WordPress セキュリティ強化する

  • Naver ブログを共有する
  • Naver バンドに共有する
  • Facebook 共有する
  • Twitter 共有する
  • 카카오스토리공유하기

はじめ

ワードプレスは、さまざまなテーマやプラグインを使用することができているという点は、ワードプレスの最大の重点の一つです。 このように機能を拡張して、レイアウトを向上させるこれらのテーマとプラグインは、ワードプレスのセキュリティを弱体化させることができる原因にもなります。

したがって、なるべく使用するプラグインの数を減らし、新しい更新が出るとすぐに更新して最新の状態を維持しなければ、セキュリティの脅威から保護することができます。

最近になって特にワードプレスがマルウェアに感染したり、ハッキングにより被害を受けた事例がぐんぐん目立ちます。 しばらく前に、他のブログがホスティングされている 海外のウェブホスティング会社で「SiteLock」と協力して、セキュリティを強化したというメッセージを送ってきました。 それと共に、次のような事項が記載されました。

これらの検査で知られているマルウェアを識別して、悪意のあるものを検出すると、 検索エンジンでブロック(blacklist)前に行動を取ることができる時間を提供するために、すぐにメール警告を顧客に送信し、単純な「警報システム」の役割をします。

多くの時間と費用をかけて熱心に構築したサイトが検索エンジンで検索されていないようならば、本当に大きな問題ではないことができません。 実際 Google Blocks Thousands Of WordPress Sites Following Malware Attack(マルウェア攻撃の後、Googleで何千ものワードプレスのサイトをブロック)という記事のようにマルウェア感染によって、検索エンジンで退出ば...考えただけでも恐ろしいことです。

ワードプレスを安全に運営するために、次のようないくつかの点だけ考慮しても、多くの助けになるでしょう。 ちなみに以下の内容は、私がこのブログに散発的にあげた内容を総合して、いくつかの事項を追加しました。

ワードプレスでのセキュリティを強化するためのいくつかの措置

ユーザー名にadmin、administratorの使用禁止

スパムをブロックするプラグインをインストールして確認してみると、スパマーは 管理人, 管理者 などのID(ユーザー名)にログインしようとします。 (また、特異なのは デモというユーザー名でもよくしようね。)

今日、ほとんどの攻撃は、wp-admin / wp-loginに接続して、主に 管理人というユーザー名でログインしようとする形で行われています。 実際に近年のカフェ2 *でホストしているサイトがマルウェアに感染して数日前のデータとDBに復元させ、パスワードまですべて変更した後、私に連絡を太陽から見てみると、管理者IDで 管理人が使用されていました。

管理者のユーザー名が 管理人ある場合は、次のように管理者のユーザー名を変更するようです。

  • 新しいユーザーを追加します。
  • 役割を「管理者"として指定して保存します。
  • ログアウトした後に、新しく作成された管理者アカウントでログインします。
  • 以前の管理者アカウント(管理人)を削除します。

上記の操作が面倒な場合Username Changerのようなプラグインを使用します(「ワードプレスでは、ユーザー名(Username)を変更する"参照)。

強力なパスワードを使用

強力なパスワードを使用する必要がないという点は十分知っているので、特別な説明が必要ではないようです。 複雑で長い独特の(固有の)パスワードを使用するようにします。 他の人が簡単に推測できるパスワードを使用せずに、数字と大文字小文字と特殊記号を組み合わせて作成するようです。

パスワードを頻繁に忘れてしまう場合は、「パスフレーズを活用して、安全で覚えやすいパスワードを作る」を参照してみてください。

xmlrpc.phpを通じたBrute Forceの攻撃をブロックする

XML-RPCとは、XMLを使用して呼び出しとHTTPをトランスポートメカニズムとしてエンコードするリモートプロシージャコールと呼びます。 この機能を使用しない場合XML-RPCを無効にすることが、セキュリティ上の良いそうです。 ここを参照してみてください。

wp-loginページのパスを変更する

wp-loginのパスを変更して、セキュリティを強化する方法があります。 WPS Hide Loginというプラグインをインストールすると、Login URLを変更することができます。 詳細については、 この記事を参考にしてみてください。

初期のセキュリティプラグインには、ワードプレスのログインページを隠す機能が搭載されたが「不明であることを通じたセキュリティ(Security through Obscurity、隠遁セキュリティ)」方式は、実質的な助けにならず、むしろシステムを不安定にしてテーマが割れることがあるとします。

ログインしようと制限

ブルートフォース攻撃(Brute Force)のような攻撃は、ログインフォームをターゲットにします。 したがって、上記のプラグインを使用してログインページのパスを変更すると、このような攻撃を避けるのに役立ちます。 別のオプションとして オールインワンWPセキュリティ&ファイアウォールで プラグインがあります。 このプラグインは、それ自体で非常に強力なセキュリティプラットフォームです。 多数の望ましいセキュリティプラクティスを実行するセキュリティプラグインを使用してサイトに追加のセキュリティとファイアウォールを追加します。 (このプラグインは、すぐ上に記載されているプラ​​グイン(例えば、WPS Hide Login)の機能を含んでいるようだから一緒に使用しないようにします。)

オールインワンWPセキュリティ&ファイアウォールで

または、 このページで検索されたセキュリティ関連のプラグインを使用してみることができます。

wp-config.phpと.htaccessを隠す

WP-config.phpを ファイルと .htaccess ファイルにアクセスできないように .htaccessにルールを追加することができます。

.htaccess次のコードを追加すると、 WP-config.phpをにアクセスできなくなります。

<Files wp-config.php>
order allow,deny
deny from all
</Files>

そして .htaccess次のコードを追加すると、 .htaccessにアクセスできなくなります。

<Files .htaccess>
order allow,deny
deny from all
</Files>

このタスクを実行するには、FTPにアクセスできる必要があります。 FTPの使い方は この記事を参照してみてください。

参考までに Stop Spammers Spam Prevention プラグインをインストールすると、 WP-config.phpをにアクセスできないようにブロックする機能が含まれています。

ファイルの編集を無効に

ハッカーが侵入すると、ファイルを変更する最も簡単な方法は、ワードプレスのダッシュボードから見える>テーマエディタに移動し、ファイルを変更することです。 したがって、テーマエディタでファイルを編集することができないように設定すると、セキュリティが向上します。 このため、 WP-config.phpを ファイルに次の行を追加します。

define('DISALLOW_FILE_EDIT', true);

今FTPを介してのみファイルを変更することができ、ワードプレスの中で、独自のファイルを変更することができなくなります。

ディレクトリブラウジング(Directory Browsing)を無効に

ハッカーがサイトのディレクトリの内容を見ることができないようにすることで、ディレクトリブラウジングを無効にしてセキュリティを強化することができます。

次の行を.htaccessファイルに追加するようにします。

# Disable Directory Browsing
Options All -Indexes

ちなみに、ディレクトリブラウジングを無効にしても、SEOには不利益がないそうです。 ディレクトリブラウジングの詳細については、 この記事を参考にしてみてください。

セキュリティプラグインの使用

Wordfence Security、Sucuri Securityなどの総合的なセキュリティ機能を提供するプラグインをインストールして、サイトのセキュリティを向上させることができます。 これらのプラグインは、重い傾向があるが、セキュリティのために必ず必要なものです。 詳細については、「ワードプレスのベストセキュリティプラグイン」を参照してみてください。

(参考までにマルウェアに感染しているか、他のワードプレス関連の問題に苦しんでいる場合 ここでサービス(有料)をご依頼することができます。)

データ/ DBのバックアップ

たまにハッキングなどにより被害を受けたときに、バックアップが正常にされていなくて、サイト全体を捨てる場合を目撃したりします。 メーカーから自動的にバックアップしてくれる場合も定期的に私のハードディスクやUSBにバックアップを保存するのがいいようです。 まれに、ウェブホスティング会社のサーバーに問題が生じて資料をすべて失ってしまう場合もあります。 この場合、メーカーから補償を受けることは容易ではないだろう。 通常メーカーから「バックアップの責任はお客様にあります」と明示しています。 したがって、貴重な資料は、私が大切に保管する習慣をかけます。

プラグインによるセキュリティ脆弱性

ワードプレスのプラグインは、機能を拡張して追加する重要な役割を果たし、ワードプレスの最大の利点の一つです。 しかし、その反対給付としてのセキュリティに良くない影響を与える可能性があります。 仮に スライダーレボリューション(Slider Revolution)名前のように、スライダの革命というだけダイナミックなスライダーを作成することができる便利なツールです。

しかし、このプラグインで発見されたセキュリティの脆弱性のために100,000のサイトがハッキングに影響を受けたことが明らかに大きな問題になったことがあります。

他にも多くのユーザーが使用しているContact Form 7などにもセキュリティ上の問題があるとね。 (私はContact Form 7を削除し、代わりに Quformを使用しています。)

なるべくプラグインの使用数を最小限に抑え、可能な、常に最新の更新プログラムをインストールすることが重要です。 いくつかのプラグインにセキュリティ上の問題が発生した場合、すぐに削除して似たような機能の他のプラグインをインストールするようにします。

Duplicatorでワードプレスのサイト移転後のスクリプトファイルを削除する

複写機でサイトを移転した後、サーバーから必ずスクリプトファイルを削除してください。 "Duplicatorプラグインは、リモートでコードが実行さ(RCE)の脆弱性のパッチ」を参照してみてください。

おわりに

前述のように、常にワードプレス、テーマ、プラグインを最新の状態に維持することも、セキュリティに重要です。 そして、ユーザーのログイン機能がない場合は、特定のIPのみログインが可能に設定することも可能です。 一般の人がログインページにアクセスできないように WP-考えられる理由 ページ自体へのアクセスをブロックするには、次のようなコードを .htaccess ファイルに追加するようにします。

<Files wp-login.php>
Order Deny,Allow
Deny from All
Allow from xxx.xxx.xx.xxx
</Files>

ここで xxx.xxx.xx.xxx 部分に許可するIPアドレスを入力します。

ワードプレスのセキュリティに関連して懸念が多くなる場合 この記事に紹介された 私のWPを隠します プラグインを使用することができます。 このプラグインは、有料のプラグインにもかかわらず ベストセラーリストに出てくるており、人々の安全への関心を垣間見ることができるようです。

Hide My WP  -  Amazing Security Plugin for WordPress

他にも、Webホスティングを選択するときにも無条件に手頃な価格の商品を選択するよりも、どのようなセキュリティ対策が適用されているかどうかを確かめてみるのもよいでしょう。 セキュリティについて、より深化された情報をご希望の場合 この記事この助けとなるでしょう。

追加: ワードプレスでのセキュリティを維持するために、ワードプレス、テーマやプラグインを常に最新のバージョンに維持し、セキュリティプラグインをインストールすると役立ちます。 そして、定期的にバックアップをしてようにします。



27のコメント

  1. こんにちは。 ブログに書いてくれた文等のために数年前に設置した WordPressを再触れてみようと努力を食べおかげであれこれ解決しました。

    DB削除後、再インストールまで完了しましたが
    テーマの変更部分で再び詰まっています。
    管理者ページでテーマを変更ページをクリックすると、(wp-admin.themes.php)
    ページが動作していません。 ERR_EMPTY_RESPONSEが浮かぶ
    どのような理由でしょうか? ㅠㅠ

    し....最初からあまりにも多くのことがねじれたようでとても悲しい。

    応答
    • 問題の原因はさまざまのようです。

      次の記事を参照してください。
      https://avada.tistory.com/690

      プラグインのクラッシュやPHPのバージョンも問題になることもあるようです。

      応答
      • 迅速な回答ありがとうございます!
        あちこち問い合わせてみた結果、どうしてもホスティング会社では、低バージョンをサポートするものです。
        事実 WordPress 自体も最新のバージョンはサポートしていないとして3.8バージョンをインストールしましたんですよ。
        ㅠㅠホスティング会社を変えない限りは解決にくいようですね。

        回答ありがとうございました!

      • 현재 WordPress バージョンが5.4.1です。

        WordPress 3.8バージョンは低すぎですね。
        このように、古いバージョンを使用する場合は、セキュリティ上の問題が発生することがありますので、可能な場合は、最新のバージョンにアップデートすることを推奨します。

  2. 特定のユーザーには、特定のipでのみログインを許可する WordPress プラグインがもしかしたらでしょうか?

    応答
    • こんにちは?

      IP Based Loginプラグインがご希望の機能と同様の機能を提供することです。

      https://wordpress.org/plugins/ip-based-login/

      応答
  3. こんにちはワード様、

    セキュリティについて質問があっまた見つけました。
    WordPressでip記録を別々に残さないのですか?
    kboardでip記録を別々に残さないのですか?
    Webホスティング」SiteGround「では、ip記録を別々に残さないのですか?
    小規模コミュニティのホームページを作成しますよ。 ライターのアイピーを知ることができないようにしたいです。
    ホームページ上で目に見えないものではなく、最初からip記録自体を残さないようにします。

    まず WordPressプラグインWP_Statisticsでhash ip address設定をしてノトギンたんです。
    加えて、ウェブホスティングもそのほか、私別に措置べきことがでしょうか?

    ps。 本文と大きな関連がない質問だと申し訳ありません。

    応答
    • こんにちは?

      Kboardに文を残すときに、IPを保存するかどうかは、チェックしてみました。 bbPressの場合見てみるとIPが残りますね。

      SiteGroundの場合cPanelからの訪問者の統計情報を見ることができます。
      https://www.wordnpress.com/others/siteground-%EC%9B%B9%ED%98%B8%EC%8A%A4%ED%8C%85%EC%97%90%EC%84%9C-%EC%9B%B9%EC%82%AC%EC%9D%B4%ED%8A%B8-%ED%86%B5%EA%B3%84-%ED%99%95%EC%9D%B8%ED%95%98%EA%B8%B0/

      IP情報を確認できるかどうかは確かに分かりません。 おそらくセキュリティ上の
      サイトにアクセスする訪問者のIP接続の記録はサーバーのどこかに残ってないかと思いますね。 その問題は、Siteground( https://www.thewordcracker.com/go/siteground )にお問い合わせ見れば一番確実でしょう。

      WordPressからIP記録自体を残さないことについて考えたことがなくて、正確な回答をドリルすることができない点ご了承ください。

      もし心配があればDBに残るIP情報を定期的に削除することも一つの方法になるでしょう。

      削除する方法は https://www.thewordcracker.com/basic/ithemes-security-%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4-%EB%B3%B4%EC%95%88-%ED%94%8C%EB%9F%AC%EA%B7%B8%EC%9D%B8%EC%97%90%EC%84%9C-%EB%A1%9C%EA%B7%B8-%EC%82%AD%EC%A0%9C%ED%95%98%EA%B8%B0/ 記事に記載され方法を応用することになります。

      だから、楽しい一日送ってください。

      応答
      • ああdb削除することは考えモトヘブワトね。 案内してくださった投稿を確認してみましょう。 回答ありがとうございます。 楽しい一日を!

  4. Webホスティング会社のロールバック(Roll-back)機能を提供していても、手動で定期的にハードディスクなどのバックアップを受けておくことが望ましいと思われる。

    ウェブホスティング会社のインターネットNayanaのサーバーがランサムウェアに感染してバックアップを取る置かれていないサイトは、回復がほぼ不可能だとね。

    https://www.thewordcracker.com/basic/%EC%9B%B9%ED%98%B8%EC%8A%A4%ED%8C%85-%EC%97%85%EC%B2%B4-%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4-%EA%B0%90%EC%97%BC-%EC%A4%91%EC%86%8C-%EC%9B%B9%EC%82%AC%EC%9D%B4%ED%8A%B8%EB%A1%9C-%ED%94%BC%ED%95%B4/

    応答
  5. セキュリティに関連して二本の文章を追加しました。

    次の記事も参照ください:
    WordPress セキュリティ強化のための基本的な3つの方法
    https://www.thewordcracker.com/basic/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4-%EB%B3%B4%EC%95%88-%EA%B0%95%ED%99%94%EB%A5%BC-%EC%9C%84%ED%95%9C-%EA%B8%B0%EB%B3%B8%EC%A0%81%EC%9D%B8-%EC%84%B8-%EA%B0%80%EC%A7%80-%EB%B0%A9%EB%B2%95/

    WordPress ベストセキュリティプラグイン
    https://www.thewordcracker.com/basic/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4-%EB%B2%A0%EC%8A%A4%ED%8A%B8-%EB%B3%B4%EC%95%88-%EA%B4%80%EB%A0%A8-%ED%94%8C%EB%9F%AC%EA%B7%B8%EC%9D%B8/

    応答
  6. こんにちは^^質問がありますが^^上記した「ファイルの変更を無効に」で「wp-config.php」と「.htaccess」に言われた構文を追加したくても、どの行に追加する必要が質はよく分からないのにもっと正確にどの部分が、上記の構文を追加すると、かどうか知ることができますか?

    応答
    • こんにちは? ブログを訪問していただきありがとうございます。

      wp-config.phpファイルの場合は、「/ * That's all、stop editing!Happy blogging * /」のすぐ上に追加すると、無難と思われる。

      .htaccessファイルは、別の指示がなければ、任意の場所に追加すると、されないかと思います。

      応答
      • https://uploads.disquscdn.com/images/f33a16ffedf3c82834ce6d0507ecd5cdbecc6bf0d14e8c6c1860a73cdef8f1d1.png こんにちは^^回答ありがとうございます^^私は異常なほどwp-config.phpや.htaccessファイルを変更しようとするサイトが開かない問題が発生をしますね^^以前にサイトの速度を向上させるためにWordさんの文章を読んで.htaccessファイルにブラウザのキャッシュを保存コードを挿入してみた、最終的にサイトが開かない放棄をしました^^今は、まず教えてくれとしてみたところ、またサイトが開かれるね^^まずwp-config.phpファイルのみ教えたコードを挿入してみたところ...私添付した画像を調べていただけましたら、一度お願いします^^

      • ああ... .htaccessに挿入するための構文だったよね^^ define( 'DISALLOW_FILE_EDIT'、true);をwp-config.phpを挿入することですね^^再び修正してみました。 動作は全く問題がないことから、よく修正になったのです。 良い情報も感謝してい^^

      • うまく解決されてよかったです。

        (以前のコメントに追加されたスクリーンショットを見るとwp-config.phpファイルに.htaccessファイルに入力する必要がコードが入っていますね。笑)

        楽しい一日になってください^^

  7. オム.....この部分なんですけど... htaccessファイルを釘探ししオソヨ^^; このファイルの中に入ると、あの黒いウィンドウが表示し、その中にコマンドを入力することができ来るの? コンピュータ知らずのくせに WordPress してジュェソンハムダㅠㅜ笑

    応答
    • こんにちは?

      コメントを残すありがとうございます。
      最初から知っている人は誰もいないですね。 誰もが一つずつ学んでいくのです。

      FTPで接続して WordPressがインストールされてルートフォルダ内に.htaccessファイルがあることを確認してください。 FTPに接続して変更する方法は https://www.thewordcracker.com/basic/using-ftp-to-work-with-wordpress/ 文を参考にしてください。

      応答
  8. 管理者の領域のみ、特定のIP以外のアクセスをブロックするには、次のコードを使用することができます(.htaccess)。

    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName "WordPress Admin Access Control"
    AuthType Basic

    order deny,allow
    deny from all
    # whitelist Syed's IP address
    allow from xx.xx.xx.xxx
    # whitelist David's IP address
    allow from xx.xx.xx.xxx
    # whitelist Amanda's IP address
    allow from xx.xx.xx.xxx
    # whitelist Muhammad's IP address
    allow from xx.xx.xx.xxx
    # whitelist Work IP address
    allow from xx.xx.xx.xxx

    応答
    • こんにちは?
      WordfenceとAIO WP Securityは、同様の機能をするプラグインはありますか?
      似たような機能をするプラグインの場合のみインストールすることをお勧めします。
      (まるでPCでウイルス対策プラグインを重複してインストールすると、問題が発生しと似ていると考えてくださいだろう。)
      もし両方のプラグインの機能が異なる場合には、一緒に使用してもよいでしょう。

      応答
  9. 多くの記事を見たが、admin、administratorの使用禁止はどこからも知ることができない内容でした。

    リーケプチャだけつけておいて、安心していたが、
    ワードクラッカーさんの文章を読んでみると多くを学ぶこともあるが反省も多くになりますね。

    応答
    • スパムフィルタプラグインをインストールしてみるといくつかのプラグインでは、不法にログインを試みたことを見せてくれたりします。
      IP Blacklist Cloudというプラグインもその一つです。
      このプラグインをインストールして、監視してみるとAdmin、admin、administratorなどでログインしようとすることを確認することができます。 たまにdemo1でもログインを試みますが、管理者IDでdemo1を多くの人が使用しているが分かりません。 ( https://www.thewordcracker.com/intermediate/change-wordpress-admin-url/ )

      ところが、このようなプラグインをインストールすると、一度、管理者自身も、スパムと認識されてブロックされて、管理者が自分のサイトにアクセスできなくて苦労している場合もあります(笑)

      応答
    • ちなみに、管理者IDでadminを使用してはならないということはよく知られている事実です。
      (おそらく二回言う聞いたことです。ただし注視見なくて見過ごすこともできよ。)
      https://mrwweb.com/wordpress-tip-dont-use-admin-seriously/

      応答