WordPress 管理者ページがうまく管理されていない場合、ハッカーの集中攻撃の対象となる可能性があります。まだ数多く WordPress 管理者がセキュリティに大きく気を使わないのが現実です。しかし、管理者領域から始まった侵入は、シャッフル時にウェブサイト全体を破壊します。ウェブサイトへのアクセス者にもダメージを与える可能性があるため、管理者はハッキングに対して常に警戒心を持っている必要があります。以下で管理者領域のセキュリティを守る方法8つを紹介しましょう。
この投稿は、情報共有を目的として、外部から提供された原稿に基づいて作成されました。この WordPress ブログのトピックに合った有用な資料をお送りいただければ、レビュー後に掲載いたします。また、 Naver カフェそしてこのブログを通じて、広報目的の協賛ポスティングも可能です。協賛投稿のお問い合わせは ここからご連絡ください。
WordPress 管理者ページのセキュリティを保護する8つの方法
- VPNを使う:管理者ゾーンのセキュリティ VPN 使用して一層強化できます。ハッカーはあなたが管理者としてするすべてのアクションを監視しようとします。トラフィックを監視して機密情報を減らしたり、アカウントを奪ったり、サイト全体を支配したりできます。時には、ハッカーがウェブサイトにマルウェアを植えておくこともあります。 VPNはネットワーク接続を暗号化します。侵入者がトラフィックを監視できないように安全に接続を保護するため、ハッキングのリスクを軽減します。また、マルウェアが広がらないように検出して事前にブロックしてくれる機能もありますので、作業時にVPNを必ず有効にすることをお勧めします。
- 管理者IDとパスワードの強化:管理者アカウントIDとパスワードを難しいものに設定する必要があります。もし管理者IDで'admin'を使用しながらパスワードも短いとすればすぐにハッキングされてしまいます。管理者IDをハッカーが推測しにくいと指定します。また、数字、英大文字、小文字、特殊文字などの長い複雑なパスワードを作成して使用する必要があります。もちろんログイン情報は他人と絶対共有してはならず、ファイルに記録しておくのも流出の危険があるので禁物です。また、定期的にパスワードを変更することも忘れないでください。
- ログイン試行回数制限:管理者ページのログインを無限に試してみると、それほど危険なことはありません。ハッカーはボットを使って ブルートフォース攻撃をしてみると、終わりにログインすることがあるからです。これを行うには、ログイン試行回数を制限する機能を持つプラグインをダウンロードしてインストールできます。ログイン試行回数は通常3回でお勧めしますが、個人が設定できます。
- WordPress 最新のアップデート: WordPress 独自のソースコードにもセキュリティの脆弱性があるため、開発者は定期的に新しいバージョンの更新を行います。しかし、旧バージョン WordPress バージョンを更新せずにそのまま使用している場合はどうなりますか?ハッカーが既に知られている脆弱性により、非常に簡単にサイトを攻撃する可能性があります。 WordPressを最新バージョンに常に更新することを忘れないでください。
- SSL証明書を適用する:HTTP通信だけでホームページを構築すれば、ハッカーがパスワードなどの機密情報を簡単に解読できます。 SSL証明書は HTTPSプロトコルで通信内容を暗号化し、情報がハッカーにさらされるのを防ぎます。管理者ログインページにSSL証明書を適用して、攻撃者が機密情報を不明にするのを防ぎます。参考までに WordPressには Let's Encrypt 無料の SSL 証明書が付属していますが、必要に応じてプライベート認定証明書を有料で発行して適用できます。
- IPアクセス制限:可能なアドミンゾーンにアクセス可能なIPを制限することをお勧めします。ホームページを管理する会社IPまたは在宅勤務をする場合は、自宅IP程度だけを許可しておいてください。 IP制限設定は、wp-adminフォルダの下にある.htaccessファイルを変更するだけです。許可IP以外のIPが管理者ページにアクセスしようとすると、「Forbidden」メッセージでアクセスが拒否されます。
- 2チャンネル認証:管理者ログイン時に認証デバイスとしてパスワードだけでなく 2チャンネル認証を設定することをお勧めします。もしパスワードが流出になった場合でも、2チャンネル認証が設定されていれば安全装置として機能します。ログインするためにパスワードと一緒にOTP(ワンタイム認証番号)まで入力する必要があるため、ハッキングするのは難しいです。認証番号までハッキングされた場合はログインできますが、そのようなことは通常起こりません。認証番号は使い捨てで、時間制限のために定められた時間内に入力する必要があるため安全です。
- ファイアウォールの設定:ファイアウォールを設定することで、さまざまな悪意のある攻撃行為から管理者ページを保護できます。最初にトラフィックがファイアウォールに到達し、そこで分析され、次に不審なトラフィックがある場合はアクセスを妨げます。ファイアウォールも WordPress プラグインで簡単にインストールできます。無料プラグインの場合、通常は機能に制限があります。価格とパフォーマンスなどを比較して良いファイアウォールを選択してください。
仕上げ
誰でも簡単に作れる WordPress ホームページですが、セキュリティさえも軽く接近してはいけないことに留意してください。特に管理者の領域をハッカーに奪われることはありません。管理者アカウントを守り、 WordPress バージョンを常に最新に保つなど、セキュリティに常に注意を払う必要があり、貴重なデジタル資産を守ることができます。特にホームページの作業時にVPNを使用して、各種ウイルスやハッキングからウェブサイトの安全を守ってください。
よく見ていきます。 jetpackファイアウォールの代わりに忍者ファイアウォールだけを使用できますか?
ご希望のプラグインを使用していただければと思います。
このブログでは、しばらくBBQというファイアウォールプラグインを使用しました。
https://www.thewordcracker.com/basic/%EA%B0%80%EB%B2%BC%EC%9A%B4-%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4-%EB%B0%A9%ED%99%94%EB%B2%BD-%ED%94%8C%EB%9F%AC%EA%B7%B8%EC%9D%B8/
軽いファイアウォールプラグインが必要な場合は、まともな選択肢かもしれません。
クラウドウェイズを使用している場合は、アプリケーション管理ページでBot Protectionを有効にして別のプラグインをインストールする必要はありません。
コメントよく見ていきます!私もBBQを使ってみましょう! BBQが比較的軽く、忍者や他のファイアウォールよりも性能が落ちても、 Cafe24 ホスティングを受けています。 Cafe24でサポートするファイアウォールのように同行すればどれくらい大丈夫でしょうか?特にwp-loginの方にボットやスパイダーが乗って入ってトラフィックやセキュリティー問題があるからといって、wp hideでログインページも隠した状況です!
Cafe24の場合、7日間のバックアップとして提供されるため、問題が発生した場合に復元できます。
しかし、それ自体もバックアップしてPCに定期的に保管すれば安心できます。
ログインページを非表示にすると効果がない可能性があります。ログインするデバイスが決まっている場合は、次の記事を参照して、特定のIPアドレスでのみログイン/管理者ページにアクセスできるようにコードを追加できます。
https://www.thewordcracker.com/basic/%ec%9b%8c%eb%93%9c%ed%94%84%eb%a0%88%ec%8a%a4-%eb%b3%b4%ec%95%88-%ea%b0%95%ed%99%94%ed%95%98%ea%b8%b0/
ありがとうございます^^