最近、独自のWordPressサイトを立ち上げるのはとても簡単です。残念ながら、ハッカーがサイトを標的にし始めるのにそれほど時間はかかりません。
WordPressサイトを安全にするための最良の方法は、WordPressサイトの実行に起因する脆弱性のすべてのポイントを理解することです。次に、適切なセキュリティをインストールして、これらの各ポイントでハッカーをブロックします。
この記事では、ドメイン、WordPressログイン、およびWordPressサイトを保護するために利用できるツールとプラグインをより適切に保護する方法を学習します。
プライベートドメインを作成する
最近では、利用可能なドメインを見つけ(find an available domain)て非常に安い価格で購入するのは簡単すぎます。ほとんどの人は、自分のドメイン用のドメインアドオンを購入することはありません。ただし、常に考慮する必要があるアドオンの1つは、プライバシー保護(Privacy Protection)です。
GoDaddyによるプライバシー保護には3つの基本的なレベルがありますが、これらはほとんどのドメインプロバイダーの製品とも一致します。
- 基本: (Basic)WHOISディレクトリから名前と連絡先情報を非表示にします。これは、政府がドメインの連絡先情報を非表示にすることを許可している場合にのみ利用できます。
- フル(Full):自分の情報を別のメールアドレスと連絡先情報に置き換えて、実際の身元を隠します。
- 究極(Ultimate):悪意のあるドメインスキャンをブロックする追加のセキュリティ。実際のサイトのWebサイトセキュリティ監視が含まれます。
通常、ドメインをこれらのセキュリティレベルのいずれかにアップグレードするには、ドメインリストページのドロップダウンからアップグレードすることを選択する必要があります。
基本的(Basic)なドメイン保護はかなり安価であり(通常は年間約9.99ドル)、より高いレベルのセキュリティはそれほど高価ではありません。
これは、スパマーがWHOISデータベースから連絡先情報を取得したり、悪意を持って連絡先情報にアクセスしたい他の人を阻止するための優れた方法です。
(Hide)wp-config.phpおよび.htaccessファイルを非表示にする
WordPressを初めてインストールするときは、 (install WordPress)WordPressSQLデータベースの管理者IDとパスワードをwp-config.phpファイル に含める必要があります。
そのデータはインストール後に暗号化されますが、ハッカーがこのファイルを編集してWebサイトを破壊できないようにする必要もあります。これを行うには、サイトのルートフォルダーで.htaccessファイルを見つけて編集し、ファイルの下部に次のコードを追加します。
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
.htaccess自体が変更されないようにするには、ファイルの最後にも以下を追加します。
# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
ファイルを保存して、ファイルエディタを終了します。
また、各ファイルを右クリックし、アクセス許可を変更して、すべてのユーザーの書き込み(Write)アクセスを完全に削除することを検討することもできます。
wp-config.phpファイルでこれを実行しても問題は発生しませんが、.htaccessで実行すると問題が発生する可能性があります。特に、.htaccessファイルを編集する必要があるセキュリティWordPressプラグインを実行している場合。(WordPress)
WordPressからエラーが発生した場合は、いつでもアクセス許可を更新して、.htaccessファイルへの書き込みアクセスを再度許可できます。(Write)
WordPressのログインURLを変更する
すべてのWordPress(WordPress)サイトのデフォルトのログインページはyourdomain/wp-admin.phpであるため、ハッカーはこのURLを使用してサイトにハッキングしようとします。
彼らは、多くの人が一般的に使用する典型的なユーザー名とパスワードのバリエーションを送信する「ブルートフォース」攻撃として知られているものを介してこれを行います。ハッカーは、幸運に恵まれ、正しい組み合わせが得られることを望んでいます。
WordPressのログインURL(WordPress login URL)を非標準に変更することで、これらの攻撃を完全に阻止できます。
これを行うのに役立つWordPress(WordPress)プラグインはたくさんあります。最も一般的なものの1つは、WPSHideLoginです。
このプラグインは、 WordPressの[設定(Settings)]の下の[全般(General)]タブにセクションを追加します。
そこで、任意のログインURLを入力し、[(URL)変更を保存](Save Changes)を選択してアクティブにします。次回WordPressサイトにログインするときは、この新しいURLを使用してください。
誰かが古いwp-adminURLにアクセスしようとすると(URL)、サイトの404ページにリダイレクトされます。
注:キャッシュプラグインを使用する場合は、キャッシュし(Note)ない(not)サイトのリストに新しいログインURLを追加してください。次に、 WordPress(WordPress)サイトに再度ログインする前に、必ずキャッシュを削除してください。
WordPressセキュリティプラグインをインストールする
選択できるWordPressセキュリティプラグイン(WordPress security plugins)はたくさんあります。それらすべての中で、Wordfenceは、正当な理由から、最も一般的にダウンロードされるものです。
Wordfenceの無料バージョンには、バックドアの脅威、プラグインまたはサイト内の悪意のあるコード、 (malicious code in your plugins)MySQLインジェクションの脅威などを検索する強力なスキャンエンジンが含まれています。また、 DDOS(DDOS)攻撃 などのアクティブな脅威をブロックするファイアウォールも含まれています。
また、ログイン試行を制限し、誤ったログイン試行を何度も行うユーザーをロックアウトすることで、ブルートフォース攻撃を阻止できます。
無料版ではかなりの数の設定が利用可能です。ほとんどの攻撃から中小規模のWebサイトを保護するには十分すぎるほどです。
ブロックされた最近の脅威や攻撃を監視するために確認できる便利なダッシュボードページもあります。
WordPressパスワードジェネレータ(WordPress Password Generator)と2FAを使用する
最後に必要なのは、ハッカーがパスワードを簡単に推測できるようにすることです。残念ながら、非常に多くの人が推測しやすい非常に単純なパスワードを使用しています。いくつかの例には、パスワードの一部としてWebサイト名またはユーザー自身の名前を使用することや、特殊文字を使用しないことが含まれます。
WordPressの最新バージョンにアップグレードした場合は、 WordPressサイト を保護するための強力なパスワードセキュリティツールにアクセスできます。
パスワードのセキュリティを向上させるための最初のステップは、サイトの各ユーザーに移動し、 [アカウント管理](Account Management)セクションまでスクロールして、[パスワードの生成(Generate Password)]ボタンを選択することです。
これにより、文字、数字、特殊文字を含む、長くて非常に安全なパスワードが生成されます。このパスワードは安全な場所に保存してください。できれば、オンライン中にコンピューターから切断できる外付けドライブのドキュメントに保存してください。
[他の場所でログアウト](Log Out Everywhere Else)を選択して、アクティブなすべてのセッションが閉じていることを確認します。
最後に、Wordfenceセキュリティプラグインをインストールした場合は、[2FAのアクティブ化(Activate 2FA)]ボタンが表示されます。これを選択して、ユーザーログインの2要素認証を有効にします。
Wordfenceを使用していない場合は、これらの人気のある2FAプラグインのいずれかをインストールする必要があります。
その他の重要なセキュリティ上の考慮事項(Important Security Considerations)
WordPressサイトを完全に保護するためにできることは他にもいくつかあります。
WordPressプラグインと(WordPress plugins)WordPress自体のバージョンの両方を常に更新する必要があります。ハッカーは、サイト上の古いバージョンのコードの脆弱性を悪用しようとすることがよくあります。これらの両方を更新しないと、サイトが危険にさらされたままになります。
1.WordPress(WordPress)管理パネルでプラグイン(Plugins)とインストール済みプラグ(Installed Plugins)インを定期的に選択します。すべてのプラグインを確認して、新しいバージョンが利用可能であることを示すステータスを確認します。(Review)
古いものが表示された場合は、[今すぐ更新](update now)を選択します。プラグインの自動更新を有効にするを選択することも検討してください。
ただし、プラグインの更新によってサイトやテーマが破損することがあるため、これを行うことに慎重な人もいます。したがって、ライブサイトでプラグインを有効にする前に、ローカルのWordPressテストサイトでプラグインの更新をテストすることをお勧めします。(local WordPress test site)
2. WordPress(WordPress)ダッシュボードにログインすると、古いバージョンを実行している場合、 WordPressが古くなっているという通知が表示されます。
繰り返しになりますが、サイトをバックアップし、自分のPCのローカルテストサイトにロードして、ライブWebサイトで更新する前に、WordPressの更新によってサイトが破損しないことをテストします。
3.ウェブホストの無料のセキュリティ機能を利用します。ほとんどのウェブホストは、そこでホストするサイトにさまざまな無料のセキュリティサービスを提供しています。これは、サイトを保護するだけでなく、サーバー全体を安全に保つためです。これは、他のクライアントが同じサーバー上にWebサイトを持っている共有ホスティングアカウントを使用している場合に特に重要です。
多くの場合、これらには、サイトの無料のSSLセキュリティ(free SSL security)インストール、無料のバックアップ(free backups)、悪意のあるIPアドレスをブロックする機能、さらには悪意のあるコードや脆弱性がないかサイトを定期的にスキャンする無料のサイトスキャナーが含まれます。
ウェブサイトの運営は、 WordPress(WordPress)をインストールしてコンテンツを投稿するほど簡単ではありません。WordPressのウェブサイトをできるだけ安全にすることが重要です。上記のすべてのヒントは、あまり労力をかけずにそうするのに役立ちます。
How to Make a WordPress Site Secure
Launching your own WordPress site these dayѕ is prettу easy. Unfortυnately, it won’t take long for hackerѕ to start targeting your site.
The best way to make a WordPress site secure is to understand every point of vulnerability that comes from running a WordPress site. Then install the appropriate security to block hackers at each of those points.
In this article you’ll learn how to better secure your domain, your WordPress login, and the tools and plugins available to secure your WordPress site.
Create a Private Domain
It’s all too easy these days to find an available domain and purchase it at a very cheap price. Most people never purchase any domain addons for their domain. However, one add-on you should always consider is Privacy Protection.
There are three basic levels of privacy protection with GoDaddy, but these also match offerings of most domain providers.
- Basic: Hide your name and contact info from the WHOIS directory. This is only available if your government allows you to hide domain contact information.
- Full: Replace your own information with an alternative email address and contact info to cloak your actual identity.
- Ultimate: Additional security that blocks malicious domain scanning, and includes website security monitoring for your actual site.
Usually, upgrading your domain to one of these security levels just requires choosing to upgrade from a dropdown on your domain listing page.
Basic domain protection is fairly cheap (usually around $9.99/yr), and higher levels of security aren’t much more expensive.
This is an excellent way to stop spammers from scraping your contact info off of the WHOIS database, or others with malicious intent who want to get access to your contact information.
Hide wp-config.php and .htaccess Files
When you first install WordPress, you’ll need to include the administrative ID and password for your WordPress SQL database in the wp-config.php file.
That data gets encrypted after installation, but you also want to block hackers from being able to edit this file and break your website. To do this, find and edit the .htaccess file on the root folder of your site and add the following code at the bottom of the file.
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
To prevent changes to .htaccess itself, add the following to the bottom of the file as well.
# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
Save the file and exit the file editor.
You might also consider right-clicking each file and changing the permissions to remove Write access entirely for everyone.
While doing this on the wp-config.php file shouldn’t cause any issues, doing it on .htaccess could cause issues. Especially if you’re running any security WordPress plugins that may need to edit the .htaccess file for you.
If you do receive any errors from WordPress, you can always update permissions to allow Write access on the .htaccess file again.
Change Your WordPress Login URL
Since the default login page for every WordPress site is yourdomain/wp-admin.php, hackers will use this URL to try and hack into your site.
They will do this through what’s known as “brute force” attacks where they’ll send variations of typical usernames and passwords many people commonly use. Hackers hope that they’ll get lucky and land the right combination.
You can stop these attacks entirely by changing your WordPress login URL to something non-standard.
There are lots of WordPress plugins to help you do this. One of the most common is WPS Hide Login.
This plugin adds a section to the General tab under Settings in WordPress.
There, you can type in any login URL you want and select Save Changes to activate it. Next time you want to log into your WordPress site, use this new URL.
If anyone tries to access your old wp-admin URL, they’ll get redirected to your site’s 404 page.
Note: If you use a cache plugin, make sure to add your new login URL to the list of sites not to cache. Then make sure to purge the cache before you log back into your WordPress site again.
Install a WordPress Security Plugin
There are a lot of WordPress security plugins to choose from. Of all of them, Wordfence is the most commonly downloaded one, for good reason.
The free version of Wordfence includes a powerful scan engine that looks for backdoor threats, malicious code in your plugins or on your site, MySQL injection threats, and more. It also includes a firewall to block active threats like DDOS attacks.
It will also let you stop brute force attacks by limiting login attempts and locking out users who make too many incorrect login attempts.
There are quite a few settings available in the free version. More than enough to protect small to medium websites from most attacks.
There is also a useful dashboard page you can review to monitor recent threats and attacks that have been blocked.
Use the WordPress Password Generator and 2FA
The last thing you want is for hackers to easily guess your password. Unfortunately, too many people use very simple passwords that are easy to guess. Some examples include using the website name or the user’s own name as part of the password, or not using any special characters.
If you’ve upgraded to the latest version of WordPress, you have access to powerful password security tools to secure your WordPress site.
The first step to improve your password security is to go to each user for your site, scroll down to the Account Management section, and select the Generate Password button.
This will generate a long, very secure password that includes letters, numbers, and special characters. Save this password somewhere safe, preferably in a document on an external drive that you can disconnect from your computer while you’re online.
Select Log Out Everywhere Else to make sure all active sessions are closed.
Finally, if you’ve installed the Wordfence security plugin, you’ll see an Activate 2FA button. Select this to enable two-factor authentication for your user logins.
If you aren’t using Wordfence, you’ll need to install any of these popular 2FA plugins.
Other Important Security Considerations
There are a few more things you can do to fully secure your WordPress site.
Both the WordPress plugins and the version of WordPress itself should be updated at all times. Hackers often try to exploit vulnerabilities in older versions of code on your site. If you don’t update both of these, you’re leaving your site at risk.
1. Regularly select Plugins and Installed Plugins in your WordPress admin panel. Review all plugins for a status that says a new version is available.
When you do see one that’s out of date, select update now. You may also consider selecting Enable auto-updates for your plugins.
However, some people are wary of doing this since plugin updates can sometimes break your site or theme. So it’s always a good idea to test plugin updates on a local WordPress test site before enabling them on your live site.
2. When you log into your WordPress dashboard, you’ll see a notification that WordPress is out of date if you’re running an older version.
Again, backup the site and load it to a local test site on your own PC to test that the WordPress update doesn’t break your site before you update it on your live website.
3. Take advantage of your web host’s free security features. Most web hosts offer a variety of free security services for the sites you host there. They do this because it not only protects your site, but it keeps the entire server safe. This is especially important when you’re on a shared hosting account where other clients have websites on the same server.
These often include free SSL security installs for your site, free backups, the ability to block malicious IP addresses, and even a free site scanner that’ll regularly scan your site for any malicious code or vulnerabilities.
Running a website is never just as simple as installing WordPress and just posting content. It’s important to make your WordPress website as secure as possible. All of the above tips can help you do so without too much effort.
