この記事はもともと 2014 年 2 月に書かれたもので、戦術の変更に応じて定期的に更新されます。
ヒント:Web サイトが現在ハッキングされている場合、これは必要なガイドではありません。ハッキングされた WordPress サイトをクリーンアップするためのガイドをご覧ください。 後、ここに戻って強化してください ウェブサイトはきれいになりました。
ウェブサイトが改ざん、ハッキング、または破損する仕組みと理由
ほとんどのサイトは既知の脆弱性によって侵害されています 古いウェブベースのスクリプトとアプリケーションで .簡単に言えば、メッセージ ボード、ブログ ソフトウェア、コンテンツ管理システムなどの一般的なソフトウェアの古いバージョンを実行すると、Web サイトが危険にさらされる可能性があることを意味します。 Web サイトが一般的に侵害される他の方法は、安全でないパスワードや盗まれたパスワード、および不適切なファイル アクセス許可が原因です。
なぜ誰かが私のウェブサイトをハッキングしようとするのでしょうか?自分のサイトに個人情報や財務情報を保存していないので、心配する必要はありませんよね? 多くの人は、誰も自分の Web サイトを侵害したくないと考えているため、そのセキュリティについて心配する必要はないと感じています。 やめて .
彼らはあなたのサイトの情報を必要としないかもしれませんが、ほとんどの場合、あなたのサイトはウイルスやスパイウェアを拡散したり、訪問者を騙してサイトに誘導したりするために使用されます.侵害されたサイトのほとんどは、これを行うためにファイルに悪意のあるコードが挿入されています。
セキュリティ プラグインとツール
WordPress のセキュリティ プラグインとツールには注意してください。それらのほとんどは、後にさらなる被害を防ぐことに焦点を当てる傾向があります 誰かがすでにあなたのサイトにハッキングしたり、WordPress のログイン ページなどを隠したり (これは、ドアにシーツを投げて、誰も気付かないことを願うようなものです)、実際に侵入を防ぐのではありません。
誰かがアクセス権を取得した後、彼らが何をしたかを確認することは非常に難しいため、最初にそれらをブロックすることがはるかに重要です.したがって、私たちのヒントは、侵入を防ぐためにサイトに加えることができる変更の種類に焦点を当てています .
「しかし、他にも何十ものセキュリティ プラクティスを見逃していませんか?!」と思われるかもしれません。 おそらく、他のブログで、または他のホスティングプロバイダーやWordPressの専門家からそれらについて読んだことがあります. WordPress に 50 以上のセキュリティ改善を加えることができる記事がたくさんあります。これらの 50 以上の調整の大部分は、自動化されたツールが後にダメージを与えるのを防ぐように設計されています 彼らはすでにあなたのウェブサイトへの管理者アクセスを取得しています. このガイドのすべてのステップに従うことで、WordPress Web サイトへのアクセスを最初から防止する方法を設定できます。
ウェブサイトを強化する 10 の方法
#1 のヒント :定期的にバックアップを取ってください! (当社でホスティングしている場合、バックアップを自動化する方法は次のとおりです) バックアップがある場合、バックアップの復元は、ハッキングされた WordPress サイトをクリーンアップするよりも桁違いに速くて簡単です。
1.ログイン試行制限プラグインをインストールする
注:弊社でホストする場合、これはオプションです。理由は下のボックスに記載されています。
このプラグインを使用すると、WordPress ダッシュボードへのログイン試行の失敗回数を制限できます。これにより、システムを「ブルート フォース」しようとして、ランダムなパスワードを使用して Web サイトに何度もログインしようとする人々から保護されます。こちらからプラグインをダウンロードできます。これにより、試行回数が 3 回に制限されます。
ワンクリック Web アプリケーション インストーラーを使用した場合、このプラグインはデフォルトでインストールされます。そうでない場合は、上記のリンクを使用してインストールできます。
WordPress ホスティングには、同じ IP からの複数のログイン試行を自動的に検出し、悪意のある IP アドレスを禁止するサーバーレベルのツールが付属していることをご存知ですか?プラグインをインストールしても害はありませんが、当社のホスティングでは、もはや必須ではありません!
2.管理者ユーザー:安全なパスワードを使用して監査する
後で変更する予定の「一時的な」パスワードは絶対に使用しないでください。調整するのを忘れがちです。 WordPress の [ユーザー] でパスワードを変更すると、デフォルトで自動生成された安全なパスワードが提供されます。 それが提供するものを使用してください。独自のものを使用しようとしないでください。弱い可能性があります。
長いパスワードの保持/記憶に問題がある場合でも、私たちはあなたを責めません:LastPass や 1Password などのパスワード マネージャーを使用して、ランダムに生成されたすべてのパスワードを追跡し、それらすべてを 1 つの強力なマスター パスワードでロックします。
不要な管理者ユーザーを削除して、数か月ごとに管理者ユーザーを監査することもお勧めします。選択した To Do リスト ソフトウェアでタスクを設定し、これを四半期ごとに実行します。
3.ソフトウェアを常に更新する
注:WordPress サイトをホストしている場合、更新は 100% 自動化されます。プレミアム プラグインまたはテーマのライセンスが有効になっていることを確認し、ワンクリック Web アプリで自動更新を有効にしてください。
これには、コア WordPress ソフトウェア、すべてのプラグイン、およびインストールしたすべてのテーマが含まれます。 この手順と安全なパスワードの組み合わせは、最も重要な 2 つの手順です . WordPress、プラグイン、およびテーマの開発者は、機能を追加し、セキュリティ上の欠陥を修正するための更新をリリースします。新しいバージョンが利用可能になるたびに、ソフトウェアを更新することが重要です。
商用プラグインまたはテーマを使用している場合は、その指示に従ってライセンス キーを保存してください。 プラグインの設定に移動して、自動更新を有効にします。これは、BeaverBuilder、Gravity Forms、WooCommerce 拡張機能など、ほとんどの商用プラグインのオプションです。
商用テーマまたはプラグインが自動更新をサポートしていない場合は、選択した To Do リスト ソフトウェアに定期的なタスクを追加して、更新を定期的に確認し、手動でインストールする必要があります。そのようなプラグインに遭遇した場合、私たち開発者は自動更新を追加します。意図しない場合は、代替手段を見つけます。 これは、手動のプラグインやテーマの更新を把握するために必要な時間を割く価値がないためです.
4.古いソフトウェアを削除
ウェブサイトに複数のバージョンの WordPress (またはその他のソフトウェア) がインストールされていて、そのうちの 1 つをもう使用していない場合でも、それが最新であることを確認するか、完全に削除する必要があります。古くて忘れ去られたソフトウェアのインストールは、自動化されたハッキング ツールが Web サイトにアクセスする非常に一般的な方法です。
インストール済みのプラグインとテーマについても同様です。使用していない場合は、削除してください!
5. HTTPS を有効にして強制する
最近では、安全でない HTTP の代わりに HTTPS を使用するのは簡単です!
<オール>これで、WordPress へのすべてのログインがエンドツーエンドで完全に保護されます。ネットワーク上でパスワードを盗聴することはできません!
6. WordFence や Sucuri などのセキュリティ プラグインを使用する
これについて注意すべき点がいくつかあります:
- 私たちと一緒にホストしている場合、これは不可欠なツールではありません。ブルートフォース攻撃から脆弱性の調査まで、WordFence とほぼ同じ種類の侵入試行をブロックするファイアウォールの組み合わせを使用しています。
- 多くのセキュリティ プラグインは偽物であり、推奨するだけで、ウェブサイトを積極的に保護していません。 WordFence が最高で、Sucuri が僅差で 2 位です。
- WordFence は、ハッキングされた Web サイトをクリーンアップするときにも便利です。 感染したファイルを自動的に駆除します。
- VPS を使用している場合は、毎週の WordFence スキャンを有効にしても問題ありません。共有ホスティングを使用している場合、これらのスキャンを有効にすると、リソースが不必要に消費される可能性があります。特に、このリストにある他のすべてを実装する予定であり、私たちと一緒にホスティングしている場合はなおさらです。
注:多くをテストしました これらのツールを使用して、これらの結論に達します。ハッキングされたサイトに以前にインストールされた、いわゆるセキュリティ プラグインもいくつか確認されています。
7.自分以外のログイン アクセスを拒否する
管理者レベルのすべてのユーザーに対して非常に安全なパスワードを既に持っている場合、この手順は必須ではありませんが、アルミ箔の帽子をかぶるのが好きな場合は、適用しても害はありません。
HTTP 認証を使用して wp-admin フォルダーをパスワードで保護する方法については、ガイドをお読みください。ガイドに従うと、入力するフォルダーは wp-admin フォルダーになります。
完了すると、2 レベルのパスワード入力ができます 管理者、HTTP 認証、および標準の WordPress 管理者ログインに到達する前に。パスワードは必ず別のものにしてください。それらが同じである場合、それらを推測しようとするボットは、最初のレイヤーを通過した後は何の問題もありません.
8.可能な限り、Fast-CGI または FPM モードで最新の PHP を実行してください。
最新のコントロール パネルを使用している場合は、FastCGI または Apache PHP による PHP の実行を選択できます。可能であれば、FastCGI または FPM 方式を選択してください。
WordPress には、フォルダーへの書き込みやコンテンツのアップロードを適切に行うために、グローバル アクセス 777 パーミッションの設定が必要であると考えているテーマやプラグインが多数あります。ほとんどの場合、それらは間違っています。 「777」は、そのサーバーでホストされているすべてのユーザーが、それらの権限を持つすべてのファイルを読み取り、書き込み、実行できることを意味します。
これは大きなセキュリティ リスクであり、共有 Web ホスティング環境を使用している場合は大きな問題となります。同じサーバー上で別の Web サイトが侵害された場合、777 権限が設定されているファイルやフォルダーにアクセスできます。
FastCGI または FPM モードを使用すると、PHP が強制的にユーザー名として実行され、これらの問題が完全に回避され、デフォルトのファイルとフォルダーのアクセス許可でうまく機能します。当社でホスティングしている場合、FPM または FastCGI モードが Web サイトのデフォルトです。
最新バージョンの PHP を実行していることを確認してください。 PHP 開発者によって定期的にサポートされているメジャー バージョンは最新の 2 つだけなので、7.0 以前 (2019 年 12 月現在) などの古いバージョンを実行すると、サイトにセキュリティ リスクが生じる可能性があります。
9.暗号化されていない限り、パスワードをコンピューターに保存しない
コンピューター上の多くのプログラムは、実際にはパスワードをプレーン テキストで保存します。これは、コンピューターにウイルスや特定のスパイウェアが存在する場合、WordPress または Web サイトのインストール用の FTP または Web ベースの資格情報にアクセスできる可能性があることを意味します。
アプリケーションにパスワードを保存する場合は、パスワードが暗号化されているかプレーン テキストで保存されているかを必ず確認してください。たとえば、Apple のキーチェーン システムを使用してパスワードを保存するアプリケーションは、パスワード ストレージを完全に保護しています。残念ながら、FileZilla はそうではありません そのため、FileZilla のデータ ファイルを探すことを知っているウイルスにコンピューターが感染した場合、FileZilla のサイト マネージャー ツールにパスワードを保存すると問題が発生する可能性があります。
10.コンピューターで常にマルウェア対策ソフトウェアを実行していることを確認してください
これは言うまでもありませんが、これらのいずれも実行しないことが非常に一般的です。 他人があなたのパソコンからあなたのパスワードを入手できれば、あなたのウェブサイトやサーバーがどれほど安全であっても問題ありません .
これらのヒントに従えば、サイトのハッキングに使用できる残りの方法は 2 つだけです:
<オール>