WordPress のセキュリティ問題を解決するための 6 つのヒント

公開: 2023-03-10
Coalition Technologies は、WordPress の脆弱性を修正し、WordPress のセキュリティ問題を解決することで、ビジネスを支援します。

目次

地球上で最も人気のある CMS へようこそ

WordPress は、サイバー攻撃の最大の標的の 1 つです。 これは、WordPress が世界で最も人気のあるコンテンツ管理システム (CMS) であるためです。W3Techs によると、WordPress はすべての Web サイトの 43.1% を支え、63.6% の CMS 市場シェアを誇っています。 比較のために、2 位は Shopify で、ウェブサイトの 3.8% を支え、CMS 市場シェアは 5.6% です。

その無料の e コマース プラットフォームである WooCommerce も、それ自体が大きなプレーヤーであり、世界で最も人気のあるオープンソースの e コマース ソリューションです。

これは明らかな疑問を提起します: サイトで WordPress を保護し、WordPress の脆弱性を防止または修正するには、何をすべきでしょうか? Coalition Technologies のサイバーセキュリティのベスト プラクティスから、WordPress のセキュリティ問題を解決するための 6 つのヒントを紹介します。

WordPress を選ぶ理由

WordPress は非常に柔軟で強力です。また、オープン ソースであるため、非常に費用対効果が高く、人気があります。 WordPress はウェブ上で最大のプラットフォームであるため、カスタム プラットフォームの数分の 1 の費用で WordPress ウェブサイトのセキュリティを支援できるサイバーセキュリティの専門家が多数います。

1. ログイン資格情報を保護する

WordPress のセキュリティ問題を解決するための最も強力な手段は、そもそもこうした問題を起こさないことです。ログイン資格情報を保護することで、データ侵害を半分以上削減できます。

Verizon の 2021 Data Breach Investigations Report によると、データ侵害の 61% が何らかの方法でログイン資格情報の使用に関与していました。 これは、次の理由で最も一般的に発生します。

  • パスワードの盗難
  • ブルートフォース攻撃
  • クレデンシャルの内部不正使用

パスワードの盗難を防ぐ

ハッカーは容易に手に入る果実を狙うのが好きで、WordPress の脆弱性を修正することは、ハッカーが到達する前に容易に手に入る果実をすべて取り除くことから始まります。

  • すべてのパスワードを定期的に更新してください。 90 日 (四半期に 1 回) が適切なデフォルトです。
  • 一意のパスワードを使用し、再利用しないでください。 PurpleSec によると、従業員の 25% がすべてに同じパスワードを使用しており、これは誰にとっても問題になるはずです。
  • パスワードを適切に保管します。 WordPress はすべてを安全に処理しますが、従業員が付箋や Google ドキュメントにパスワードを書き留めていると、漏洩する可能性があります。
  • パスワードを期限切れにすることを検討してください。 これにより、人々はパスワードを更新せざるを得なくなりますが、一部の従業員がパスワードの保存についてずさんになる可能性もあります。 WordPress のセキュリティ問題を長期的に解決するということは、パスワード ポリシーでこの脆弱性を軽減することを意味します。

総当り攻撃に対する強化

ハッカーは、ブルート フォース攻撃を使用して資格情報を盗むこともできます。 これは、機能する順列が見つかるまで、何百万回もランダムにパスワードを推測することを意味します。

  • 許可されるログイン試行回数を制限します。 優れた WordPress セキュリティ プラグインは、WordPress の脆弱性が発見されたときに修正しながら、これを管理します。
  • 固有のパスワードを使用してください。 以前と同様に、WordPress のセキュリティ問題を解決するには、一意のパスワードを使用し、それらを 1 回だけ使用する必要があります。
  • 堅牢なパスワードを使用してください。 パスワードは 8 文字以上にする必要があり、理想的には、数字、文字、および特殊文字を含める必要があります。 ここにいくつかのヒントがあります。 覚えやすいパスワードを使用することもできます。これにより、メモリの問題を軽減できます。 英国政府の National Cyber​​ Security Center は、3 つのランダムな単語のアイデアを支持していますが、4 つまたは 5 つの単語の方がさらに優れています。
  • ログイン試行の失敗が多い特定の国または IP をブロックします。 特に、これらのソースが、ファイアウォールを使用して管理パネルにアクセスできる機密性の高いアカウントにアクセスするのをブロックします。

ベスト プラクティスのパスワード保護ポリシーを利用する

Coalition Technologies では、クライアントの資格情報を安全に保つためにたゆまぬ努力を続けています。 長年にわたり、ベスト プラクティスのパスワード保護ポリシーの実績を築いてきました。 同様に、WordPress のセキュリティ問題を解決するには、独自の適切なパスワード保護ポリシーを用意する必要があります。 人事レベルで WordPress の脆弱性を修正するためのガイドラインを次に示します。

  • ログイン アクセスを必要に応じて制限します。 従業員には必要最小限の権限のみを付与し、必要なタブとシステムへのアクセスのみを付与します。 ユニバーサル アクセス権を持つ「管理者」アカウントを、可能な限り最小限の人数に制限します。
  • 効果的な従業員トレーニングを展開します。 不満を持つ従業員によるパスワードの悪用は悪意のあるものである場合があります (この場合、前述のようにアクセスを制限することで被害を抑えることができます)。 しかし、多くの場合、この誤用は意図的ではなく、適切なトレーニングを行うことでパスワード漏洩による WordPress のセキュリティ問題を解決できます。 オンボーディング プロセスにパスワード セキュリティに関するモジュールが含まれていることを確認し、定期的な復習モジュールを 12 ~ 24 か月ごとに展開することを検討してください。

2. 優れた WordPress セキュリティ プラグインをインストールし、ベスト プラクティスに従う

WordPress のコアは非常に安全であり、世界クラスのサイバーセキュリティの人材が何百万もの Web サイトを安全に保つために働いています。 しかし、WordPress ではプラグインの使用も許可されています。 これらのプラグインは WordPress の機能を大幅に拡張しますが、新しい潜在的なセキュリティの脆弱性ももたらします。

ただし、WordPress プラグインを保護するために構築された業界全体があり、これらの製品自体が WordPress プラグインです。 「セキュリティ プラグイン」として知られるこれらは、WordPress のセキュリティ問題を解決し、WordPress の脆弱性をリアルタイムで修正するための必須ユーティリティです。 WordPress コア ソフトウェアをインストールまたは更新した後の最初の目的地は、優れた WordPress セキュリティ プラグインを選択し、適切に構成することです。

セキュリティ プラグインの推奨事項

多くの優れた WordPress セキュリティ プラグインがあります。 私たちのクライアントは、何百万ドルもの収益を WordPress アーキテクチャに依存しています。 Web サイトのセキュリティは非常に重要です。

クライアントと提携して広範な WordPress Web デザイン サービスを提供する場合、WordPress のセキュリティ問題を解決するために、次の 2 つのプラグインを特にお勧めします。

  • Wordfence セキュリティ – ファイアウォール、マルウェア スキャン、およびログイン セキュリティ
  • Defender Security – マルウェア スキャナー、ログイン セキュリティ、ファイアウォール

WordPress サイトを管理する際に、これらのセキュリティ プラグインをクライアントに定期的に使用しています。

適切なセキュリティ プラグインの設定を確認する

Semrush のキーワード調査の専門家は、WordPress のセキュリティ問題を予防的に解決するための次の重要な手順を推奨しています。

  • 許可されるログイン試行回数を制限します。 これについてはすでに説明しましたが、WordPress の脆弱性を先制的に修正する優れた方法として繰り返します。
  • ログインページをパブリックビューから非表示にします。 サイトへの訪問者が、サイト ナビゲーションや URL の推測によってログイン ページにアクセスできないようにする必要があります。 ログインページの URL はわかりにくく、他のページからリンクされないようにする必要があります。
  • バックエンド、管理、およびショッピング カートのページを検索エンジンのインデックスから削除します。 これらのページは明らかにハッキングに対してはるかに脆弱であるため、この場合、WordPress のセキュリティ問題を解決することは、これらのページを検索結果から除外することを意味します。
  • ウェブサイトを定期的にバックアップしてください。 これは手動または自動で行うことができますが、定期的に行ってください。 バックアップされていないものはすべて失われたと見なす必要があります。 バックアップは別のサーバーに格納し、別のアクセス資格情報を使用する必要があります。 可能であれば、ローカルの「コールド」バックアップを保持することも賢明です。 これは、中小企業にとって特に重要です。

3.インストール前にテーマとプラグインを注意深く監査する

ワードプレスのセキュリティ問題を品質プラグインで解決

他の WordPress プラグイン (セキュリティ プラグインを除く) と WordPress テーマに関しては、非常に幅広い製品と品質を扱っていることを理解することが重要です。 WordPress の脆弱性を修正するための優れた戦略とは、これらのアプリケーションを監査する際に十分な注意を払うことを意味します。

多くのプラグインとテーマは堅固であり、ウェブサイトが繁栄するために必要な不可欠な機能とレイアウト オプションを提供します. 他のプラグインやテーマは設計が不十分で、ハッカーによるセキュリティの悪用に対して脆弱です。 そして、いくつかはあからさまなマルウェアです。

WordPress は、マルウェアやスパムをブロックすることで、プラグインやテーマに関する WordPress のセキュリティ問題を解決することに注意を払っていますが、これらの悪い卵のいくつかが通過することもあります. 関心のあるプラグインとテーマを監査するためのベスト プラクティスを次に示します。

  • 通常、ダウンロード数が多いほど安全です。 マルウェアは早い段階で発見され、悪いテーマやプラグインは人気が出ないため、機能するものだけがダウンロード数を増やす可能性があります.
  • 多数の肯定的なユーザー レビューは、信頼できる指標です。 多くの人がプラグインやテーマに完璧またはほぼ完璧な星評価を与えている場合、それは良い兆候です。 ただし、人々がどのような苦情を持っているかを確認するために、中程度の否定的なレビューもいくつか読んでください.
  • これらのプラグインを使用した経験について話している企業や報道機関を Web で検索してください。 WordPress のセキュリティ問題を解決し、WordPress の脆弱性をビジネスで修正することに関しては、ユーザー レビューはあなたが探している深さや信頼性を持っていない可能性があります。 オンラインで信頼できる名前を探してください。 これらのアプリケーションに関する彼らの意見をご覧ください。

プラグインはどこで入手できますか?

疑わしい場合は、信頼できるソースから WordPress プラグインを選択してください。

  • 公式の WordPress プラグイン リポジトリが最善の策です。プラグインを 1 つのソースからしか入手できない場合は、ここから入手してください。
  • CodeCanyon などのプラグインの評判の良いサードパーティ マーケットプレイスも、プラグインの良いソースです。 評判の良いマーケットプレイスは、評判がかかっているため、WordPress のセキュリティ問題の解決に重点を置いています。
  • WPMU DEV などの WP プラグイン開発者サイトは、プラグインのもう 1 つの高品質ソースです。 これらのキャリア WordPress プラグイン開発者のコ​​ミュニティは、製品の認知度と信頼性を高めるために集まっています。

優れたプラグインには優れた開発チームがあり、これらのプラグインの脆弱性は通常、それらを構築した独立した開発者または機関によって迅速に修正されます。 そうでない場合は、通常、同じ機能を安全に提供するさまざまな代替プラグインが多数あります。

4. すべてを更新して再監査する

更新に時間がかかるため (および更新によって壊れたものを修正するのに時間がかかるため)、ソフトウェアを遅れさせるのは簡単ですが、これらの更新の多くには、WordPress の脆弱性または WordPress プラグインの脆弱性を修正するためのパッチが含まれているため、これはひどいことです。テーマ。 そのため、Search Engine Journal などの組織は、プラグインとテーマを最新の状態に保つことを推奨しています。

これは、WordPress のセキュリティ問題を解決するための最も時間のかかるヒントの 1 つです。 しかし、時間を割かなければなりません。そうしないと、サイバー攻撃者にドアを開けてしまうからです。

これには、コア WordPress ソフトウェア、それが実行している PHP バージョン、およびすべてのテーマとプラグインが含まれます。 新しい更新が利用可能になったら、すべてを更新する必要があります。また、更新するときは、影響を受けるすべてのプラグインと機能を再度監査して、すべてが適切に機能していることを確認する必要があります。

継続的な人員の割り当て

WordPress コアの更新とプラグインの更新についていくことは、誰かの職務記述書の一部である必要があります。 予防的な更新による WordPress のセキュリティ問題の解決が誰かのレーダーにない場合、これは忘れられがちなことです。

ソフトウェアを更新して WordPress の脆弱性を修正することは、直接売上を生み出すわけではありませんが、壊滅的なコストを回避するように機能するため、それに応じて予算を立てる必要があります。 システム管理者または IT チームが最新情報を常に把握できる帯域幅を確保して、会社を成功に導く準備を整えてください。

Coalition Technologies では、持続可能な長期的成長のためにクライアントを設定するための成功戦略の一環として、最新情報を常に把握しています。

アップデートに注意

アップデートがリリースされたら入念にインストールすることで WordPress のセキュリティ問題を解決するために知っておくべきことの 1 つは、WordPress は公式リポジトリに送信されたすべてのプラグインをレビューして、スパムを除外し、一般的な重大なバグを検出し、プラグインが WordPress に準拠していることを確認することです。ガイドライン。

ただし、プラグインが承認されて一覧に表示されると、WordPress は、プラグインが更新されるたびにこれらすべてのサードパーティ プラグインを再度監査することができなくなります。 プラグインのコードベースは、最初のレビュー後に大幅に変更される可能性があり、多くの場合実際に変更されますが、WordPress はそれを知りません。

これは通常、UX のアップグレード、WordPress の脆弱性やバグの修正、新機能の追加などの正当な理由で発生します。 しかし、ハッカーは、プラグインの最初のバージョンを作成してパスを通過させ、その後のアップデートでマルウェアを追加することで、システムを操作することができます。 また、既存のプラグインが放棄または売却され、悪意のある第三者がそれを乗っ取ってマルウェアを追加した場合にも発生する可能性があります。 これは、WordPress のセキュリティ問題を解決する作業の一部があなたに委ねられていることを意味します.

プラグインが更新されたときは常に更新ノートを確認し、外部の検証なしにアーリー アダプターになることを急がないでください。最初に他の人が言っていることを確認してください。

脆弱性検索サービスを利用する

WPScan 脆弱性データベースなどのサービスを利用することもできます。これは、新たに発見されたセキュリティ リスクを早期に通知することで、WordPress のセキュリティ問題を解決するのに役立ちます.

Coalition Technologies と提携して WordPress サイトを管理している場合、WordPress のテーマとプラグインの審査はすべて独自に行い、サイトがさらされている WordPress の脆弱性を修正する責任を負います。 .

5. フィッシング攻撃を特定する

サイバーセキュリティの脆弱性の主な原因はフィッシングであり、これはインターネット全体の現象ですが、WP のユースケースと WordPress のセキュリティ問題の解決という文脈の中で議論する必要があります. フィッシャーは、WordPress 自体を偽装したり、顧客の電子メールを偽装したりすることがよくあります。 サイバーセキュリティ会社の Varonis は、フィッシングのしくみに関する優れた入門書を提供しています。

管理していないハイパーリンクを含むもの (Web サイト、デジタル ドキュメントなど)、特に電子メールはフィッシング攻撃の可能性があります。

メールの受信にご注意ください

ほぼすべてのフィッシング攻撃は電子メールから始まります。 (Cyber​​Talk.org によると、およそ 90% です。) つまり、企業は従業員に電子メールの自己防衛のベスト プラクティスを教える必要があります。 これは、WordPress の脆弱性を修正することではなく、チームの行動がサイバーセキュリティ攻撃のベクトルになるのを防ぎます。

DNS に適切な DMARC および SPF レコードが設定されていることを確認してください。これにより、DMARC ポリシー セットに応じて、メールがジャンクになるか、送信されないため、電子メールでドメインが利用されるのを防ぐことができます。 .

偽のリンクを防ぐ

フィッシャーは、Google などの一般的なサイトに見せかけた偽のリンクを使用します。 フィッシングから保護することで WordPress のセキュリティ問題を解決する方法の 1 つは、サイトの X-Frame-Options のセキュリティ ヘッダーを変更して、外部 Web サイトが iframe で Web サイトを使用できないようにすることです。

実際の URL を使用する

最後に、短縮リンクは使用しないでください。これにより、最終的なリンク先 Web サイトがユーザーに明らかになりません。

6. ネットワークを保護する

WordPress のセキュリティ問題を解決するためのもう 1 つの重要なヒントは、ネットワークを保護することです。 在宅勤務とグローバル ワークプレイスが増加するこのパンデミックの時代に、企業は日常的に重要な情報をインターネット経由で送信し、セキュリティの脆弱性が生じる多くの機会を生み出しています。

WordPress は非常に柔軟なプラットフォームです。つまり、XMLRPC を無効にしたり、WP-JSON へのアクセスに認証を要求したりするなど、オンラインで見つけた単純なコード スニペットを使用して、一般的に悪用可能な方法にパッチを当てることができます。 多くの場合、WordPress の脆弱性の修正は、適切なプラグインをインストールして利用するのと同じくらい簡単です。

さらに、WordPress プラグインを使用して多要素認証オプションを利用できます。

確実な準備と予防を実践する

Cloudflare などの Web アプリケーション ファイアウォールやその他の多くの Web アプリケーション ファイアウォールは、WordPress アプリケーションをさまざまな一般的な攻撃の種類やパターンから保護するように WAF を特別に設計しています。 多くのホスティング プロバイダーは、WP Engine などの毎日のバックアップ サービスを無料で提供しています。

WordPress の設計と開発のための Coalition Technologies との提携

Coalition では、スタンドアロンまたは受賞歴のある SEO およびデジタル マーケティング サービスと組み合わせて、WordPress の完全な設計および開発サービスを提供しています。 WordPress のセキュリティ問題の解決と WordPress の脆弱性の修正について本日お話ししたことはすべて、パートナー様が当社のサービスに含まれています。

WordPress サービスに関する FAQ を参照してください。 私たちはあなたと一緒に働きたいです! ウェブサイトのニーズについては、お問い合わせください。