ハッキングされたWordPressWebサイトを完全に修正するにはどうすればよいですか？

今日、WordPressのWebサイトは、プライバシーとセキュリティに関しては常に不足していることで有名であり、WordPressのハッキングの標的になることがよくあります。 開発者のセキュリティ測定が不十分であるか、利用可能なプラグインの1つを使用しているためです（セキュリティは保証されません）。

WordPressがインターネット上の1つから5つのWebサイトで実行されているので、それらがスクリプトキディと経験豊富なハッカーの両方のターゲットであることは当然のことです。 2013年には、ボットネットで利用するために約9万のWordPressWebサイトがハイジャックされました。 これらは、トロイの木馬とマルウェアの人気のあるターゲットです。

これが、何百万ものWordPress Webサイトに存在する通常のセキュリティホールや不正行為に対処し、WordPressWebサイトのハッキングを防ぐのに役立つ可能性のあるいくつかのシナリオを詳しく説明するために時間を割いた理由です。

WordPressのハッキングを防ぐ

なぜWordPressのハッキングを防ぐことは、ダメージから回復するよりもはるかに簡単なのですか？

最も小さな予防は、1トンの治療の価値があります。 これは、WordPressWebサイトのハッキングに関しては真実ではありません。 WordPress Webサイトは、洗練された専門家のハッカーだけでなく、既知のエッセイの脆弱性を悪用するためだけに作成されたボットによって侵害されています。 これらの脆弱性は、古いプラグイン、脆弱なパスワード、廃止されたテーマ、および低品質のWebホスティングです。

Webサイトがハッキングされると、次のリソースが影響を受ける可能性があります。

• テーマファイルなど、サーバー上のファイルが変更される可能性があります。
• ファイルがサーバーにアップロードされる可能性があります。サーバーには、PHPバックドアまたは悪意のあるコードが含まれている可能性があります。
• コードはWordPressデータベース内に挿入される可能性があります。
• スパムコードや悪意のあるコンテンツを含む膨大なページや投稿が公開される可能性があります。
• Webサイトがマルウェアサイトにリダイレクトされる可能性があります。
• 管理者権限を持つユーザーがデータベースに挿入される可能性があります。

あなたのウェブサイトをハッキングすることは、修正するのに非常に混乱する可能性があります。 回復には本当に数時間と数日かかる可能性があり、Googleがあなたのウェブサイトをブラックリストに載せることを選択した場合、あなたのSEOは大ヒットする可能性があります。

幸いなことに、ハッキングの防止は非常に簡単ですが、注意が必要です。

WordPressのハッキングを防ぐための10のヒント

1 – WordPressプラグイン、テーマ、コアを最新の状態に保つ

更新するには、月に1回以下のログインで十分ではありません。 エクスプロイトは、公開されるとすぐに、膨大な数のWebサイトで数日または数時間以内に発生します。 更新しなかった忘れられたWebサイトは、GravityFormsの脆弱性が発表されてから数時間以内に悪用されました。 更新がある場合は、できるだけ早く更新する必要があります。

前面機能を備えていないプラグインの場合、ShieldWordPressSecurityプラグインを利用して自動更新を実行できます。 複数のWebサイトがある場合は、オンサイト管理プラグインに関するこの投稿を確認してください。

2 –強力なパスワード

すべてのパスワードを追跡するには、パスワード追跡プラグインまたは1Passwordなどのツールを入手する必要があります。 すべてのインターネットアカウントで同じパスワードを使用して、それを回避することはできなくなりました。 犬の名前やブランド名、または特別なソフトドリンクを利用することはできませんでした。 長くて複雑で覚えにくいパスワードが必要です。

数日前に、すべてのアカウントとデバイスで弱いパスワードを使用したためにInstagram、Gmail、またはAppleIDがハッキングされたため、2人のクライアントから電話がありました。 パスワードハッキングプログラムを利用して、パスワードが何であるかを発見するのは非常に簡単です。 私たちのクライアントは両方の問題でパスワードを利用しましたが、これはパスワード検出ツールで1秒以内に推測できます。

既存のパスワードの強度をテストする必要があります。 次に、1Passwordを利用することについて真剣に考え、複雑で長く、あいまいなパスワードを作成します。パスワードは頻繁に変更する必要があります。 1Passwordの助けを借りて、あなたは1つの複雑なパスワードを覚えておく必要があります。

3 –サーバーをクリーンに保つ

サーバー上の未使用バージョンのWordPressを削除します。 これらのバージョンが存在することを忘れがちです。 未使用のWordPressプラグイン、ファイル、テーマなどは、使用されていなくても、アクティブでなくても、インストールに関連付けられていなくても、簡単に悪用される可能性があります。 削除削除削除。 タイトな船を走らせてください。

4 –コンピューターとホームネットワークを保護する

特にWindowsを実行している場合は、毎回ウイルススキャンを実行します。 アクセスするWebサイトに注意してください。 キーボードでパスワードを入力するときにパスワードを盗むキーストローク追跡トロイの木馬によってのみ、誤ってWordPressログインを提供する可能性があります。

多くの場合、コンピューターを保護することは、マルウェアを配布しているサイトにアクセスしないことです。 ただし、友人の料理ブログなどの既知のWebサイトでさえハッキングされる可能性があります。 ですから、ウェブ上でサーフィンをする場所ならどこでも、ある程度の保護があれば最高のはずです。

Windowsの場合：

• アバスト！ そして、Aviraは両方とも最高のアンチウイルスアプリケーションです。
• Windowsファイアウォールがアクティブになっていることを確認してください。

Mac OSの場合：

• スキャンソフトウェアは必要ありませんが、Aviraは、トロイの木馬とマルウェアのシグネチャを使用してマルウェアのパターンを認識するため、最適なオプションです。
• [セキュリティとプライバシー（システム設定）]でファイアウォールをオンにします。 ファイアウォールで、チェックボックスをオンにしてステルスモードを許可します。 これにより、コンピュータが個々のネットワークに表示されなくなります。

5 –継続的なサポートについては、テーマとプラグインを確認してください

開発者が利用できなくなった、または保守しなくなったテーマやプラグインを利用しないでください。 プラグインまたはテーマが1年以上更新されていない場合は、交換する必要があります。 これは、テーマに関する大きな問題になる可能性があります。 たくさんの開発者が夜に飛び回り、プラグインとテーマをサポートするために2、3か月以上立ち往生しません。

プラグインまたはテーマを購入するときは、時間どおりに回答および解決された現在のサポートリクエスト、最近の頻繁な更新、および優れた星評価を備えたプラグインまたはテーマを探してください。

すべての売れ筋のプラグインとテーマが理想的なテーマまたはプラグインであるとは限りませんが、更新と継続的なサポートが行われる可能性が高くなります。 レスポンスとトーンの質の高さについてはコメントをお読みください。 熱意、有用性、徹底性、優れた明瞭さ、迅速な対応、前向きな姿勢を探してください。

プレミアムテーマは、多くの場合、サードパーティのプラグインにバンドルされています。 テーマ開発者は、これらのバンドルされたプレインストールされたプラグインのタイムリーな更新を提供する場合と提供しない場合があります。 たとえば、ThemeForestの何百ものテーマにバンドルされている最高のアニメーションスライダーであるRevolutionSliderです。

レボリューションスライダーについて一言

それに加えて、Revolution Sliderには2014年に重大なセキュリティの脆弱性がありました。しかし、テーマを詰め込んだテーマ開発者は、テーマを更新したときに必ずしもプラグインを更新しませんでした。

その結果、ThemeForestの大量のテーマは、脆弱性が発見されてから数か月間、非常に安全でないプラグインを配布していました。 さらに、この脆弱性により、数十万のサイトがハッキングされ、トラフィックが悪意のあるWebサイトに誘導されます。

これらすべての主な結果は、Layer Slider、Revolution Slider、VisualComposerなどのプレミアムプラグインにバンドルされているプレミアムテーマを購入した場合です。 これらのプラグインを個別に購入する必要があるため、プラグインの更新が大幅に通知され、テーマやプラグインの開発者に依存せずに保護されます。

6 –WordPressセキュリティプラグインを実行する

BlogVaultのメーカーによるMalCareプラグインを強くお勧めします。 有料版と無料版の両方があります。 他のセキュリティプラグインと非常に混同される可能性のあるカスタマイズされたオプションがないため、私たちは彼らのプラグインについて最も気に入っています。

マルウェアのスキャンはすべてクラウドサーバーで行われるため、Webサイトのパフォーマンスに影響はありません。 堅牢なファイアウォールとブルートフォース保護を実行します。

MalCareのプレミアムバージョンは高価ではなく、年間99ドルで、他の同じサービスと比較してお買い得です。 この強力なプラグインの可能性を完全に理解し、以下のコメントでWebサイトでどのように機能するかをお知らせください。

また、iControlWPによるShieldWordPressSecurityも気に​​入っています。 過去にWordfenceを利用しており、複数のWebサイトのエラーログでエラーが発生し続けています。

そこにある他の有名なプラグインは、あなたのWebサイトを簡単に壊したり、ログイン保護などの重要なことを見逃したときにセキュリティに何の役にも立たない「セキュリティ」対策に集中させたりする可能性があります。

7 –サイトにSSL証明書をインストールします

SSL証明書は、連絡フォームの送信やWebページへのログインの利用など、WebサイトによるWebサイト転送へのユーザーとユーザーのデータを暗号化します。 それ以外の場合、データはメールの形でハガキのように転送されます。つまり、探している人は誰でもプレーンテキストのように読むことができます。

WebサイトにSSLを統合すると、旅行中に（HTTPSで）セキュリティにログインできます。 多くのホストがこの便利なサービスを無料で提供しており、このSimple SSLプラグインを利用して、コンテンツ全体でHTTPSを使用するように強制できます。

8 –パブリックWiFiネットワークにログインしないでください

パブリックWiFiまたはパブリック分散ネットワークでWebサイトにログインしているとします。 その場合、基本的に、パケットスニッフィングスクリプトを実行している可能性のある同じネットワーク上の他のすべての人にログイン資格情報を提供します。

WebサイトにSSL証明書（ネットワーク上のパスワードとユーザー名を暗号化する）を統合していない場合は、仮想プライベートネットワーク（VPN）サービスを利用して、同じネットワーク上のトラフィックを暗号化できます。 WebサイトにSSL証明書がある場合でも、これを利用してください。パブリックネットワーク上のVPNにとどまるのは良いことです。

9 –ウェブサイトをバックアップする

バックアップは、Webサイトのハッキングからの回復に必ずしも役立つとは限りませんが、完全な回復には、特にすべてのWebサイトのコンテンツが保存されているデータベースの損傷に関しては依然として不可欠です。

10 –より良いウェブホスティングを検討する

SiteGround、Kinsta、WP Engine、Flywheelなどのホスティング会社は、プライバシーとセキュリティの問題に背を向けています。 彼らは定期的にセキュリティスキャンを行い、ハッキングされたWebサイトを無料でクリーンアップしますが、これらのサービスでも多くの人がハッキングされていることがわかっており、ハッキングされないか、まったくハッキングされないようになるまでに数日かかる可能性があります。

ホストはマルウェアの専門家ではないため、MalCareプラグインを実行することをお勧めします。 最近、SiteDistrictでほとんどのサイトをホストしています。 彼らのパフォーマンスとセキュリティは、ウェブサイトの速度（Kinstaのすぐ上）の点で非常に優れており、カスタマーサポートは積極的かつ実践的です。

ハッキングされたWordPressWebサイトを修正する手順

ステップ1-問題を分析する

ステップ2 –Webサイト全体をバックアップする

ステップ3–セキュリティとデバッグプラグインをインストールする

ステップ4–特定のエラーを修正する

ステップ5 –WordPressを削除する

• 手動削除
• CPanelのアンインストール
• データベースの手動削除

ステップ6 -FTPアカウントを確認し、許可されていない使用できないアカウントを削除します

ステップ7–すべてのプラグインとテーマを更新します

ステップ8–未使用のテーマとプラグインを削除する

ステップ9–ユーザー名とパスワードを変更する

ステップ10– Webサイトまたはデータベースでマルウェアが検出されたかどうかを、ホスティング会社に確認します

ステップ11–ハッキングされたすべてのファイルがゴミ箱に捨てられたら、Webサイトのクリーンコピーをバックアップします

ステップ12 –WordPressを再インストールする

ステップ13–悪意のあるファイルなしで以前のバックアップであなたのウェブサイトを復元します

ステップ14 –Webサイトを再スキャンします

ステップ15–ハッカーが再び攻撃するのを防ぐために予防策を講じる必要があります

さぁ、始めよう、

攻撃の重大度を確認する

ハッキングされたWordPressサイトの修正操作手順は、管理パネルにログインできるかどうかを確認することです。 それができない場合は、重大度がかなり高く、時間を節約して徹底的なクリーンアップを行うために専門家が必要になる場合があります。

ただし、それでも管理パネルにアクセスできる場合は、操作の次のステップに進むことができます。 完全なクリーンアップを開始する前に、Webサイトのパスワードを変更することを強くお勧めします。

Googleサイトチェッカー

Googleの安全なブラウジング技術を使用すると、サイトがユーザーにとって潜在的な危険であるかどうかをすばやく確認できます。 もう1つの選択肢は、ヘルスチェックです。これはGoogleコンソールの[ヘルス]メニュー項目から利用できます。

アクセスしたサイトで悪意のあるファイルやプログラムをGoogleが特定したら、「このサイトはハッキングされている可能性があります」という警告を受け取っている必要があります。この警告は、ウェブサイトが修正されると消えます。

WordPressのスキャンと削除

Webサイトには、サイトからトロイの木馬やマルウェアを検出して削除できるスキャナーがたくさんあります。 スキャン後、不正な変更やWebページへのスパムの可能性など、発生した問題の概要を説明します。

ユーザーは、最終アクセス、リスト後の検証、さまざまなセキュリティ通知などの便利な機能を備えたプラグインを適用できます。 それに加えて、ハッカーはWordPressWebサイトのプラグインやテーマの中にバックドアを隠すことがよくあります。

Webサイトを確認し、無効になっているプラ​​グインとテーマを削除する必要があります。 WordPressバックドアハックについて詳しく知ることができます。 テーマとプラグインを削除したら、Webサイトを再スキャンして、問題の最新リストを取得する必要があります。

最も基本的な場所は、WordPressプラグインとWordPressテーマディレクトリ、wp-config.php、wp-includesディレクトリ、wp-contentアップロードディレクトリ、および.htaccessファイルです。

ここにリンクされているテーマ認証チェッカーを介してサイトを実行する必要があります。 テーマの信頼性チェッカーは、感染したファイルに関するテーマのすぐ横に詳細キーを表示します。 また、検出した破損した悪意のあるコードも表示されます。

バックアップからWordPressサイトを復元する

可能であれば、ハッキングされていない以前の時点にWebサイトを復元する必要があります。 ここで、バックアップを取り、WordPressを手動で完全に復元する手順にアクセスできます。 あなたがあなたのウェブサイトを復元することができるならば、あなたがあなたのウェブサイトをすぐにバックアップして実行させるであろうという良いチャンスがあります。

欠点は、バックアップ後に公開されたブログ投稿や新しいコメントなどを失うリスクがあることです。ハッキングされたコンテンツの量と時間の測定によっては、ハッキングを手動で破棄することもできます。

WordPressセキュリティプラグイン

トロイの木馬、マルウェア、ルートキットから保護するためのWordPressのセキュリティプラグインは多数あります。 WordPressのマルウェアについて話しているときは、特別な注意を払う必要があります。

未使用のプラグインとテーマを更新/削除します

すべてのテーマとプラグインを更新する必要があります。 ちなみに、あなたのウェブサイトにいくつかのプラグインを置くことができ、それらのすべてがあなたにユニークな機能を提供しますが、いくつかのテーマをインストールすることは意味がありません。

使用していないテーマをすべて削除し、作業中のアクティブなテーマを最新の状態に保ちます。 これが、プラグインとテーマを更新する方法です。 操作全体の概要を説明するために、いくつかのステップに分割しました。

• 最新バージョンでテーマをダウンロードします。
• そのファイルを解凍して、更新されたテーマにアクセスします。
• 次に、パネルに移動して、メンテナンスモードをアクティブにします。
• FTPを使用してホスティングに接続します。
• テーマディレクトリの名前をおなじみの名前に変更します：themename-OLD。
• 以前にダウンロードした更新されたテーマディレクトリをアップロードします。
• アクティブなテーマのバージョンを確認してください。
• すべて（ページ、関数、CSS、およびJS）が正しく機能することを確認します。
• その古いテーマディレクトリ（themename-OLD）を削除します。

フォローし続ける

WordPress Webサイト全体をクリーンアップし、未使用のテーマとプラグインをすべてゴミ箱に捨てます。 ハッカーは、無効で古いプラグイン（公式のWordPressプラグインを含む）とテーマを検索し、それらを利用してコンピューターデバイスにアクセスしたり、悪意のあるファイルをアップロードしてサーバーに損害を与えたりすることがよくあります。

したがって、Webサイトを安全に保つ1つの方法は、常にテーマとプラグインをそのように更新することです。ほとんどのハッカーは、しばらく更新されない休止状態のプラグインを探し、それらの内部をハッキングすることがあります。 すべてのプラグインを最新の状態に保つことは、Webサイトを保護するのに役立つ方法です。

Cpanel/ファイルマネージャーで使用されていない追加のテーマファイルがないことを確認する必要があるテーマの数。 とにかくサイトで一度に1つのテーマを利用できるため、他のすべての未使用のテーマを削除することをお勧めします。これで、これらはすべて更新されます。

それはあなたのサイトを少し速く保つのを助けます、なぜならそれはあなたのサイトを遅くするかもしれないすべての役に立たないものとファイルをゴミ箱に捨てるからです。 ただの追加スペースです。 取り上げています。 したがって、無効になっているプラ​​グインを削除するだけです。 あなたはまた、ウェブサイトを少しスピードアップするのを手伝っています。

ずっと前に利用をやめた（そしておそらく更新しなかった）テーマとプラグインを削除することで、とにかくリスクを差し引いて、サイトをもう少し安全にします。

手動制御

ハッキングされたWebサイトを見つけて修復するもう1つの方法は、手動で確認することです。 タイプ.php、.htaccess、およびマルチメディアファイルのファイルは、多くのハッカーの間でかなりバイラルです。 base64エンコーディングに従って既存のディレクトリを検索することをお勧めします。

これらの種類の感染ファイルは簡単に識別できます。 サイトでマルウェアを見つけた場合は、悪意のあるファイルやプログラムをコンピュータデバイスから完全に駆除し、その後、FTPにアクセスするためにログインを変更する必要があります。

感染したページは削除またはクリーンアップする必要があります。 CMSを再インストールする必要があります。 ただし、新しいインストールにより、重大な問題が解消されます。 ただし、上記の選択は、トロイの木馬やマルウェアを見つけて、ハッキングされたWordPress Webサイトを修復するのに役立つ可能性がありますが、成功を保証するものではありません。

サイバー攻撃の絶え間ない進化により、IT保護の状況は不安定になっています。

ファイル編集を無効にする

ご存知のように、WordPressには、PHPファイルを変更できるファイルエディターが組み込まれています。 この機能は有益ですが、同様に大量の損害を与える可能性があります。 攻撃者が管理パネルにアクセスすると、そのファイルエディタではなくファイルマネージャを探します。

一部のユーザーは、この機能を完全に無効にすることを好みます。 「wp-config.php」ファイルを変更し、次のコード行を追加するだけで無効にできます。

define（'DISALLOW_FILE_EDIT'、true）;

WordPress内のファイル編集を無効にするために必要なのはこれだけです。 重要：この機能を再度有効にする場合は、ホスティングプロバイダーのファイルマネージャーまたはFTPクライアントを利用して、「wp-config.php」ファイルからこのコードを削除してください。

すべてを再インストールします

すべてをバックアップした直後に、テーマ、プラグイン、およびWordPress自体を再インストールする必要があります。 「wp-content」ディレクトリからコンテンツを抽出するときは、アーカイブした画像ファイルのみを使用してください。

PHPまたはJavaファイルをダウンロードすることは非常に危険です。なぜなら、それらはあなたの単一の知識なしに危険にさらされる可能性があるからです。 その後、コンピュータデバイスの完全なウイルススキャンを実行して、心配する必要がないことを確認します。

破損または感染したファイルの置き換え

破損したファイルを削除するか、それらのファイルを新しい汎用ファイルに置き換えることで、感染したすべてのファイルから悪意のあるコードを削除できます。 次の操作を次の順序で、組織化された意味で、トロイの木馬マルウェアの痕跡が残らないように手順を残さずに実行します。

• サイトのWordPressのファイルを、WordPressの公式Webサイトから直接ダウンロードしたファイルに置き換えます
• これらすべてのプラグインのディレクトリを、WordPressリポジトリから.zip形式のファイルでダウンロードされたファイルに置き換えます
• これらのテーマファイルを、公式ストアおよびソースからダウンロードできるテーマファイルに置き換えます。
• ファイルを置き換える代わりに、新しくダウンロードしたファイルを削除してから貼り付けて、適切にクリーニングすることをお勧めします。

これが完了すると、私たちのサイトはすでに安全性が低下している可能性があり、Webブラウザを使用して標準的な方法でアクセスできる可能性があります。 公式ストアまたはソースからダウンロードしたオリジナルに関するプラグインコードまたはテーマコードに本質的な変更を加えた場合、それらを失うことになり、再度行う必要があることに注意してください。

WordPress管理者からすべてのユーザー権限と役割を確認する

WordPressサイトのチーム内の適切なユーザーにアクセスを提供することに注意を払ってください。 WordPressのユーザーセクションをチェックして、サイトへのアクセスを制限することができます。

WordPressの最新バージョンをダウンロードする

良いスタートを切るためには、最新のWordPressバージョンをインストールすることが不可欠です。 ハッカーがプラグイン内にスクリプトを導入した可能性があるため、プラグインの最新バージョンもダウンロードする必要があります。

WordPress管理者からのCookieを無効にする

今後のハッキングを防ぐために、Cookieが無効になっていることを確認したとします。 ユーザーが権限を利用してログインすると、Cookieの有効期限が切れるまでログインしたままになります。 最初に秘密鍵の新しいコレクションを作成した場合に役立ちます。 新しいセキュリティキーを作成する必要があります。 この新しく作成されたキーを「wp-config.php」ファイルに追加する必要があります。

ウェブサイトを再スキャン

WP Hacked Help Centerは、WordPressベースのサイトを再スキャンして、Webサイトのブラックリスト、マルウェア、欠陥、挿入されたSPAM、および悪意のあるコードをオンラインで探すための理想的な方法です。 あなたのサイトが何らかの感染症を持っているかどうかにかかわらず、彼らはすぐにスキャンして結果を提供します。 これは、Wpコアファイル、テーマ、またはプラグイン内に存在するウイルス、マルウェア、または悪意のあるコードを検出するための理想的なスキャナーの1つです。

パスワードをもう一度変更する

WordPressのパスワード、FTP / cPanel / MySQLのパスワード、およびセキュリティを最大限に高めるためにこのパスワードを利用した可能性のあるすべての場所を更新する必要があります。 サイトにアクセスできるすべてのユーザーがパスワードを変更したことを確認すると役立ちます。 この有益なガイドが、ハッキングされたWordPressサイトまたはあなたのサイトの修正に役立つことを願っています。

Webサイトファイルのクリーンコピーをバックアップする

この例ではFileZillaを利用します。 トロイの木馬やマルウェア、および悪意のあるコードやウイルスからWordPressサイトを削除したら、次の手順に従います。

• CPanelでFTPアカウントにアクセスして、FileZillaの設定に必要な資格情報を確認してください。 パスワードを忘れた、または設定しなかった場合は、[アカウントのパスワードの変更]をクリックしてパスワードを変更してください。
• [ファイル]、[サイトマネージャー]、[新しいサイト]の順に移動します。 ユーザー名、パスワード、およびホスト名のフィールドに、前に収集した詳細を入力します。 ただし、残りの構成はそのままにしておきます。 完了したら、[接続]を押します。
• 接続が正常に確立されたら、Webサイトの「public_html」ディレクトリを右クリックしてダウンロードできます。
• WordPressファイルがダウンロードされるのを待つ場合は、phpMyAdminデータベースシステムを使用してデータベースのバックアップを作成できます。 また、FileZillaはファイル転送の完了後に通知するので、心配しないでください！