WordPressウェブサイトを安全に保つことは、健康管理と同じように継続的なプロセスです。WordPressは安全性を考慮して設計されていますが、問題が発生する可能性はあります。これらの問題は、古いプラグイン、弱いパスワード、あるいはウェブホスティングの設定によって引き起こされる可能性があります。
WPBeginnerでは、WordPressのセキュリティ監査をウェブサイトの健康診断と考えています。これにより、誰かが悪用する前に脆弱性を見つけて修正することができます。サイトを健全に保ち、含まれる情報を保護します。
この記事では、問題や中断を引き起こすことなく、WordPressウェブサイトのセキュリティ問題をチェックする方法を紹介します。
WordPressセキュリティ監査とは?
WordPressウェブサイトのセキュリティ監査を実行することは、セキュリティ侵害の兆候がないかサイトをチェックすることを意味します。WordPressチェックを実行して、不審なアクティビティ、悪意のあるコード、またはパフォーマンスの異常な低下を探すことができます。
手動で実行できる簡単な手順に従って、基本的なセキュリティ監査を実行する方法を説明します。また、WordPressのセキュリティ監査ツールやサービスを使用して、セキュリティチェックを自動的に実行する方法も紹介します。
不審なものを見つけた場合は、それを特定、削除、修正できます。
WordPressのセキュリティ監査を実行するタイミング
WordPressのセキュリティ監査は、少なくとも四半期に一度実行する必要があります。これにより、すべてを把握し、問題が発生する前にセキュリティの脆弱性を閉じることができます。
ただし、以下のような不審な点に気づいた場合は、直ちにセキュリティ監査を実行する必要があります。
- ウェブサイトが突然遅くなり、応答が悪くなります。
- ウェブサイトのトラフィックが減少していることに気づく。
- ウェブサイトに不審な新しいアカウント、パスワードリセットのリクエスト、またはログイン試行があります。
- ウェブサイトに不審なリンクが表示される。
それでは、WordPressのセキュリティ監査を簡単に実行する方法を見てみましょう。
基本的な手動WordPressセキュリティ監査の実行
ここに、ウェブサイトで基本的な手動WordPressセキュリティ監査を実行するために取ることができるいくつかのステップのチェックリストがあります。
1. WordPressコア、プラグイン、テーマを更新する
WordPressのアップデートは、ウェブサイトのセキュリティと安定性にとって非常に重要です。セキュリティの脆弱性を修正し、新機能をもたらし、パフォーマンスを向上させます。
WordPressのコアソフトウェア、すべてのプラグイン、テーマが最新の状態であることを確認してください。WordPress管理画面内のダッシュボード » 更新ページにアクセスすると、簡単に確認できます。
WordPressは、利用可能なアップデートがあるかどうかを確認し、インストールするためにリストします。さらにヘルプが必要な場合は、WordPressを安全にアップデートする方法と、WordPressプラグインを適切にアップデートする方法に関するガイドを参照してください。
2. ユーザーアカウントとパスワードを確認する
次に、ユーザー » 全ユーザーページにアクセスして、WordPressのユーザーアカウントを確認する必要があります。そこにあるべきではない不審なユーザーアカウントを探してください。
オンラインストア、会員サイトを運営している場合、またはオンラインコースを販売している場合は、顧客がログインするためのユーザーアカウントがある可能性があります。
ただし、ブログやビジネスウェブサイトを運営している場合は、自分自身または手動で追加した他のユーザーのユーザーアカウントのみが表示されるはずです。
不審なユーザーアカウントが見つかった場合は、削除する必要があります。
さて、あなたのウェブサイトでユーザーアカウントの作成が必要ない場合は、設定 » 一般ページにアクセスし、「誰でも登録可能」オプションの横にあるチェックボックスがオフになっていることを確認する必要があります。
追加の予防策として、WordPressの管理者パスワードを変更する必要があります。サイトのパスワードセキュリティを強化するために、二要素認証を追加することを強くお勧めします。
3. WordPressセキュリティスキャンを実行する
次のステップは、ウェブサイトのセキュリティ上の脆弱性をチェックすることです。幸いなことに、マルウェアをチェックするために使用できるオンラインセキュリティスキャナーがいくつかあります。
マルウェアやその他のセキュリティ上の脆弱性がないかウェブサイトをチェックするIsItWPセキュリティスキャナーの使用をお勧めします。
これらのツールは優れていますが、ウェブサイトの公開されているページしかスキャンできません。この記事の後半で、より詳細な監査を実行する方法を紹介します。
4. ウェブサイトの分析を確認する
ウェブサイト分析は、ウェブサイトのトラフィックを追跡するのに役立ちます。また、ウェブサイトの健全性を示す良い指標でもあります。
ウェブサイトが検索エンジンによってブラックリストに登録された場合、ウェブサイトのトラフィックが突然減少します。ウェブサイトが遅いか応答しない場合、全体のページビューは減少します。
ウェブサイトのトラフィックを追跡するには、MonsterInsightsの使用をお勧めします。全体のページビューを表示するだけでなく、登録ユーザー、WooCommerceの顧客、フォームコンバージョンなどを追跡するためにも使用できます。
5. WordPressのバックアップを設定して確認する
まだ行っていない場合は、すぐにWordPressバックアッププラグインを設定する必要があります。これにより、何か問題が発生した場合に常にサイトのバックアップが確保されます。
多くの初心者は、WordPressバックアッププラグインを設定した後、それを忘れてしまいます。バックアッププラグインは、通知なしに動作を停止することがあります。バックアッププラグインがまだ動作しており、バックアップを保存していることを確認することをお勧めします。
WordPressの自動セキュリティ監査の実行
上記のチェックリストは、セキュリティ監査の最も重要な側面を確認するのに役立ちます。ただし、これは非常に徹底的なプロセスではないため、ウェブサイトがまだ脆弱である可能性があります。
例えば、すべてのユーザーアクティビティ、ファイルの違い、不審なコードなどを手動で記録し続けるのは困難です。ここで、セキュリティ監査を自動化し、すべてを記録するためのプラグインが必要になります。
いくつかのWordPressセキュリティプラグインの助けを借りて、このプロセスを自動化できます。
1. WP Activity Logでセキュリティ監査を自動実行
WP Activity Logは、市場で最高のWordPressアクティビティログおよびトラッキングプラグインです。
ウェブサイト上のすべてのユーザーアクティビティを追跡できます。すべてのユーザーログイン、IPアドレス、およびウェブサイトで行ったことを表示できます。
WooCommerceユーザー、エディター、著者、およびウェブサイトにアカウントを持つその他のメンバーを追跡できます。
追跡したいイベントをオンにし、監視したくないイベントをオフにすることもできます。
このプラグインは、ウェブサイトにログインしているすべてのユーザーのライブビューも表示します。不審なアカウントが見つかった場合は、すぐにセッションを終了してロックアウトできます。
WP Activity Logを使用してWordPressのユーザーアクティビティを監視する方法に関するガイドで詳細を確認できます。
2. Sucuriでセキュリティ監査を自動実行する
Sucuriは市場で最高のWordPressファイアウォールプラグインであり、ウェブサイトで利用できる最高のオールインワンWordPressセキュリティソリューションでもあります。
これは、疑わしいアクティビティがウェブサイトに到達する前にブロックすることで、DDoS攻撃からリアルタイムで保護します。これにより、サーバーの負荷が軽減され、ウェブサイトの速度/パフォーマンスが向上します。
WordPressファイルを不審なコードがないかチェックする組み込みのセキュリティプラグインが付属しています。ウェブサイト全体のユーザーアクティビティの詳細な確認もできます。
最も重要なのは、Sucuriは、すべての有料プランでマルウェア除去を無料で提供しています。これは、ウェブサイトがすでに影響を受けている場合でも、彼らのセキュリティ専門家があなたのためにそれをクリーンアップしてくれることを意味します。
WordPressセキュリティに関する専門家ガイド
この記事が、WordPressのセキュリティ監査をウェブサイトで実行する方法を学ぶのに役立ったことを願っています。WordPressのセキュリティに関連する他のガイドも参照することをお勧めします:
- WordPressでユーザーに強力なパスワードを強制する方法
- WordPressサイトをブルートフォース攻撃から保護する方法
- WordPressサイトがハッキングされる主な理由(&それを防ぐ方法)
- WordPressサイトがハッキングされた兆候(専門家のアドバイス)
- WordPressサイトを悪意のある可能性のあるコードからスキャンする方法
- ハッキングされた WordPress サイトのバックドアを見つけて修正する方法
- WordPressの災害復旧計画の作成方法
この記事が気に入ったら、WordPressのビデオチュートリアルについては、YouTubeチャンネルを購読してください。 TwitterやFacebookでもフォローできます。
デニス・ムトミ
SucuriをWordPressのオールインワンセキュリティソリューションとして推奨されていますね。WP Activity Logのような個別のプラグインが不要になるほど、Sucuriで代替できるか気になっています。
1つのプラグインで済むなら、サイトにプラグインが多すぎるのを避けたいです。
WPBeginnerサポート
代替したいプラグインの機能によりますが、Sucuriにはアクティビティログオプションがあります。
管理者
デニス・ムトミ
Sucuriが私のニーズに合うかどうかは、探している機能次第であるという素晴らしい指摘です。返信ありがとうございます!
エヴァ
日々のブルートフォース攻撃の試みに対抗するための最初のステップは、デフォルトのログインURLを変更することです。
WPBeginnerサポート
ログインURLを変更する代わりに、通常はLimit Login Attemptsのようなプラグインの使用をお勧めします。ログインURLを変更すると、初心者にとって問題が発生する可能性が高くなります。
管理者
エヴァ
ええ、私は両方やっています!そして、さらに多く。セキュリティは私の最優先事項です。おっしゃることはわかりますが、ほとんどの単語は、特に初心者にとっては /wp-admin や /wp-login と同じくらい覚えやすいと思います。
WPBeginnerサポート
ログインURLを覚えているかどうかよりも、URLを変更しようとしたときにエラーが発生するかどうかの方が重要です。ほとんどの初心者は、ログインアドレスを修正するためのツールを持っていません。
エヴァ
なるほど、良い点ですね!多くの場合、FTPでプラグインディレクトリの名前を変更するだけで無効化でき、/wp-loginから再度アクセスできるようになります。しかし、初心者には優しくないというのは分かります!
DW
はい、ログインURIを使用してもあまり意味がありません。「隠蔽によるセキュリティ」として知られるテクニックです。基本的に「隠す」ことによるセキュリティです。
誰かがあなたのウェブサイトに侵入することを決意した場合、「隠蔽によるセキュリティ」テクニックを使用しても、せいぜい数分遅らせるだけです。これは、ウェブサイトを適切に保護する代わりにはなりません。
ウェブサイトを適切に保護する方がはるかに良いでしょう。ブルートフォース攻撃を防ぐプラグイン、強力なパスワードの強制、少なくとも管理者アカウントに対する多要素認証の強制、そしてもし静的IPアドレスを持つ余裕があれば、管理者ページへのアクセスを自分のIPアドレスからのみ許可する.htaccessファイルを作成するといったテクニックは、すべてはるかに優れた解決策です。