WordPress管理エリアを保護するための12のヒントとテクニック

公開: 2023-05-01

このブログでは、WordPress Web サイトの管理領域を効果的に保護するための最良のテクニックについて説明します。

自分の Web サイトが小さすぎて、ハッカーが興味を持つには小さすぎると考える人がよくいます。 しかし、それは大きな間違いです。 どの Web サイトも、スパム、マルウェア、ブルート アタック、SQL インジェクションなどのサイバー脅威に対して脆弱である可能性があります。さらに、ハッカーが Web サイトを使用してマルウェアを他の Web サイトに拡散することさえあります。

明らかに、ある日目を覚ますと、Web サイトがハッキングされ、すべての機密データが漏えいしていることを発見したくはありません。 そのため、WordPress Web サイトの管理領域を信頼できるツールで強化することをお勧めします。

目次を見る
  • WordPress ウェブサイトの管理領域を保護するための最良のヒントとテクニック
    • 1.WordPressのバージョンアップ
    • 2. セキュリティプラグイン
    • 3.管理者のユーザー名とパスワードを変更する
    • 4. カスタム ログイン URL を作成する
    • 5. ログイン試行を制限する
    • 6.ログインページと管理エリアをSSL証明書で保護する
    • 7. wp-admin ディレクトリをパスワードで保護する
    • 8.ログインページにキャプチャを含める
    • 9. ログイン ページからエラー メッセージを削除します。
    • 10. 特定の IP にログインを許可する
    • 11.二要素認証によるレイヤーの追加
    • 12.ワンタイムパスワード(OTP)
  • ついに!

WordPress ウェブサイトの管理領域を保護するための最良のヒントとテクニック

WordPress-work-ラップトップ-デスク-オフィス

これらのセキュリティのヒントは、次のような脆弱性から Web サイトを保護するために非常に重要です。

  • 分散型サービス拒否 (DDoS) 攻撃: DDoS は、Web サイトを冗長な接続で埋め尽くしてクラッシュさせ、Web サイトを動かせなくします。
  • SQL インジェクション (SQLi):システム上で悪意のある SQL クエリを強制的に実行し、データを操作します。
  • ローカル ファイル インクルージョン (LFI): LFI は、Web サーバーに配置された悪意のあるファイルをサイトに強制的に処理させます。
  • クロスサイト リクエスト フォージェリ (CSRF):信頼できる Web アプリケーションで Web ユーザーに不要なアクションを実行させる可能性があります。
  • 認証バイパス:このセキュリティ上の脅威により、ハッカーは Web サイトの機密リソースに認証なしでアクセスできます。
  • クロスサイト スクリプティング (XSS): XSS は悪意のあるコードを挿入して、Web サイトを通じてマルウェアを転送します。

Web サイトがこれらのセキュリティの脅威に対して脆弱ではないことを確認するには、以下のヒントとテクニックを必ず実装してください。

あなたにおすすめ: WordPress ウェブサイトのメンテナンスが必要な 10 の理由。

1.WordPressのバージョンアップ

同期 同期 同期 更新

ウェブサイトのセキュリティを強化する簡単な方法は、WordPress とインストールされているすべてのセキュリティ プラグインを最新バージョンに更新することです。 WordPress はオープンソースであるため、貢献者は新しいバージョンごとに機能とセキュリティを改善するためにたゆまぬ努力を続けています。 そのため、CMS を最新バージョンに更新して、Web サイトのセキュリティを向上させる必要があります。

2. セキュリティプラグイン

セキュア-WordPress-管理者-セキュリティ-プラグイン

WordPress の最も優れた点の 1 つは、Web サイトのほぼすべての機能に対応するプラグインを見つけることができることです。 ただし、すべてのセキュリティ プラグインがログイン ページの保護に適しているわけではありません。 したがって、Web サイトの管理領域のセキュリティを強化する最善の方法は、Sucuri、MalCare、Wordfence などの WordPress プラグインを使用することです。

これらのプラグインは、Web サイトのパフォーマンスに影響を与えることなく、悪意のあるトラフィックをブロックするのに役立ちます.

3.管理者のユーザー名とパスワードを変更する

WordPress-Dashboard-Admin-Area-Add-New-User

Web サイトを保護する最初の方法の 1 つは、デフォルトのユーザー名とパスワードを変更することです。 WordPress のインストールごとに、デフォルトで最初のログイン ユーザー名は Admin です。 この種のユーザー名は、ハッカーの餌になります。 その後、パスワードを予測するだけで済みます。

そのため、ユーザー名とパスワードをよりカスタマイズされたものに変更する必要があります。 まず、WordPress ダッシュボードを開きます。 [ユーザー] を選択し、[すべてのユーザー] をクリックします。

ユーザー名を「admin」から「mynameisadmin」に変更するだけでも、Web サイトをハッカーから保護するのに役立つ場合があります。 パスワードに関しては、その強度を示す小さな表示があります。 そのため、満足できるパスワードになるまで、大文字と小文字、記号、数字を組み合わせたさまざまなパスワードを試してください。 Web サイトをハッカーから保護するために、パスワードはできるだけ強力なものにしてください。 専門家は、パスワードに文字の代わりに記号や数字を使用して、よりあいまいにすることを提案しています. たとえば、パスワードを「California」にしたい場合は、代わりに「[email protected][email protected]」のようなものを選びます。 そうなると推測が難しくなります。

多くの場合、ログインしてはいけない場所にログインしようとすると、パスワードだけに注目し、さまざまな試行でユーザー名を同じに保ちます。 そのため、ユーザー名とパスワードの両方を変更することをお勧めします。

4. カスタム ログイン URL を作成する

ウェブサイトの安全性-セキュリティ-https-ssl-secure-socket-layer

URL の後に /wp-login.php を記述することで、任意の WordPress Web サイトのログイン ページにアクセスできます。 たとえば、WordPress Web サイトの URL が www.mywebsitename.com の場合、www.mywebsitename.com/wp-login.php からログイン ページにアクセスできます。

このような簡単なログイン ページへのアクセスにより、Web サイトはサイバー脅威に対してより脆弱になります。 そのため、ログイン URL スラッグを、WPS Hide Login などのプラグインを介してよりカスタマイズされたものに変更します。 このプラグインは、ログイン フォーム ページの URL を任意の URL に変更し、wp-admin ディレクトリと wp-login.php ページにアクセスできないようにします。 したがって、これらのページを失う可能性があるため、これらのページをブックマークすることをお勧めします.

WPS Hide Login をインストールしたら、WordPress ダッシュボードで [設定] に移動し、[WPS Hide Login] を選択します。 次に、[ログイン URL] フィールドに新しい URL を入力し、変更を保存します。 その後、Web サイトの管理ページは、これらのページからのみアクセスできるようになります。

これで、誰かがあなたのユーザー名とパスワードを知らないうちに知っていたとしても、あなたのログイン ページにアクセスすることはできなくなります。これは大きな安心です。 そのため、パーソナライズされたログイン URL が常にカスタム WordPress 開発に含まれています。

5. ログイン試行を制限する

Secure-WordPress-Dashboard-Admin-Area-WordFence-Brute-Force-Protection

ハッカーは Web サイトのパスワードを知らなくても、Web サイトをハッキングできることをご存知ですか? 自動化されたスクリプトを使用して、何千もの潜在的なパスワードをすぐに試して正しいパスワードを見つけ、最終的に成功させることができます。 これを防ぐために、Web サイトでのログイン試行を制限できます。

この目的のために、WordPress の公式ライブラリには、Wordfence Security や Login Lockdown などの特定のプラグインが役立つ可能性があります。 これらのプラグインのいずれかをインストールした後、ログイン試行を許可する回数と、ログイン制限を超えた後にユーザーがロックアウトされる期間の設定を定義できます。

たとえば、試行回数を 3 回に制限し、ロックアウト時間を 24 時間に設定できます。 そのため、誰かが 3 回以上試行に失敗した場合、その IP は次の 24 時間ロックアウトされ、その後再試行できます。

6.ログインページと管理エリアをSSL証明書で保護する

HTTP-to-HTTPS-SSL 証明書

場合によっては、パブリック ネットワークで Web サイトにログインする必要があり、任意の攻撃状況でハッカーに対して脆弱なままになることがあります。 パブリック ネットワークでは、ハッカーが HTTP リクエストにアクセスし、ログイン資格情報を平易に見ることができます。

これらの恣意的な攻撃を防ぐために、HTTPS 経由で Web サイトにアクセスできる SSL ログインを使用できます。 通常、ホスティング プロバイダーから SSL ログイン証明書を取得できます。 そうでない場合は、購入して Web サイトのサーバーにセットアップする必要があります。

Web サイトに HTTPS で実行する SSL 証明書が既にある場合は、wp-config.php ファイルを開いて次のように編集します。

 // Use SSL (HTTPS) for the login page. define ('FORCE_SSL_LOGIN', true); // Use SSL (HTTPS) for the whole admin area. define ('FORCE_SSL_ADMIN', true);

FORCE_SSL_LOGIN を使用すると、ログイン ページは HTTPS でのみ開き、Web サイトの管理領域全体で安全な接続が維持されます。 そのため、WordPress 開発者を雇う場合、彼らが最初に行うセキュリティ設定の 1 つは、ログイン ページと管理領域に SSL 証明書を使用することです。

あなたは好きかもしれません: WordPress ウェブサイトを作成したいですか? これらの 13 の簡単なステップに従ってください。

7. wp-admin ディレクトリをパスワードで保護する

電子メール セキュリティ ヒント作成一意のパスワード

「wp-admin」ディレクトリをパスワードで保護することは、Web サイトとその WordPress 管理領域にセキュリティの第 2 層を追加するようなものです。 それにアプローチする最良の方法の 1 つは、ホスティングの「ディレクトリ プライバシー」設定を使用することです。 cPanel Web ホストを使用して wp-admin ディレクトリをパスワードで保護している場合は、ディレクトリで cPanel パスワード保護を使用することもできます。

8.ログインページにキャプチャを含める

ワードプレスログインページ

管理エリアのキャプチャは、自動化されたスクリプトによって引き起こされるブルートフォース サイバー攻撃を防ぐのに役立ちます。 Google reCAPTCHA、BestWebSoft の reCaptcha、WPForms などの WordPress プラグインを使用して、ログイン ページにキャプチャを追加できます。

この手法は、自動化されたスクリプトによるハッキングの試みを阻止するのに非常に効果的です。

9. ログイン ページからエラー メッセージを削除します。

WordPress-Admin-Area-Login-Page

キャプチャを含め、ハッカーがあなたのウェブサイトにログインするために取得したいことが 3 つあります。 通常、ログインしようとして失敗すると、1 つ以上の資格情報が正しくないことを示すエラー メッセージが表示されます。

したがって、ハッカーがユーザー名、パスワード、およびキャプチャを入力し、資格情報の 1 つが間違っているとします。 「ユーザー名が正しくありません」または「パスワードが正しくありません」というエラー メッセージが表示されます。 その場合、彼らは資格情報の 1 つが正しいことを知り、他の資格情報に取り組むだけで済みます。

しかし、エラー メッセージを削除すると、どちらか一方が間違って挿入されたのか、両方が間違って挿入されたのかについて誤解を招くことになります。 その後、彼らは再び両方の作業を開始します。 この戦略に加えてログイン試行回数を制限すると、ハッカーに対してより多くの時間を稼ぐことができます.

そのため、ログイン ページからエラー メッセージを削除します。

10. 特定の IP にログインを許可する

403-Forbidden-HTTP-Error-Code

特定の静的 IP へのアクセスを制限して、Web サイトを保護できます。 自分の IP アドレスがわかっている場合は、wp-admin フォルダーの .htaccess ファイルからアクセスできるようにします。

wp-admin フォルダーを開き、.htaccess という名前のファイルを編集して、次のコードを追加します。

 order deny, allow # Replace 99.99.99.99 with the desired IP address allow from 99.99.99.99 # Allow more IP addresses to access the wp-admin area by uncommenting the line below and editing the IP address # allow from 98.98.98.98 deny from all

99.99.99.99 を自分の IP またはアクセスを許可したい IP に置き換えるだけです。

そのため、アクセス権のないユーザーがログインしようとすると、このメッセージが表示されます。

11.二要素認証によるレイヤーの追加

access-alarm-home-authentication-lock-security-protection-passcode-secure-WordPress-admin-2fa

ウェブサイトのセキュリティを強化するもう 1 つの方法は、WordPress プラグインを使用して、2 要素認証を備えた別のレイヤーを追加することです。 WP 2FA などのプラグインをインストールして設定するだけで、自動化されたスクリプトやブルート フォース攻撃などのサイバー脅威から Web サイトを保護できます。

12.ワンタイムパスワード(OTP)

安全なWordPress-管理者-OTP-安全性-セキュリティ-インターネット-パスワード-ロック

名前が示すように、ワンタイム パスワードでは、1 回だけ有効なパスワードを使用して Web サイトにログインできます。 これらのパスワードは、メールまたは携帯電話番号で受け取ります。 OTP はメールと携帯電話番号を介して送信され、1 回のセッションにのみ有効であるため、ネットカフェなどからのログイン中にメインのパスワードが盗まれる心配はありません。 言うまでもなく、一部の WordPress プラグインは、ログイン ページに OTP 機能を追加するのに役立ちます。

これらの手法は、ブルート フォース攻撃、スパム、悪意のあるボット、SQL インジェクション、そして最も重要な自動スクリプト (パスワード生成用) などのサイバー脅威から WordPress Web サイトの管理領域を保護するのに役立ちます。

あなたも好きかもしれません:スキーマとは? WordPress ウェブサイトにスキーマ マークアップを追加する方法

ついに!

成果 - ビジネス - マーケティング - 成功 - 親指アップ - 勝利 - 結論

新しい WordPress Web サイトを設計するとき、ハッキングされるという考えは遠くありません。 しかし、それはまだ可能性です。 そのため、ハッカーが Web サイトの機密情報にアクセスできないように、管理領域を保護および保護するために、セキュリティをカスタム WordPress 開発の明確な部分にする必要があります。

そのため、WordPress の更新、セキュリティ プラグイン、OTP、暗号化されたパスワード、2 要素認証、キャプチャなどのヒントやテクニックをリストアップして、Web サイトがハッカーから安全であることを確認しました。 WordPress 開発者を雇って新しい Web サイトを作成したり、古い Web サイトを更新したりする際は、これらの手法について必ず話し合ってください。

作者: パラク・シャー

この記事はパラク・シャーによって書かれました。 Palak は WPWeb Infotech の質の高いコンテンツ ライターであり、WordPress、テクノロジー、小規模ビジネスについて書くのが大好きです。 彼女は信じられないほどのチームプレーヤーであり、チームと緊密に協力して素晴らしい結果を達成しています. 彼女は Netflix を視聴し、ノンフィクション、自己啓発、著名人の自伝を読んでいます。