WordPress ベースのウェブサイトセキュリティを守る

Last Updated:2024年01月28日| 3のコメント

自分でコーディングすることができなくても素晴らしいウェブサイトを作成する WordPress最も人気のある CMSシステムに挙げられています。 しかし最近 WordPressを利用したウェブサイトがハッカーに悪意のある攻撃を受ける事例が増えています。 今日私たちは WordPress ベースのウェブサイトで発生したセキュリティ脆弱性のケースを分析します。 そして セキュアVPNプロトコル そして、さまざまな方法でハッカーの攻撃を防御する方法を紹介します。

この投稿は、外部から提供された原稿に基づいて情報共有の目的で作成されました。ボン WordPress ブログのトピックと一致する有用な資料をお送りください。レビュー後に掲載いたします。 プロモーション目的の投稿が必要な場合は、協賛投稿が可能です。 Naver カフェを通じても広報が可能です。 協賛投稿のお問い合わせは ここからご連絡ください。

最近の脆弱性の例: WooCommerce フェイメンツ攻撃事態

WordPress ベースのウェブサイトセキュリティを守る

一番最近あった WordPress セキュリティ脆弱性のケースは WooCommerce フェイメンツ(WooCommerce Payments)というプラグインから発生しました。 このプラグインは WordPress ベースのウェブサイトのためのeコマースプラグインです。 このプラグインを使用すると、通常のウェブサイトをすぐにインターネットショッピングモールのようにすることができます。 だから WordPress サイトから60万回以上ダウンロードされるほど有名で広く使われています。

しかし、このプラグインに深刻なセキュリティの脆弱性が見つかりました。 脆弱性番号はCVE-2023-28121で、CVSSの脆弱性評価から超高リスクの評価を受けました。 その脆弱性は、許可されていないユーザーが管理者権限を取得できるようにする、いわゆる「特権の昇格」の脆弱性です。 これを悪意のある攻撃者が悪用すると管理者権限を奪取し、全体のシステム制御が可能です。 WordPress セキュリティチームによると、2023年7月14日にハッカーがこの脆弱性についてエクスプロイトし始めました。 そして2023年7月16日には157,000のサイトを対象に130万件程度の攻撃が実行されました。

このようにハッカーが脆弱性を発見すると、わずか数日間でも膨大な数の攻撃を行い、ウェブサイトを麻痺させてしまいます。 このような大惨事はなぜ起こり、また悔しい被害者にならないようにするにはどうすればよいのでしょうか。 どのような方法で私たちの貴重なウェブサイトと顧客情報を守ることができますか?

なぜ WordPress ウェブサイトは攻撃を受けますか?

あるいは WordPress それ自体が安全に脆弱なシステムと呼ばれます。 その言葉は本当ですか? それが本当なら、私たちは WordPress 使用自体を停止する必要があります。 結論から言えば、この世界のすべてのシステムは欠陥があり、ハッキングは WordPress 唯一の問題ではないということです。 WordPress セキュリティは他のCMSシステムと比較して信頼性が高いです。 ただし、 WordPressで作成されたウェブサイトの割合が世界中のウェブサイトの43%を占めるほど多いため、問題が頻繁に見えることがあります。 WordPress システムでハッキングが発生する主な理由は次のとおりです。

  1. WordPress プラグイン、テーマなどに存在するセキュリティの脆弱性
    WordPressにインストールするプラグインやテーマにセキュリティの脆弱性がある場合です。 他のプログラムと同様に WordPress プラグインにも特権の昇格、XSS(クロスサイトスクリプティング)などの脆弱性がある可能性があります。 セキュリティの脆弱性の存在を知らずにダウンロードしてウェブサイトにインストールすると、サイトはハッキング攻撃にさらされます。 通常、この問題は開発者がセキュリティの脆弱性を修正して新しいパッチを更新するときに解決されます。

  2. 違法な共有サイトからダウンロード
    お金を惜しむために有料テーマ、プラグインなどを違法共有サイトからダウンロードする場合があります。 このような場合、誰がプラグインを配布しているのか正確にはわかりません。 これは当然違法な行為です。 また、最新のアップデート版をダウンロードしにくいため、セキュリティに脆弱です。 最悪の場合、マルウェアが含まれているため、システム全体がハッカーによって制御される可能性があります。

  3. 信頼できないホスティングサービスの利用
    WordPressでウェブサイトを作成してからやるべきことは、すぐにサーバーにアップロードすることです。 あなたのサーバーを購入する必要がない場合は、ホスティングサービスを利用する必要があります。 この時、安いという理由で低品質の零細なホスティング会社を選ぶ場合があります。 多数の零細ホスティング会社はセキュリティに気を配らず、ハッキングに対して脆弱です。 ホスティングサーバーがランサムウェアなどのマルウェアに感染するなる場合が絶えず出ています。 ハッカーの立場では、ホスティングサーバーを一度攻撃すると数百、数千のウェブサイトを一度に麻痺させることができるので、非常に効率的と言えます。

  4. 基本的なセキュリティルール未遵守
    これに加えて、基本的なセキュリティルールを守らずにハッキングされます。 管理者ページのパスワードを細かく管理する場合、安全な接続なしでFTPへのファイル転送などがこれに該当します。 知っている内容であっても、もう一度点検しなければ自らを守ることができます。

WordPress ベースのウェブサイトを守る方法

かなりの数 WordPress ユーザーは、ウェブサイトが完成したら、それですべてのことが終わったと思います。 しかし、いいえ! WordPress ウェブサイトを完成させた後も引き続きメンテナンスをしなければハッキングから安全です。 ハッカーの手法は進化し続けているため、ウェブサイトの管理者もセキュリティに注意を払う必要があります。 以下にウェブサイトを守る方法を示します。

  1. VPNの使用
    WordPress 関連する作業をするときは、VPNを使用して接続することをお勧めします。 たとえば、管理者ページにアクセスするとき、セキュアVPNプロトコル接続になっていると、侵入者はあなたを監視できません。 オンラインで送受信するデータを安全に保護してくれるので、ウェブサイト上の情報を守ることができます。 そのため、VPNを利用すればもっと安心してウェブサイト運営ができるはずです。

  2. インストールされたプラグイン、テーマの更新
    先にWooCommerce 「WooCommerce Payments」のセキュリティ脆弱性の問題で見たように、有名なプラグインにも十分な無駄がある可能性があります。 そのため、開発会社側では継続的にセキュリティ脆弱性モニタリングをして補完した後、プラグインをアップデートしてはいけません。 これにより、ハッカーはもはやその脆弱性を攻撃できなくなります。 プラグインとテーマのアップデートがある場合は、すぐに適用する習慣を聞きましょう。

  3. セキュリティプラグインのインストール
    WordPressには、セキュリティに関連する機能を提供するいくつかのプラグインがあります。 2段階認証(2 Factor Authentication)、無差別代入攻撃の防止、マルウェアスキャン、ユーザーアクティビティログの記録など、さまざまな機能が提供されます。 適切なセキュリティプラグインをよく調べてから、インストールすることもセキュリティを保護するXNUMXつの方法です。 ただし、あまりにも機能の多いプラグインはウェブサイトの速度を遅くすることができるので、それも考慮して決めてください。

  4. 信頼できるホスティング会社に選定
    上記のように、多くの零細ホスティング会社は安価にサービスを提供するだけで、セキュリティには気を配りません。 結局、ハッキングダメージはそっくりウェブサイト管理者側から浮かび上がります。 したがって、信頼できるホスティング会社を選ぶことが重要です。 手頃な価格のホスティングサービスは避け、よく知られているサービスを利用してください。

  5. WordPress サイトのバックアップ
    また、可能であれば、サイトのバックアップを定期的に行っても、知らないハックダメージに備えてください。 ホスティング会社でバックアップ機能を提供することもありますが、それを信じるよりも自分でバックアップをしておく方が良いです。

仕上げ

오늘 WordPress 関連するセキュリティの脆弱性とそれに対する対処方法について学びました。 この世界のどこにも脆弱性がないシステムはないように、私たちが自分でハッキングに備えてウェブサイトを守らなければなりません。 通常、セキュリティの脆弱性を監視し、備えていれば十分 WordPress サイトのセキュリティを守ることができます。

参照


3のコメント

コメント

    • WordfenceまたはiTheme■セキュリティなど、多くのユーザーが利用するセキュリティプラグインをインストールできます。
      ただし、この包括的な機能を提供するセキュリティプラグインは、サイトの速度にわずかに影響を与える可能性があります。
      私はBBQというファイアウォールプラグインを使用しています。

      https://www.thewordcracker.com/?p=46259

      セキュリティ機能面ではWordfenceなどに比べて少ない方ですが、私はこのプラグインをほとんどのサイトにインストールして使用していますが、問題になったサイトはありませんでした。

      何よりも、定期的にバックアップしてPCやクラウドストレージに保存することをお勧めします。
      そして WordPress、テーマ、プラグインを常に最新バージョンに保ち、長く更新されないプラグインを削除してください。

      応答