
WordPressには、さまざまなロールと権限を持つ組み込みのユーザー管理システムがあります。間違ったロールを割り当てると、ユーザーが必要とする以上の権限を与えてしまい、潜在的なセキュリティリスクを生み出す可能性があります。
サイトにユーザーを追加する前に、各ロールが何を実行できるかを理解することが重要です。以下に5つのデフォルトのロールを示します。
- 管理者: サイト上のすべての設定とコンテンツにフルアクセスできます。
- エディター:他のユーザーの投稿を含む、すべての投稿を公開および管理できます。
- 著者: 自分の投稿のみを公開および管理できます。
- 投稿者: 自分の投稿を作成および管理できますが、公開することはできません。
- 購読者: 自分のプロフィールにログインして管理することしかできません。
完全な内訳については、WordPress のユーザーロールと権限に関する初心者向けガイドをご覧ください。
13. WordPressダッシュボードへのアクセスを制限する
一部のサイトでは、特定のユーザーがWordPressダッシュボードに全くアクセスする必要がない場合があります。デフォルトでは、権限が制限されているユーザーでも、ログインして管理画面を表示できます。
これを修正するには、Remove Dashboard Accessプラグインをインストールして有効化します。有効化後、設定 » ダッシュボードアクセスに移動し、管理エリアにアクセスできるユーザーロールを選択します。他のユーザーはホームページまたは別のURLにリダイレクトできます。
WordPressでのダッシュボードへのアクセスを制限する方法については、WordPressでのダッシュボードへのアクセスを制限する方法のガイドをご覧ください。
14. アイドルユーザーをログアウトさせる
コンピューターから離れるログインユーザーは、セキュリティリスクとなる可能性があります。コンピューターが公開されている、または共有されている場合、他の誰かがそのアカウントにアクセスする可能性があります。
この問題は、Inactive Logout プラグインをインストールすることで解決できます。設定 » Inactive Logout に移動し、時間制限を設定してください。その非アクティブ期間が経過すると、ユーザーは自動的にログアウトされます。
詳細については、WordPressでアイドル状態のユーザーを自動的にログアウトする方法に関する記事をご覧ください。WordPressでアイドル状態のユーザーを自動的にログアウトする方法。
WordPress管理のセキュリティに関するよくある質問
WordPressの管理画面を保護するために最も重要なステップは何ですか?
Webアプリケーションファイアウォール(WAF)の使用は、最も重要な最初のステップです。CloudflareやSucuriのような優れたファイアウォールは、悪意のあるトラフィックがサイトに到達する前にブロックし、幅広い攻撃を防ぎます。
wp-adminディレクトリをパスワードで保護することは本当に必要ですか?
必須ではありませんが、非常に効果的です。認証の第2層を追加することで、ログインページに総当たり攻撃を仕掛けようとする自動ボットをほぼすべて阻止できます。これは、セキュリティを大幅に向上させる簡単な変更です。
これらのヒントに従うと、自分のサイトからロックアウトされる可能性はありますか?
はい、注意しないとそうなる可能性があります。ログインアクセスを特定のIPアドレスに制限するというヒントは、静的IPを持つ上級ユーザーのみを対象としています。通常の動的IPアドレスを使用している場合、自分自身をロックアウトしてしまいます。.htaccessのようなファイルを編集する前に、必ずサイトをバックアップしてください。
WordPress セキュリティに関する追加リソース
この記事が、WordPress管理エリアを保護するための新しいヒントやハックを学ぶのに役立ったことを願っています。
ウェブサイトを安全に保つためのその他の専門家向けガイドもご覧ください。
- WordPressセキュリティの究極ガイド – ステップバイステップ
- サイトを保護するための最高のWordPressセキュリティプラグイン(比較)
- WordPressサイトを悪意のある可能性のあるコードからスキャンする方法
この記事が気に入ったら、WordPressのビデオチュートリアルについては、YouTubeチャンネルを購読してください。 TwitterやFacebookでもフォローできます。
Olaf
セキュリティは単に基本的であり、管理エリアはWordPress全体のサイトを制御するため、最も重要な部分です。これにより、WordPressが数千万ものウェブサイトを支えていることを考えると、管理エリアを標的としたハッキングの試みがますます一般的になっています。したがって、ハッカーの努力はますます顕著になっています。これは本当に優れた主要要素のリストです。すべてを実装する必要はないかもしれませんが、いくつかだけでもウェブサイトのセキュリティを大幅に向上させることができます。強力なパスワード、二要素認証、ログイン試行回数の制限の組み合わせは非常に堅牢であり、管理エリアは事実上破られないように思われます。
デニス・ムトミ
私自身のWordPressサイトでハッキングの試みを経験しました。特に、強力なパスワードと二要素認証の使用を強調している点が気に入っています。セキュリティ侵害が発生した場合に備えて、ウェブサイトを定期的にバックアップすることも重要であると付け加えたいと思います。
イジー・ヴァネック
あなたのヒントの多くを使用し、さらに、潜在的なブルートフォース攻撃を防ぐために管理URLを変更しました。強力なパスワードに関して、デフォルトの「admin」ユーザーを使用しないこともお勧めします。これは、ハッカーがブルートフォースで攻撃しようとする最初のユーザーだからです。個人的には、WordPressをインストールするときは、「admin」ユーザーを使用せず、常にカスタム名を選択します。これは小さな詳細ですが、セキュリティにも貢献できます。
Mrteesurez
これらのヒントとトリックをすべて実装できれば、ハッカーが侵入する方法はないと思います。
ログイン試行回数の制限やダッシュボードへのアクセスなど、いくつか試しましたが、うまくいきました。最大限のセキュリティのために、他のものも実装するつもりです。
イジー・ヴァネック
WordPressは複雑なシステムであり、管理画面のセキュリティ対策だけでは不十分です。ハッカーが攻撃する方法は常に存在します。FTPを標的にして機密性の高いデータベース情報を入手したり、保護が不十分なMySQLを悪用しようとしたり、あるいは更新する前にプラグイン、テーマ、またはWordPress自体に新たに発見された脆弱性を悪用しようとしたりする可能性があります。したがって、常に包括的に考え、MySQL、FTP、WordPressコンポーネントなどのシステムの他の要素を忘れないことが重要です。
モイヌディン・ワヒード
WordPress管理ダッシュボード保護のための必須のヒントとコツ。
管理ログインには二要素認証を使用し、管理アクセスにはログイン制限も設定しました。
ダッシュボードが侵害された場合、深刻な影響が出る可能性があるため、ダッシュボードの保護は最重要です。
ダッシュボードを保護するためにこれほど多くの手順があるとは知りませんでした。
ダッシュボード保護のための網羅的なヒントリストをありがとうございます。
WPBeginnerサポート
リストがお役に立てたようで嬉しいです!
管理者
Theo
「このプラグインは2020年11月23日に閉鎖され、ダウンロードできません。この閉鎖は永久的なものです。」
この記事が3年半前のものだと知っています!
誰かが代替案を提案してくれるといいのですが!お時間をいただきありがとうございます!
WPBeginnerサポート
代替案を検討します。
管理者
Raksa Sav
WordPressに管理者を招待した場合、その管理者を削除したり、WordPressサイトを乗っ取ったりすることはできますか?
WPBeginnerサポート
Raksaさん、こんにちは。
はい、他の管理者を削除してあなたのウェブサイトを乗っ取ることができます。
管理者
Muchsin
質問があります。
この記事のチュートリアルディレクトリのプライバシーを試しましたが、問題なく動作します。しかし、一つ問題があります。それは、ウェブサイトのナビゲーションメニューにある検索機能をユーザーとして試したときに、常にそのディレクトリのユーザー名とパスワードの入力を求められることです。この問題をどのように解決すればよいでしょうか?
tagdivのNewspaperテーマを使用しています。
sherizon
eコマースサイトを始めるにあたって、WordPressを使っても良いですか?最善のアドバイスは何ですか?
WPBeginnerサポート
Sherizonさん、こんにちは
はい、可能です。オンラインストアの始め方については、こちらのガイドをご覧ください。オンラインストアの始め方。
管理者
ブレンダ・ドノバン
ここに良いヒントとコツがあります。ブロックヒントスクリプトをfunctions.phpファイルのどこに配置しても問題ありませんか?一番下に追加するだけで良いですか?
WPBeginnerサポート
ブレンダさん、
はい、一番下に追加してください。
管理者
Joe
WPサイトを保護するためのもう1つの非常に役立つ方法は、管理者でもなく、メールアドレスでもないログインを使用することです。WP@#%のようなユニークなログイン名、またはそれに類するクレイジーなものを使用してください。
ドラゴシュ
wp-adminのデフォルトフォルダのインストール場所も変更する必要があります。
Abhinav S Thakur
これを直せる人はいますか?
管理者のみSSLを強制し、サイトの残りの部分はHTTPにするにはどうすればよいですか?
wp beginner のような非SSLサイトのように!
WordPress、cPanel を実行しています
Pinkey
こんにちは、
コンテンツベースのウェブサイトを始めたばかりなのですが、残念ながらサイトがハッキングされてしまいました。今後のハッキングを防ぐための適切なソリューション(ソフトウェア/証明書など)についてアドバイスをお願いします。
ありがとうございます。よろしくお願いいたします。
Pinkey
ルーシー・バレット
追加されたヒントは非常に役立ちます。しかし、WordPressのセキュリティに関しては、ログインエリアのセキュリティにもっと重点を置く必要があります。管理者ログインエリアの強化にもっと注意を払う必要があります。
ジョン
wp-login.phpを削除してもブルートフォース攻撃を防げない理由について何か考えはありますか?ログインのみが必要なサイトの簡単な修正だと思っていました。必要に応じてファイルを置き換えるだけですか?
ヘルプをお願いします!
Craig
管理メッセージの削除を除けば、素晴らしいアドバイスです。セキュリティのためにユーザーエクスペリエンスを低下させているのであれば、それは正しく行っていません。
Tahir
スマートコレクション…!!
タルハ
どうもありがとうございます。ウェブサイトを持っています。そこで設定します。
Pat Fortino
このプラグインは存在しません: Stealth Login
代替案を推奨してもらえますか?
ありがとう
Lori
「ハッキングロボットがリンクをたどれないように、サイトから管理ページへのリンクを削除するように」とも言われました。これが何を意味するのか、どうすれば実行できるのかよくわかりません…これが何を意味するのか、そしてそのためのステップバイステップの指示を教えてくれる人はいますか?
(ウェブサイトのどこにも管理ページへのリンクが表示されず、以前あったかどうかも覚えていません。管理ページにアクセスする唯一の方法は、/wp-adminアドレスにアクセスすることです。)
エミリー・ジョンズ
素晴らしい情報です!
専門家ではないブロガーやコーダーには、物事を簡単にするためにWordPressプラグインをインストールすることをお勧めします。
あなたが言及したものの中から、「Wordfence Security」プラグインは、ブログを保護し、より速くするための無料ソリューションだとわかりました。
テスト済みで満足しています!
Barry Richardson
WPサイトの元のユーザー名(例:「admin」)は削除できないという印象を持っていました。そのため、新しいユーザー名を追加したとしても、元の「admin」は潜在的なハッカーが悪用できる状態で残ってしまうと考えていました。
WPBeginnerサポート
管理者ロールを持つ新しいユーザーアカウントを作成した場合、管理者ユーザーを安全に削除できます。
管理者
Sandeep Jinagal
WPBeginner様、まず、あなたは最高中の最高ですよね???
そして、あなたのログインページのように私のログインページを設定したいのですが、どうすればよいか知りたいです。あなたのログインページを開こうとすると、ログインのためのポップアップが表示されます。そのツールを教えていただけますか?
WPBeginnerサポート
WordPress管理ディレクトリをパスワードで保護する方法については、WordPress管理ディレクトリをパスワードで保護する方法をご覧ください。
管理者
Kheti
この教育的な資料をありがとうございます。非常に役立ちます。良い仕事とサポートをありがとうございます。
ifaheem
素晴らしい記事ですが、更新が必要です。上記のすべてのタスクを1つのプラグインで実行できる素晴らしいプラグインがいくつかあります!
My site was under heavy attacks, fake google bot were always there. I noticed up to 300 Hits from a single IP. the most visited area was wp-admin
上記の手順を実行した後(いくつかの調査で更新)、少し安全だと感じています。
少なくとも5件のレビューを読む前にプラグインをインストールしないでください。彼らは真実を語っています(悪いレビューを選んで、彼/彼女が何を言っているか見てください。彼らは何か悪いことを経験しました!
Prince Jain
Thank you for such a great post.
しかし、そのStealth Login Pluginを更新してください。ログインウィンドウのカスタムURLを作成するのではなく、WordPressのログインウィンドウのユーザー名とパスワードの下に認証コードを追加します。
また、ログインウィンドウのカスタムURLを作成するためのプラグインを提案していただけますか?
ミッチェル・ミラー
Stealth LoginはWPプラグインリポジトリから削除されました。
しかし、wp-login.phpのリンクを変更することは、WordPressサイトを保護するための最初のステップです。
laya rappaport
ウェブサイトの作業を依頼した人にログイン情報を渡したところ、その人がログイン情報を変更してしまい、WordPressアカウントにアクセスできなくなってしまったらどうなりますか?
ジェームズ・キャンベル
サイトの情報を取得する方法があるかどうかはわかりませんが、もし可能であれば、常に新しいユーザーを作成し、その特定のユーザーを通じて他の人にアクセス権を与えてください。これにより、特定の領域へのアクセスを制限でき、不要になったときにアクセスを削除することもできます。サイトへのアクセスを譲渡すると、相手にブロックされる可能性があります。
Lisa Wells
もし誰かがあなたのWordPressユーザー情報を変更した場合、phpMyAdminなどを介してデータベースにログインできることを願っています。そこから、テーブルに直接新しい管理者ユーザーを作成できます。
https://www.wpbeginner.com/wp-tutorials/how-to-add-an-admin-user-to-the-wordpress-database-via-mysql/
user4574
記載されていないもう一つの役立つ項目は、データベース権限です。WordPressのデータベースユーザーは、通常、すべての権限を付与する必要はありません。ほとんどの場合、ALTER、CREATE、CREATE TEMPORARY TABLES、DELETE、DROP、INDEX、INSERT、LOCK TABLES、SELECT、UPDATEのみが必要です。
MySQLで直接行う場合、次のようになります。
GRANT ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE ON .* TO ”@’localhost’;
cPanelなどで実行している場合は、db_userに権限を付与する際に適切なボックスをオンにするだけです。
タンモイ・ダス
初心者向けの素晴らしいヒントです!ログインURLを常に変更したいのですが、方法がわかりません。これらのヒントをありがとう。
Derick
@Daniel: ハッカーは現在、ロールを含むすべてのユーザー名を列挙/リストするツールを持っているので、それを行ってもハッカーをだますことはできません。
ソーリル
WPサイトにLimit Login Attemptsプラグインをインストールしました。そのうちの1つで、ほぼ瞬時にロックアウトに気づきました。それはルートにあった唯一のインストールでもありました。他のすべてはサブディレクトリにあり、数時間後でもロックアウトは登録されていません。
これは、セキュリティの観点から役立つ要因でしょうか?
Mary
こんにちは、お元気でお過ごしでしょうか。
この記事は素晴らしいものでしたが、私には少し難解でした。
今は簡単な方法が必要なので、WordPressのファイアウォールプラグインは良さそうでしたが
ログインページを失うのが怖い。
FTPで作業しようと長い時間を費やしましたが、理解できませんでした。
これは怖がりな猫にも良いプラグインになりますか?? ありがとう メアリー
Ed van Dun
Bullet Proof Securityについてはどうですか?上記で言及されているいくつかの領域と、さらに多くの領域をカバーしています。
Prodip
上記のヒントはすべて、私のブログをより安全にするのに役立ちました。
ショーン・マレン博士
これは素晴らしい情報ですが、更新してください!ありがとうございます
ゲスト
この記事が2009年のものだと知っていますが、これらのプラグインの多くが最新のWordPress(3.4.x-3.5)と「公式に」互換性がなくなっているので、更新版を作成してもらえませんか?
編集スタッフ
はい、他のいくつかのことと並行して作業中です。私たちは最善を尽くしています。お知らせいただきありがとうございます。
管理者
whoiscarrus
WP開発にちょうどハマり始めたところで、感謝してもしきれません!私のような初心者には素晴らしいです!
abhizz
WordPressに関する素晴らしいヒントをありがとうございます
Bigdrobek
素晴らしいチュートリアルですが、更新していただけますか?
プラグインがいくつか存在しない、古い、またはWordPress.orgによって非表示にされています。
–ステルスログイン
– ログインロックダウン
– 管理SSL
ステップ1)カスタムログインリンクの作成に興味があります。同様の機能を持つ新しいプラグインのヒントはありますか?
Faizan Elahi ( BestBloggingTools)
This is a great resource. Thanks
mattjwalk
パスワードの代わりに「二要素認証を使用する」をリストに追加することもできます。新しいウェブサイト認証方法として、https://www.shieldpass.com では安価なアクセスカードを購入し、WordPressプラグインをインストールします。その後、カードを画面にかざすと、静的なパスワードの代わりに動的なログイン番号が表示されます。トランザクション番号をエンコードして相互認証を行うこともできるため、中間者攻撃(たとえラップトップやモバイルにアクセスできたとしても)を阻止できるという点でもユニークです。
Jermaine
No: 6 の問題は動的IPアドレスです。IPアドレスが変わるたびにロックアウトされますが、回避策はありますか?
編集スタッフ
IPアドレスが一致しない場合は、カスタムログインを追加できます。
管理者
vivek
素晴らしい投稿で、私のような新しいブロガーにとって良いガイドです
fareed
素晴らしい投稿で、私にとって非常に役立ちました。ありがとうございます。
Daniel
ハッカーは、管理者ユーザー名でログインして、ロールが「購読者」に設定されていることを発見したときに成功したと思います。これは、追加のセキュリティの一形態ではありませんか?フォーラムやブログにメッセージなどを投稿し、ユーザーにそれが管理者からのものであることを知ってもらいたいので、管理者アカウントを削除したくありません。また、通常のユーザー名も使用しています!
ジョナサン・K・コーエン
この記事は再検討が必要です。提案されているプラグインのいくつかはメンテナンスされておらず、WPの最新バージョンと互換性がない可能性があります。
これらには、#1、#3、#5が含まれます。
ジョン
WPS Hide Login というプラグインをチェックしてください
Greg
あなたの意見に完全に同意します。私はしばらくの間、WordPressでLimit Login Attemptsプラグインを使用しています。今日、このプラグインは時代遅れです。WP Cerberに切り替えました。
ダナン・スクマ
投稿ありがとうございます。
cPanelのwp-adminフォルダにパスワード保護を使用していますが、これで十分ですか?
mby
皆さん、なんて役立つ情報なんでしょう!きっと役に立ちますよ!!
投稿ありがとうございます!^_^