WordPress プラグインでサイトを保護するための6つのヒント
CMS (コンテンツ管理システム) を使用するサイトのなんと64%がWordPressを使用しており、世界で最も使用されているソフトウェアの1つとなっています。この直感的で使いやすいツールを使用すると、ウェブ開発に関する特に高度な知識がなくても、ウェブサイトを作成および設定できます。無料または有料で利用できるWordPress プラグインは何千もあります。こういったプラグインは、サイトに新しい機能を追加するか、既存の機能を拡張することができます。
WordPress はその人気のため、サイバー犯罪者の選択のターゲットにもなっており、データとユーザーのデータを保護するためにもサイトを保護する必要があります。 WordPressプラグインを使用してサイトのセキュリティを強化するための6つのアイデアを共有します。
1. データを定期的にバックアップ
セキュリティの観点から行うべき最も重要なことは、WordPress サイトの定期的なバックアップを作成することです。データを保存することは、次のことを可能にするために不可欠です。
- サイトに問題が発生しても記事など全てを失わないようにする
- ハッキングされた場合だけでなく、サイトを失う可能性のあるその他のインシデントが発生した場合でもサイトを公開状態にできるようにする
理想的には、毎週バックアップを実行することをお勧めします。バックアップフォルダにバックアップの日時を記録することをおすすめします。データの自動バックアップを作成できるプラグインがいくつか存在します。
UpdraftPlus WordPress バックアッププラグインまたはBackWPup は、ファイルとデータのバックアップを提供します。バックアップを Nextcloud などのストレージサーバーに保存したり、ダウンロードして安全な保管場所 (外付けハードドライブなど) に保存したりすることもできます。
2. WordPressセキュリティプラグインをインストール
コンピュータにウイルス対策ソフトウェアをインストールするのと同じ方法で、サイトを攻撃から保護するプラグインをインストールして、サイトのセキュリティを向上させることをおすすめします。
iThemes Security や WordFence Securityなどのプラグインは、完全な保護を提供することでサイトのセキュリティを向上させます。
多要素認証を追加したり、ボットがサイトの脆弱性を調査できないようにしたり、強力なパスワードを自動的に生成したりすることができます。
3. ログインURLを変更
デフォルトでは、ログインURLは example.com/wp-admin です。このデフォルトのアドレスはよく知られており、このURLを保持することで、ログインページをブルートフォース攻撃してサイトにアクセスしようとする攻撃者にサイトを公開することになります。この脅威を回避するには、.htaccess フォルダーを更新することでログインURLを変更することをおすすめします。
ただし、高度な技術知識がなくても WordPress のログインURLを簡単に変更できるプラグインもあります。たとえば、WPS hide login プラグインを使用すると、数回クリックするだけでログインURLを変更できます。ダウンロードしたら、WordPress管理ページのプラグインに移動してログインURLを変更するだけです。
4. ログイン試行回数を制限
ウェブサイトを攻撃するための一般的な手法の1つは、ブルートフォース攻撃を使用することです。
この手法は、ログインページを「クラック」して、WordPress管理サイトにアクセスするために、何千ものユーザー名とパスワードの組み合わせを試みるボットを使用することで構成されています。こういった攻撃に対する対策として、許可されるログイン試行回数を制限できます。
そうすれば、ボットが特定の回数ログインを試みた後、そのIPアドレスはブロックされ、接続を試みることができなくなります。 WordFence Security (無料バージョンを含む)、WP Limit Login Attempts、WPS Limit Login などのプラグインを使用すると、ログイン試行にこの制限を簡単に課すことができます。こういったプラグインを使用して、ログイン試行制限から除外するIPアドレスを追加することもできます。そうすれば、あなた (またはあなたの顧客) がサイトへのアクセスがブロックされるのを避けることができます。
5. WordPressとプラグインを定期的に更新
WordPress サイトのセキュリティを確保するには、WordPress とプラグインの両方を定期的に更新して、最新バージョンが利用可能であることを確認することが重要です。CMS開発者は頻繁にバグを修正し、セキュリティを向上させているため、CMSの最新バージョンを利用できるようにすることが不可欠です。同様にすべてのプラグインとテーマを定期的に更新することも重要です。これは、新しいセキュリティの脆弱性が絶えず発見され、修正されているためです。
もちろん、Gandiは重大なセキュリティ問題が発見されるとユーザーの皆さんに報告しますが、古いプラグインは攻撃にさらされる可能性があるため、プラグインの最新バージョンを使用していることを確認するために、更新が利用可能かどうかを定期的に確認することが重要です。たとえば、WP Updates Notifierを使用すると、更新が利用可能になったときにメールアラートを受信できます。更新を簡単にするために、WordPress、テーマ、プラグインの自動更新を有効にすることもできます。
最後に、攻撃対象領域を制限し、プラグインの管理を容易にするために、使用していない、または使用しなくなったプラグインを無効化またはアンインストールすることをお勧めします。
詳細については、この記事をチェックしてください。
6. WordPressサイト用の信頼できる安全なホスティングプロバイダーを選択
上記の施策を適用することで、サイトを保護し、攻撃者からサイトを十分に保護することができます。ただし、脆弱性は必ずしもサイトだけに起因するわけではありません。
攻撃は、直接コントロールできないサイトのホスティングプロバイダーのインフラストラクチャを標的にする可能性もあるので、サイトのセキュリティを向上させるために取り組むだけでなく、信頼できるホスティングプロバイダーを選択することを検討してください。
Gandi では安全で使いやすい WordPress ホスティングを提供しています。 Gandi での WordPress ホスティングは月額718円から始まり(サイズMを推奨)、50 GBのストレージ、無料のSSL証明書が含まれます。注:上記の5に示されているように、WordPress の更新はあなた次第です。プラグインは便利ですが、正しく設定と更新されていないとあまり効果がありません。
ストレージを50GB以上に増やす必要があれば、管理画面から簡単に増設することが可能です。クレジットカード情報不要で無料で10日間Gandi の WordPress ホスティングをお試しください。
—–
Gandi でドメイン登録、レンタルサーバーを試して見ませんか?
https://www.gandi.net/ja
Gandi のSNSアカウントをフォローしてドメイン名関連のお役立ち情報や割引情報を受け取りましょう!
Twitter :https://twitter.com/Gandi_JP
Facebook :https://www.facebook.com/gandijapan