WordPress セキュリティ強化する

Last Updated:2024年01月27日| 27のコメント

はじめ

WordPressは、さまざまなテーマやプラグインを使用することができているという点は、 WordPressの最大の重点の一つです。 このように機能を拡張して、レイアウトを向上させるこれらのテーマとプラグインは、 WordPressのセキュリティを弱体化させることができる原因にもなります。

したがって、なるべく使用するプラグインの数を減らし、新しい更新が出るとすぐに更新して最新の状態を維持しなければ、セキュリティの脅威から保護することができます。

最近になって特に WordPressがマルウェアに感染したり、ハッキングにより被害を受けた事例がぐんぐん目立ちます。 しばらく前に、他のブログがホスティングされている 海外のウェブホスティング会社で「SiteLock」と協力してセキュリティを強化したというメッセージを送ってきました。 すると、次のことが言及されました。

これらの検査で知られているマルウェアを識別して、悪意のあるものを検出すると、 検索エンジンでブロック(blacklist)前に対処する時間を提供するために、すぐに電子メール警告を顧客に送信する単純な「アラームシステム」として機能します。

多くの時間と費用をかけて熱心に構築したサイトが検索エンジンで検索されていないようならば、本当に大きな問題ではないことができません。 実際 Google Blocks Thousands Of WordPress Sites Following Malware Attack(マルウェア攻撃の後、Googleで何千もの WordPress サイトをブロック)という記事のようにマルウェア感染によって検索エンジンから退出されたら…考えるだけでもひどいようです。

WordPressを安全に運営するために、次のようないくつかの点だけ考慮しても、多くの助けになるでしょう。 ちなみに以下の内容は、私がこのブログに散発的にあげた内容を総合して、いくつかの事項を追加しました。

WordPressで、セキュリティ強化のためのいくつかの措置

ユーザー名にadmin、administratorの使用禁止

スパムをブロックするプラグインをインストールして確認してみると、スパマーは 管理人, 管理者 などのID(ユーザー名)にログインしようとします。 (また、特異なのは デモというユーザー名でもよくしようね。)

今日、ほとんどの攻撃は、wp-admin / wp-loginに接続して、主に 管理人というユーザー名でログインしようとする形で行われています。 実際に近年に Cafe24でホストしているサイトがマルウェアに感染して数日前のデータとDBに復元させ、パスワードまですべて変更した後、私に連絡を太陽から見てみると、管理者IDで 管理人が使用されていました。

管理者のユーザー名が  管理人ある場合は、次のように管理者のユーザー名を変更するようです。

  • 新しいユーザーを追加します。
  • 役割を」Admin」で指定して保存します。
  • ログアウトした後に、新しく作成された管理者アカウントでログインします。
  • 以前の管理者アカウント(管理人)を削除します。

上記の作業が面倒な場合は、Username Changerのようなプラグインを使用してください( "WordPressでユーザー名(Username)を変更する"参照)。

強力なパスワードを使用

強力なパスワードを使用する必要がないという点は十分知っているので、特別な説明が必要ではないようです。 複雑で長い独特の(固有の)パスワードを使用するようにします。 他の人が簡単に推測できるパスワードを使用せずに、数字と大文字小文字と特殊記号を組み合わせて作成するようです。

パスワードをよく忘れてしまった場合」パスフレーズを活用して、安全で覚えやすいパスワードを作る「を参考にしてください。

xmlrpc.phpを通じたBrute Forceの攻撃をブロックする

XML-RPCとは、XMLを使用して呼び出しとHTTPをトランスポートメカニズムとしてエンコードするリモートプロシージャコールと呼びます。 この機能を使用しない場合XML-RPCを無効にすることが、セキュリティ上の良いそうです。 ここを参照してみてください。

wp-loginページのパスを変更する

wp-loginのパスを変更して、セキュリティを強化する方法があります。 WPS Hide Loginというプラグインをインストールすると、Login URLを変更することができます。 詳細については、 この記事を参考にしてみてください。

初期のセキュリティプラグインには、 WordPress ログインページを隠す機能が搭載されたが「不明であることを通じたセキュリティ(Security through Obscurity、隠遁セキュリティ)」方式は、実質的な助けにならず、むしろシステムを不安定にしてテーマが割れることがあるとします。

ログインしようと制限

ブルートフォース攻撃(Brute Force)のような攻撃は、ログインフォームをターゲットにします。 したがって、上記のプラグインを使用してログインページのパスを変更すると、このような攻撃を避けるのに役立ちます。 別のオプションとして All In One WP Security&Firewall プラグインがあります。 このプラグインは、それ自体で非常に強力なセキュリティプラットフォームです。 多数の望ましいセキュリティプラクティスを実行するセキュリティプラグインを使用してサイトに追加のセキュリティとファイアウォールを追加します。 (このプラグインは、すぐ上に記載されているプラ​​グイン(例えば、WPS Hide Login)の機能を含んでいるようだから一緒に使用しないようにします。)

All In One WP Security&Firewall

または、 このページで検索されたセキュリティ関連のプラグインを使用してみることができます。

wp-config.phpと.htaccessを隠す

WP-config.phpを ファイルと .htaccess ファイルにアクセスできないように .htaccessにルールを追加することができます。

.htaccess次のコードを追加すると、 WP-config.phpをにアクセスできなくなります。

order allow,deny deny from all

そして .htaccess次のコードを追加すると、 .htaccessにアクセスできなくなります。

order allow,deny deny from all

このタスクを実行するには、FTPにアクセスできる必要があります。 FTPの使い方は この記事を参照してみてください。

参考までに Stop Spammers Spam Prevention プラグインをインストールすると、 WP-config.phpをにアクセスできないようにブロックする機能が含まれています。

ファイルの編集を無効に

ハッカーが侵入すると、ファイルを変更するための最も簡単な方法は、 WordPress ダッシュボードから見える>テーマエディタに移動し、ファイルを変更することです。 したがって、テーマエディタでファイルを編集することができないように設定すると、セキュリティが向上します。 このため、 WP-config.phpを ファイルに次の行を追加します。

define( 'DISALLOW_FILE_EDIT'、true);

今FTPを介してのみファイルを変更することができ WordPress 内で、独自のファイルを変更することができなくなります。

ディレクトリブラウジング(Directory Browsing)を無効に

ハッカーがサイトのディレクトリの内容を見ることができないようにすることで、ディレクトリブラウジングを無効にしてセキュリティを強化することができます。

次の行を.htaccessファイルに追加するようにします。

#Disable Directory Browsing Options All -Indexes

ちなみに、ディレクトリブラウジングを無効にしても、SEOには不利益がないそうです。 ディレクトリブラウジングの詳細については、 この記事を参考にしてみてください。

セキュリティプラグインの使用

Wordfence Security、Sucuri Securityなどの包括的なセキュリティ機能を提供するプラグインをインストールして、サイトのセキュリティを向上させることができます。 これらのプラグインは重い傾向がありますが、セキュリティのために必ず必要なようです。 詳しくは「WordPress ベストセキュリティプラグイン「を参考にしてください。

(参考までにマルウェアに感染しているか、他の WordPress 関連する問題として困難を経験する場合 ここでサービス(有料)をご依頼することができます。)

データ/ DBのバックアップ

たまにハッキングなどにより被害を受けたときにバックアップがきちんとなっていないため、サイト全体を捨てる場合を目撃することもあります。 会社が自動的にバックアップしても、定期的に自分のハードディスクやUSBにバックアップコピーを保存することをお勧めします。 まれですが、Webホスティング会社のサーバーに問題が生じ、資料をすべて失うことがあります。 この場合、企業から報酬を受け取るのは容易ではありません。 通常の企業では、「バックアップ責任はお客様にあります」と記載しています。 したがって、貴重な資料は私がよく保管する習慣を必要とします。

プラグインによるセキュリティ脆弱性

WordPressプラグインは、機能を拡張して追加する重要な役割を果たし、 WordPressの最大の利点の一つです。 しかし、その反対給付としてのセキュリティに良くない影響を与える可能性があります。 仮に Slider Revolution(Slider Revolution)名前のように、スライダの革命というだけダイナミックなスライダーを作成することができる便利なツールです。

しかし、このプラグインで発見されたセキュリティの脆弱性のために100,000個のサイトがハッキングに影響を受けたことが明らかに大きな問題になったことがあります。

他にも多くのユーザーが使用しているContact Form 7などにもセキュリティ上の問題があるとね。 (私はContact Form 7を削除し、代わりに Quformを使用しています。)

  • WordPress サイトハッキングする方法

なるべくプラグインの使用数を最小限に抑え、可能な、常に最新の更新プログラムをインストールすることが重要です。 いくつかのプラグインにセキュリティ上の問題が発生した場合、すぐに削除して似たような機能の他のプラグインをインストールするようにします。

Duplicatorで WordPress サイト移転後のスクリプトファイルを削除する

複写機にサイトを移行した後は、必ずサーバーからスクリプトファイルを削除してください。 」Duplicatorプラグインは、リモートでコードが実行さ(RCE)の脆弱性のパッチ「を参考にしてください。

特定のIPアドレスのみがログイン/管理者ページにアクセスするように制限する

ユーザーログイン機能がない場合は、特定のIPでのみログインを有効にすることもできます。一般人がログインページにアクセスできないようにする WP-考えられる理由 ページ自体へのアクセスをブロックするには、次のようなコードを .htaccess ファイルに追加するようにします。

Order Deny,Allow Deny from All Allow from xxx.xxx.xx.xxx

ここで xxx.xxx.xx.xxx 部分に許可するIPアドレスを入力します。

ただし、クラウドウェイズで上記のコードを追加することはまれですが、問題が発生する可能性があります。私は クラウドウェイズにサーバーを移動した後、1か月後に管理者ページにアクセスできないという現象が発生し、上記のコードを削除しました。しかし、ほとんどの状況で問題は発生しません。

管理者ページにアクセスできる人数が制限されている場合、上記のコードを使用すると、外部の人がログインページにアクセスするのを効果的にブロックできます。

最後に、

WordPress セキュリティに関連して懸念が多くなる場合 この記事に紹介された 私のWPを隠します プラグインを使用することができます。 このプラグインは、有料のプラグインにもかかわらず ベストセラーリストに出てくるており、人々の安全への関心を垣間見ることができるようです。

Hide My WP - Amazing Security Plugin for WordPress

他にも、Webホスティングを選択するときにも無条件に手頃な価格の商品を選択するよりも、どのようなセキュリティ対策が適用されているかどうかを確かめてみるのもよいでしょう。 セキュリティについて、より深化された情報をご希望の場合 この記事この助けとなるでしょう。

WordPressで、セキュリティを維持するために WordPress、テーマやプラグインを常に最新のバージョンに維持し、セキュリティプラグインをインストールすると役立ちます。 そして、定期的にバックアップをしてようにします。

参照


27のコメント

コメント

  1. こんにちは。 ブログに書いてくれた文等のために数年前に設置した WordPressを再触れてみようと努力を食べおかげであれこれ解決しました。

    DB削除後、再インストールまで完了しましたが
    テーマの変更部分で再び詰まっています。
    管理者ページでテーマ変更ページをクリックします(wp-admin。themes.php)
    ページが動作していません。 ERR_EMPTY_RESPONSEが浮かぶ
    どのような理由でしょうか? ㅠㅠ

    ハ…初めからあまりにも多くがねじれたようで悲しすぎます。

    応答
      • 迅速な回答ありがとうございます!
        あちこち問い合わせてみた結果、どうしてもホスティング会社では、低バージョンをサポートするものです。
        事実 WordPress 自体も最新のバージョンはサポートしていないとして3.8バージョンをインストールしましたんですよ。
        ㅠㅠホスティング会社を変えない限りは解決にくいようですね。

        回答ありがとうございました!

      • 현재 WordPress バージョンが5.4.1です。

        WordPress 3.8バージョンは低すぎですね。
        このように、古いバージョンを使用する場合は、セキュリティ上の問題が発生することがありますので、可能な場合は、最新のバージョンにアップデートすることを推奨します。

  2. こんにちはワード様、

    セキュリティについて質問があっまた見つけました。
    WordPressでip記録を別々に残さないのですか?
    kboardでip記録を別々に残さないのですか?
    Webホスティング 'SiteGround'ではipレコードを別に残しませんか?
    小規模コミュニティのホームページを作成しますよ。 ライターのアイピーを知ることができないようにしたいです。
    ホームページ上で目に見えないものではなく、最初からip記録自体を残さないようにします。

    まず WordPressプラグインWP_Statisticsでhash ip address設定をしてノトギンたんです。
    加えて、ウェブホスティングもそのほか、私別に措置べきことがでしょうか?

    ps。 本文と大きな関連がない質問だと申し訳ありません。

    応答
  3. Webホスティング会社のロールバック(Roll-back)機能を提供していても、手動で定期的にハードディスクなどのバックアップを受けておくことが望ましいと思われる。

    ウェブホスティング会社のインターネットNayanaのサーバーがランサムウェアに感染してバックアップを取る置かれていないサイトは、回復がほぼ不可能だとね。

    https://www.thewordcracker.com/basic/%EC%9B%B9%ED%98%B8%EC%8A%A4%ED%8C%85-%EC%97%85%EC%B2%B4-%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4-%EA%B0%90%EC%97%BC-%EC%A4%91%EC%86%8C-%EC%9B%B9%EC%82%AC%EC%9D%B4%ED%8A%B8%EB%A1%9C-%ED%94%BC%ED%95%B4/

    応答
    • こんにちは? ブログを訪問していただきありがとうございます。

      wp-config.php ファイルの場合、"/* That's all, stop editing! Happy blogging。 */" すぐ上に追加すると無難そうです。

      .htaccessファイルは、別の指示がなければ、任意の場所に追加すると、されないかと思います。

      応答
      • https://uploads.disquscdn.com/images/f33a16ffedf3c82834ce6d0507ecd5cdbecc6bf0d14e8c6c1860a73cdef8f1d1.png こんにちは^^回答ありがとうございます^^私は奇妙ですが、wp-config.phpや.htaccessファイルを修正しようとすると、サイトが開かない問題が発生します^^ファイルにブラウズしてキャッシュ保存コードを挿入してみましたが、結局サイトが開かなくてあきらめました^^ 今、まずお知らせしてみましたがまたサイトが開かれませんね^^ まずwp-config.phpファイルにだけお知らせいただいたコードを挿入してみました…

      • ああ... .htaccessに挿入する構文でしたね^^ define('DISALLOW_FILE_EDIT', true); を wp-config.php 挿入するのですね^^ 改めて修正してみました。 動作にはまったく問題がないように見え、よく修正されたようです。 良い情報ありがとうございます^^

      • うまく解決されてよかったです。

        (以前のコメントに追加されたスクリーンショットを見るとwp-config.phpファイルに.htaccessファイルに入力する必要がコードが入っていますね。笑)

        楽しい一日になってください^^

  4. オム.....これは部分的です... htaccessファイルが見つかりません^^; このファイルの中に入ると、そのように黒いウィンドウが開いてその中に命令を入力できるようになりますか? コミュニケーションのテーマで WordPress してジュェソンハムダㅠㅜ笑

    応答
  5. 管理者の領域のみ、特定のIP以外のアクセスをブロックするには、次のコードを使用することができます(.htaccess)。

    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName "WordPress Admin Access Control"
    AuthType Basic

    order deny,allow
    deny from all
    # whitelist Syed's IP address
    allow from xx.xx.xx.xxx
    # whitelist David's IP address
    allow from xx.xx.xx.xxx
    # whitelist Amanda's IP address
    allow from xx.xx.xx.xxx
    # whitelist Muhammad's IP address
    allow from xx.xx.xx.xxx
    # whitelist Work IP address
    allow from xx.xx.xx.xxx

    応答
    • こんにちは?
      WordfenceとAIO WP Securityは、同様の機能をするプラグインはありますか?
      似たような機能をするプラグインの場合のみインストールすることをお勧めします。
      (まるでPCでウイルス対策プラグインを重複してインストールすると、問題が発生しと似ていると考えてくださいだろう。)
      もし両方のプラグインの機能が異なる場合には、一緒に使用してもよいでしょう。

      応答
  6. 多くの記事を見たが、admin、administratorの使用禁止はどこからも知ることができない内容でした。

    リーケプチャだけつけておいて、安心していたが、
    ワードクラッカーさんの文章を読んでみると多くを学ぶこともあるが反省も多くになりますね。

    応答
    • スパムフィルタプラグインをインストールしてみるといくつかのプラグインでは、不法にログインを試みたことを見せてくれたりします。
      IP Blacklist Cloudというプラグインもその一つです。
      このプラグインをインストールして、監視してみるとAdmin、admin、administratorなどでログインしようとすることを確認することができます。 たまにdemo1でもログインを試みますが、管理者IDでdemo1を多くの人が使用しているが分かりません。 (https://www.thewordcracker.com/intermediate/change-wordpress-admin-url/ )

      ところが、このようなプラグインをインストールすると、一度、管理者自身も、スパムと認識されてブロックされて、管理者が自分のサイトにアクセスできなくて苦労している場合もあります(笑)

      応答