How WordPress websites get hacked
CMS として広く普及しているので、WordPress もハッカーの人気ターゲットです。
Hacking attacks are mostly opportunistic rather than about targeting (although big brand websites are specifically target). ほとんどの攻撃は自動化されており、ボットは悪用するセキュリティの弱点を求めてインターネット上を縦横無尽に検索しています。
- 安全でない Web サイトのホスティング
- ログイン情報 – たとえば、ユーザー名とパスワードのランダムな組み合わせを複数回試みる
- CMS やプラグイン、テーマ ソフトウェアのセキュリティ上の弱点 – 通常、アップデートされていない場合
ハッカーの動機はさまざまだが、多くは利益についてである。 マルウェアの配布、ユーザー データの取得、スパム メールの送信、Web サイト訪問者のリダイレクトなど、サイトをハッキングすると、非常に大きな利益を得ることができます。
このようなセキュリティ侵害は、ユーザーの信頼を損ね、法的違反の原因となり、何千ポンドものコストがかかる可能性もあり、Web サイトやビジネスに大きなマイナスの影響を与える可能性があります。
私の WordPress サイトはハッキングに対して脆弱ですか?
WordPressの初心者や小規模なサイトの所有者は、セキュリティについて心配する必要はないと考えがちです。 自分のサイトはハッカーの関心を引くには小さくて重要でないと思い込んでいるのです。
この思い込みは間違っています。
あらゆる規模の WordPress サイトがハッキングされています。 ハッカーは自動化されたボットを使用して、セキュリティ上の弱点のあるサイトをインターネットでスキャンし、機会があればどこでもハッキングします。
実現すべきもうひとつの重要なことは、ハッカーがあなたのサイトに侵入しようとしているときに、あなたが気づかない可能性もあるということです。 ハッキングの試みについて定期的にセキュリティの通知を受け取らない限り、おそらくハッキングが成功し、Web サイトの何かがうまくいかなくなったときに初めて気づくでしょう。
要点は、すべてのサイトはハッキングに対して脆弱であり、予防は治療に勝るということです。 このような状況下において、「このままではいけない」ということであれば、「このままではいけない」ということであれば、「このままではいけない」ということであれば、「このままではいけない」ということであれば、「このままではいけない」ということであれば、「このままではいけない」ということであれば、「このままではいけない」ということであれば、「このままではいけない」ということであれば、「このままではいけない」ということであれば、「このままではいけない」ということであれば、「このままではいけない」ということになりますので、「このままではいけない」ということになりますので、「このままではいけない」ということになりますので、「このままではいけない」ということになりますので、「このままではいけない」ということになりますので、「このままではいけない」ということになりますので、「このままではいけない」ということになりますので、「このままではいけない」ということになりますので、「このままではいけない」ということになりますので、「このままではいけない」ということになります。
ホスティングプロバイダーを選ぶ際には、どのようなセキュリティ対策(ファイアウォールや安全なFTPなど)をしているか、サーバーネットワークをどのように監視しているか、セキュリティ侵害にどのように対応しているかを確認するようにします。
最も安全な(しかし最も高価な)ホスティング オプションは、専用サーバーです。
2) セキュリティプラグインを入手する
高品質のセキュリティプラグインは、WordPressサイトがハッキングされるのを防ぐために必要不可欠なものです。
セキュリティ プラグインには一般的に次のものが含まれます:
- 疑わしいトラフィックをブロックするファイアウォール
- 複数のランダム ログイン試行に対する徹底的な保護
- ファイル、テーマ、プラグインのセキュリティ問題をチェックするスキャナ
- セキュリティに関する定期通知
私たちは Wordfence – 優れた無料のセキュリティ プラグインをお勧めします。 インストールすると、WordPress ダッシュボードの左側のメニューに「Wordfence」が表示されます。 いつでもここをクリックして、サイトをスキャンし、最新の通知を確認し、サイトのセキュリティを改善するための推奨事項を得ることができます。
3) 安全なテーマを選ぶ
サイトに適したテーマを選択することは非常に重要です。 もちろん、あなたの組織に適した外観と機能を備えている必要があります。
安全なテーマは次のとおりです。
- 定期的に更新され、パッチが適用される
- 優れたコーディング標準に従う
- バグや互換性エラーがない
7,000 以上の WordPress テーマがあり、どこから手をつけてよいかわからないことがあるかもしれませんね!
安全なテーマを選択する。
安全なテーマを選択する最善の方法は、WordPress.org を見ることです。 そこで、テーマのレビューを閲覧し、テーマのインストール数を確認し、テーマが最後に更新された日を見ることができます。 WordPress ソフトウェアの更新は、パフォーマンスを最適化し、発見されたセキュリティ問題を修正するために定期的に行われます。
ほとんどの WordPress コアリリースの自動更新を適用することが可能なので、何もしなくてもバックグラウンドでサイトが更新されるようになります。 しかし、より大きなリリースには手動で対処する必要があります – 最初にサイトをバックアップしてください!
更新メッセージは、利用可能になり次第、WordPress ダッシュボードに表示されます。 それらをクリックするだけで、アクションを実行できます。
5) 安全なログイン情報を使用する
前述のように、ハッカーがWordPressサイトにアクセスする主な方法の1つは、自動的な「推測」によるログイン試行です。 ユーザー名とパスワードが明白であればあるほど、これらの試みが成功する可能性が高くなります。
ハッキングを防ぐために、非定型のユーザー名を選択するようにしてください。 これは基本的に、ハッカーが最初に試すユーザー名として一般的な「admin」を使用しないことを意味します。
次に、文字、記号、数字を組み合わせた安全なパスワードにします。 最大限のセキュリティを確保するために、これは少なくとも12文字で、辞書の単語を含まないようにします。
WordPressダッシュボードへのログインを保護するだけでなく、カスタム電子メールアドレスなど、他のWebサイト関連のアカウントにも安全なユーザー名とパスワードを選択することを確認します。
6)二要素認証を追加する
二要素認証を有効にすることで、WordPress ログインをさらに強化することができます。 これは、サイトのバックエンドに複数のユーザーがログインしている場合に特に便利です。
二要素認証では、ユーザーは 2 段階でログインします。 まず、ユーザーはユーザー名とパスワードを入力します。
上で推奨した Wordfence セキュリティ プラグインを使用すると、2 要素認証は簡単に有効にできます。
設定するには、WordPressのダッシュボードにあるWordfence > Login Securityに行き、与えられたキーをコピーしてください。 次に、Google Authenticator(または他の認証アプリ)をダウンロードし、このキーを入力します。
この時点で、アプリは6桁のコードを提供します。 WordPressのダッシュボードでこれを入力し直し、「有効化」をクリックします。
これで二要素認証が有効になりました。 これは、WordPressにログインしようとするたびに、認証アプリにアクセスしてパスコードを収集するよう促されることを意味します。
7) ファイル編集を無効にする
WordPressにはコードエディターがあり、ダッシュボードからサイトのファイルを編集することができます。 これは明らかに便利な機能ですが、それはまた、ハッキングの面で大きな負債です。 したがって、それをオフにすることをお勧めします。
ファイル編集を防ぐもうひとつの方法は、/wp-content/uploads/フォルダーのPHPファイルの実行を無効にすることです。 このためには、メモ帳、または同様のテキストエディタを開き、以下を貼り付けます:
<Files *.php>
deny from all
</Files>
これを .html として保存すると、.php ファイルを編集できないようになります。htaccess として保存し、Web サイトの /wp-content/uploads/ フォルダにファイルをアップロードすると、ハッカーによる PHP 実行へのバックドア攻撃を防ぐこともできます。
8) Web サイトとコンピューターをスキャンする
マルウェア、ウイルス、疑わしいコードがないか確認するため、Web サイトを定期的にスキャンすることが重要です。 Wordfence プラグインを使用している場合、これは Wordfence > Scan に移動し、「Start new scan」をクリックすることで実行できます。
問題がある場合、Wordfence はその修正方法を提案し、あなたのサイトを再び安全にする方法を教えてくれます。 少なくとも月に一度はスキャンすることをお勧めします。もっと頻繁にできるのであれば、なおさらです!
しかし、サイトを運営しているコンピュータが盗聴されたり感染したりしていたら、安全なサイトであることを当てにすることはできません。 そこで、自分のコンピュータやデバイスも定期的にスキャンするようにしましょう。
デバイスには優れたアンチウイルスソフトウェアを使用し、定期的にシステムを更新するようにしてください。 また、インターネット閲覧中にハッキングされないように、ブラウザのプライバシー設定を確認することをお勧めします。
9) HTTPSの使用
HTTPSサイトを持つことは、ウェブサイトとユーザーのブラウザの間の通信が暗号化されることを意味します。 したがって、これもハッキングを防ぐ重要な方法です。
まだ HTTPS サイトを持っていない場合、移行は非常に簡単です。 SSL (Secure Sockets Layer) 証明書を取得するだけで、すべての Web サイトが無料で Let’s Encrypt から入手できます。
すでに SSL 証明書を取得している場合は、2 年ごとに更新するようにカレンダーのリマインダーを設定することを忘れないようにしてください。 そうしないと、忘れてしまい、サイトのHTTPSステータスや優れたセキュリティ認証が失効してしまいます。
10) バックアップ、バックアップ、バックアップ!
最後のヒントは、実際にハッキングを防ぐことはできませんが、サイトがハッキングされた場合に備えて取るべき最も重要なステップでしょう。 ホスティングプロバイダーに必ず相談してください。ホスティングパッケージの一部としてバックアップが含まれている場合があります。
あるいは、WordPress 代理店に相談するか、バックアッププラグインをインストールします。 いずれの方法でも、WordPressサイトを定期的にバックアップし、バックアップファイルを安全に保存して、必要なときにそこにあることを確認します。