W3techs統計によると、2017年4月現在、全世界のウェブサイトの27.8%が WordPressに基づいて、CMS(コンテンツ管理システム)のシェアが58.8%に達するほど WordPressが広く使用されています。
ユーザーが多くなるに従って、 WordPress サイトがハッカーやスパマーのターゲットとなっています。 WordPress 自体はセキュリティが強力ですが、アップデートを無視したり、セキュリティに脆弱なプラグインを使用するなど、さまざまな要素によって、セキュリティに穴が発生する可能性があります。
使用している WordPress サイトのセキュリティを強化するいくつかのプラグインがあります。 その中の人気4つのプラグインを紹介します。 マルウェア、マルウェアに感染する前に、これらのプラグインをインストールすると、助けになることがあります。 しかし、マルウェアに感染した後は、セキュリティプラグインをインストールしても効果がありません。
WordPress セキュリティプラグインの概要
Wordfenceセキュリティ
300万以上のサイトに使用されている Wordfenceセキュリティは評価も非常に良い方です。 このプラグインは、ログインセキュリティ、IPブロック、セキュリティスキャン、 WordPress ファイアウォール機能と監視機能を提供します。
WordPress サイトがマルウェアに感染した場合、このプラグインを使用してスキャンすることができます。 Wordfence Securityは、サイトのソースコードをチェックして、公式 WordPress ストア(Official WordPress Repository)のコアファイル、テーマやプラグインと比較します。
このプラグインは、初心者と上級ユーザーの両方に適しており、高度な機能を必要に応じて有料版を購入することができます。
総合的なセキュリティ機能を提供するため、セキュリティの強化に役立ちますが、図体が大きいため、サイトの速度に悪影響を与える可能性があります。 プラグインをインストールした後、サイトの速度にどの程度影響を与えるか確認してください。
iThemes Security (舊 Better WP Security)
iThemes Security30種類以上の方法で WordPress サイトのセキュリティを強化してくれると紹介しています。 平均毎日3万以上のウェブサイトがハッキングを受けており WordPressは、プラグインの脆弱性、弱いパスワードの使用、古いソフトウェアなどにより攻撃のターゲットになりやすい。
ほとんどの WordPress 管理者は、サイトのセキュリティが脆弱(前述のように WordPress それ自体はセキュリティが強いですが、アップデートを怠ったり、誤ったプラグインを使用することでセキュリティが脆弱になる可能性があります)ということを認識していませんが、iThemesセキュリティは WordPressに保護膜を提供し、一般的なセキュリティホールを是正し、自動化された攻撃(Automated attack)を防ぎます。
しかし、このプラグインのよくある質問で明らかにしたように、Themes Security は、すべての攻撃を完全に防げるわけではなく、一般的な手法の攻撃方法から WordPressのセキュリティを向上させる役割をします。
このプラグインは、次のような機能を提供しています。
- 2段階認証(Two-factor authentication)
- ブルートフォース攻撃(Brute force)から保護
- コアファイルへの変更を監視
- 複数回のパスワードを間違って入力したユーザーを検出してログインをブロックさせる
- ユーザーの活動ログ記録
- 特定のユーザーの役割に対して強力なパスワードを強制的に使用するようにする
自動マルウェアスキャンなどの高度な機能を使用するには Proバージョンを使用することができます。
このブログでは現在Themes Pro(Bloggerバージョン)がインストールされています。 機能面では、Wordfence Proよりは少し落ちますが、コストが安く、プラグインも軽いようで、このプラグインを選択しました。
率直に言って、コストをかけて、有料版を購入することがもったいない気がするが、一方で企業からなぜセキュリティへの投資を消極的かも少し知っているようです。 すぐに目に見える効果がなく、これまでうまく働いあえてお金をかけて、セキュリティに気を使わなければなら一つという気がするかもしれないという考えがしますね。 それでもProバージョンをインストールしたら、少し安心(?)はされているようです。
Sucuriセキュリティ
2010年に設立された Sucuriは、ウェブサイトのセキュリティに関連して、世界的によく知られており、最近、海外のウェブホスティング会社である GoDaddyはがSucuriを買収したというニュースが聞こえますね(」GoDaddy Acquires Sucuri"参照)。
Sucuriセキュリティ WordPress セキュリティは、すべてのユーザーが無料で利用できるプラグインサイトのセキュリティを強化させてくれる役割をします。 次のような主な7つの機能を提供しています:
- セキュリティ活動監査ログ
- ファイルの整合性を監視
- リモートマルウェア検査
- ブラックリスト監視
- 効果的なセキュリティ強化
- ハッキング後のセキュリティ対策
- セキュリティ警告
このプラグインにもプレミアムバージョンがあり、(無料版やプレミアムバージョンや同じインストールファイルを使用することになるだろうとね)プレミアム顧客である場合は、サポートチケットを提出してサポートを受けることができるようです。
防弾セキュリティ
WordPress 人気のセキュリティプラグインのいずれかであるBulletProof SecurityはRFI、XSS、CRLF、SQLインジェクション、コードインジェクションハッキングからサイトを保護します。
BulletProof Securityの主な機能:
- ワンクリックインストールウィザード
- .htaccessウェブサイトのセキュリティ保護(ファイアウォール)
- HPF(Hidden Plugin Folders|Files Cron)
- ログインセキュリティおよび監視
- アイドルセッションログアウト(ISL)
- ACE(Auth Cookie Expiration)
- DBバックアップ:すべて|部分DBのバックアップ、手動|予約DBバックアップ、Zipバックアップ電子メールの送信、古いベゴプファイルの削除Cronタスク
- DBバックアップのログ
- DBテーブルPrefix(接頭辞)を変更
- セキュリティログの
- HTTPエラーログ
- フロントエンド/バックエンドメンテナンスモード
- UIのテーマスキンの変更(3つのテーマスキン)
- 幅広いシステム情報
そしてProバージョンを使用すると、より多くの機能を利用することができます(参照).
最後に、
以上で WordPress サイトのセキュリティに役立つ人気のセキュリティプラグインについて説明しました。 これらのセキュリティプラグインと一緒に WordPress コア/テーマ/プラグインを常に最新のバージョンに更新して維持し、定期的にサイトをバックアップして、万一の事態に備えることができます。
上で紹介し、セキュリティ・プラグインは、多くの機能を提供する代わりに、規模が大きいため、サイトの速度に影響を与える可能性があります。 速度が心配な場合は、次の記事で紹介するプラグインをテストすることができます。
海外からの異常なアクセスがログに多く撮られていたのにAS NUMとユーザーエージェントでクロールボット以外のすべての海外アクセスをブロックしても運営に問題ないでしょうか?AdSense ブログ)
こんにちは、風。私は クラウドウェイズのBot Protectionを活性化してボット攻撃に対応しています。むやみにブロックする場合、問題が発生する可能性があります。
.htaccessファイルにコードを追加して不良ボットをブロックすることができます。悪いボットリストを共有する文書もあります。
https://gist.github.com/dvlop/fca36213ad6237891609e1e038a3bbc1
ただし、これらのリストを使用する場合は慎重にする必要があります。許可する必要があるボットも意図せずブロックする可能性があります。
私は.htaccessを介していくつかのIP帯域をブロックしています。
https://www.thewordcracker.com/miscellaneous/ip-%EB%8C%80%EC%97%AD-222-239-104-%EC%B0%A8%EB%8B%A8-%EB%B0%A9%EB%B2%95-%ED%8A%B9%EC%A0%95-ip-%EB%B2%94%EC%9C%84-%EC%A0%91%EC%86%8D-%EC%B0%A8%EB%8B%A8/
答えありがとうございます。その情報も参考に活用させていただきます!現在クラウドフレアプロキシを活用中で、ここでは既知のボットと有用なボットのほか、そしてユーザーエージェントをカスタムで指定することができ、現在国内外ともブロックしてみました!一度このトラフィックを分析してみてください。
NinjaFirewallを使用している場合、上記のセキュリティプログラムは使用できませんか?
はい、NinjaFirewallを使用している場合は、他のセキュリティプラグインをインストールしないことをお勧めします。
重複する機能のプラグインを使用すると、エラーが発生する可能性があります。
WordPressのサイトが引き続きダウンしていますが、セキュリティプログラムをインストールすると役に立ちますか?
ダウンしている原因を把握する必要があるようです。
考えることができる原因として...
1. 訪問者数の増加によるトラフィックの増加
2. 誤ったプラグインまたはコードによる問題
3.マルウェアなどマルウェア感染
4. その他のリソースを過剰に使用する原因
1回の場合は、Webホスティング商品をアップグレードするか、 クラウドウェイズ(Cloudays)のようなホスティングを検討することができます。 クウェの場合、訪問者の増加に柔軟に対応できます。
3回の場合、マルウェアを最初に削除する必要があります。