私たちが知っているすべてのWordPressサイトの所有者は、自分のウェブサイトがハッカーに脆弱になる可能性があることに気づいたときに、パニックになった経験があります。私たちは、セキュリティ侵害がビジネスにどのような影響を与えるかを知った初期の段階で、この教訓を苦労して学びました。
だからこそ、長年にわたり、最高のセキュリティプラグインを使用し、WordPressのセキュリティベストプラクティスに従うことで、WPBeginnerを度重なる攻撃から安全に保つことができています。
WordPressのセキュリティは、複雑である必要も高価である必要もありません。ほとんどのサイト所有者は、専門家を雇うか、セキュリティツールに数千ドルを費やす必要があると考えていますが、それはまったく真実ではありません。適切なアプローチと実績のある戦略があれば、当社のサイトを保護するのと同じように、ウェブサイトを保護できます。
私たちは長年、セキュリティプラグインのテスト、ベストプラクティスの実装、そして何千ものWordPressユーザーのサイトセキュリティの支援に費やしてきました。このガイドでは、私たちのサイトを安全に保つために使用するすべてのステップを順を追って説明します。これにより、WordPressウェブサイトが保護されていることを知って安心して眠ることができます。
WordPressのコアソフトウェアは非常に安全で、何百人もの開発者によって定期的に監査されていますが、サイトを安全に保つためにはまだ多くのことが必要です。
WPBeginnerでは、セキュリティはリスク排除だけではないと考えています。リスク軽減も重要です。ウェブサイト所有者として、技術に詳しくなくても、WordPressのセキュリティを向上させるためにできることはたくさんあります。
そのため、セキュリティの脆弱性からウェブサイトを保護するために実行できる具体的なステップのWordPressセキュリティチェックリストを作成しました。
簡単にするために、WordPressセキュリティガイド全体を簡単にナビゲートできるように、目次を作成しました。
目次
WordPressセキュリティの基本
WordPressセキュリティを簡単なステップで(コーディングなしで)
- WordPressバックアップソリューションをインストールする
- 信頼できるWordPressセキュリティプラグインをインストールする
- Webアプリケーションファイアウォール(WAF)を有効にする
- WordPressサイトをSSL/HTTPSに移行する
DIYユーザーのためのWordPressセキュリティ
- デフォルトの管理者ユーザー名を変更する
- ファイル編集を無効にする
- 特定のWordPressディレクトリでのPHPファイル実行を無効にする
- ログイン試行回数の制限
- 2要素認証(2FA)を追加する
- WordPressデータベースのプレフィックスを変更する
- WordPressの管理画面とログインページにパスワード保護を追加する
- ディレクトリインデックス表示とブラウジングを無効にする
- WordPressでXML-RPCを無効にする
- WordPressでアイドル状態のユーザーを自動的にログアウトする
- WordPressログインにセキュリティの質問を追加
- WordPressのマルウェアと脆弱性をスキャンする
- ハッキングされたWordPressサイトの修復
準備はいいですか?始めましょう。
ウェブサイトのセキュリティが重要な理由
ハッキングされたWordPressウェブサイトは、ビジネスの収益と評判に深刻な損害を与える可能性があります。ハッカーはユーザー情報やパスワードを盗んだり、悪意のあるソフトウェアをインストールしたり、ユーザーにマルウェアを配布したりすることさえできます。
最悪の場合、ウェブサイトへのアクセスを回復するために、ハッカーにランサムウェアを支払うことになるかもしれません。
Googleは毎日、1200万から1400万人のユーザーに対し、アクセスしようとしているウェブサイトにマルウェアが含まれているか、情報を盗む可能性があると警告しています。
さらに、Googleは毎日約10,000以上のウェブサイトをマルウェアやフィッシングのためにブラックリストに登録しています。
物理的な場所を持つ事業主がその財産を保護する責任を負うのと同様に、オンライン事業主はWordPressセキュリティに特別な注意を払う必要があります。
[トップへ戻る ↑]
WordPressを最新の状態に保つ
WordPressはオープンソースソフトウェアであり、定期的に保守および更新されています。デフォルトでは、WordPressはマイナーアップデートを自動的にインストールします。
メジャーリリースの場合、手動でアップデートを開始する必要があります。
WordPressには、ウェブサイトにインストールできる数千ものプラグインやテーマも付属しています。これらのプラグインやテーマはサードパーティの開発者によって保守されており、定期的にアップデートもリリースされます。
これらのWordPressのアップデートは、WordPressサイトのセキュリティと安定性にとって非常に重要です。WordPressのコア、プラグイン、テーマを最新の状態に保つ必要があります。
[トップへ戻る ↑]
強力なパスワードとユーザー権限を使用する
最も一般的なWordPressハッキング試行は、盗まれたパスワードを使用します。しかし、ウェブサイトに強力でユニークなパスワードを使用することで、それを困難にすることができます。
WordPressの管理エリアだけではありません。FTPアカウント、データベース、WordPressホスティングアカウント、およびサイトのドメイン名を使用するカスタムメールアドレスには、強力なパスワードを作成することを忘れないでください。
多くの初心者は、覚えにくいので強力なパスワードの使用を好みません。幸いなことに、パスワードマネージャーを使えばパスワードを覚える必要はもうありません。
WordPressのパスワード管理方法については、WordPressパスワードの管理方法に関するガイドをご覧ください。
リスクを軽減するもう1つの方法は、絶対に必要がない限り、WordPress管理アカウントへのアクセスを誰にも与えないことです。
大規模なチームやゲスト作成者がいる場合は、WordPressサイトに新しいユーザーアカウントや作成者を追加する前に、WordPressのユーザーロールと権限を理解していることを確認してください。
[トップへ戻る ↑]
WordPressホスティングの役割を理解する
あなたのWordPressホスティングサービスは、WordPressサイトのセキュリティにおいて最も重要な役割を果たします。共有ホスティングプロバイダーであるHostinger、Bluehost、またはSiteGroundのような優れたプロバイダーは、一般的な脅威からサーバーを保護するために追加の対策を講じています。
ここに、優れたウェブホスティング会社がウェブサイトとデータを保護するためにバックグラウンドでどのように機能するかのほんの一例を挙げます。
- 彼らは不正なアクティビティを継続的に監視しています。
- すべての優れたホスティング会社は、大規模なDDoS攻撃を防ぐためのツールを備えています。
- サーバーソフトウェア、PHPバージョン、およびハードウェアを最新の状態に保ち、古いバージョンに存在する既知のセキュリティ脆弱性をハッカーが悪用するのを防ぎます。
- 重大な事故が発生した場合にデータを保護できる、すぐに展開可能な災害復旧および事故計画を用意しています。
共用ホスティングプランでは、多くの他の顧客とサーバーリソースを共有します。クロスサイト汚染のリスクがあり、ハッカーが隣接するサイトを使用してあなたのウェブサイトを攻撃する可能性があります。
対照的に、マネージドWordPressホスティングサービスを使用すると、ウェブサイトにより安全なプラットフォームが提供されます。マネージドWordPressホスティング会社は、自動バックアップ、WordPressの自動更新、およびウェブサイトを保護するためのより高度なセキュリティ設定を提供します。
私たちは、推奨されるマネージドWordPressホスティングプロバイダーとしてSiteGroundを推奨しています。彼らは応答性の高いサポート、高速なサーバー、そして優れた信頼性を持っています。
特別なSiteGroundクーポンを使用して、最良の取引を入手してください。
[トップへ戻る ↑]
簡単なステップでWordPressのセキュリティを強化(コーディング不要)
WordPressのセキュリティを向上させることは、特に技術に詳しくない初心者にとっては恐ろしいことだと私たちは理解しています。驚くかもしれませんが、あなたは一人ではありません。
何千ものWordPressユーザーのWordPressセキュリティ強化をお手伝いしてきました。
数回のクリック(コーディング不要)でWordPressのセキュリティを向上させる方法をご紹介します。
ポイント&クリックができれば、これもできます!
1. WordPressバックアップソリューションをインストールする
バックアップは、あらゆるWordPress攻撃に対する最初の防御策です。覚えておいてください、100%安全なものはありません。政府のウェブサイトがハッキングされる可能性があるなら、あなたのサイトもハッキングされる可能性があります。
バックアップにより、万が一悪いことが起こった場合にWordPressサイトを迅速に復元できます。
無料および有料のWordPressバックアッププラグインはたくさんあります。バックアップに関して最も重要なことは、ホスティングアカウントではなく、リモートの場所に定期的にフルサイトバックアップを保存する必要があるということです。
Amazon、Dropboxなどのクラウドサービスや、Stashのようなプライベートクラウドに保存することをお勧めします。
ウェブサイトを更新する頻度に応じて、理想的な設定は1日1回またはリアルタイムのバックアップのいずれかになります。
幸いなことに、これはDuplicator、UpdraftPlus、またはBlogVaultのようなプラグインを使用することで簡単に実行できます。どちらも信頼性が高く、最も重要なのは使いやすいことです(コーディングは不要です)。
詳細については、WordPressウェブサイトのバックアップ方法に関するガイドをご覧ください。
[トップへ戻る ↑]
信頼できるWordPressセキュリティプラグインをインストールする
バックアップの後、次にやるべきことは、ウェブサイトで起こるすべてのことを追跡する監査および監視システムをセットアップすることです。
これには、ファイル整合性監視、ログイン試行失敗、マルウェアスキャンなどが含まれます。
幸いなことに、最高のWordPressセキュリティプラグインのいずれか、例えばSucuriをインストールすることで、これを簡単に解決できます。
無料のSucuri Securityプラグインをインストールして有効化する必要があります。詳細については、WordPressプラグインのインストール方法に関するステップバイステップガイドをご覧ください。
次に、Sucuri Security » Dashboard にアクセスして、プラグインがWordPressコードに即時の問題を見つけたかどうかを確認できます。
次に、Sucuri Security » Settings ページに移動し、「Hardening」タブをクリックします。
デフォルト設定はほとんどのウェブサイトでうまく機能するため、「ハードニングを適用」ボタンをクリックして各オプションを有効にすることができます。
これは、ハッカーが攻撃でよく使用する主要な領域をロックダウンするのに役立ちます。
ヒント: この記事の後半では、データベースプレフィックスや管理者ユーザー名の変更など、ウェブサイトを強化するためのさらなる方法を説明します。ただし、これらはより技術的であり、コーディングの知識が必要になる場合があります。
ハードニング(セキュリティ強化)部分の後、プラグインの他のデフォルト設定はほとんどのウェブサイトで十分であり、変更の必要はありません。
カスタマイズをお勧めするのは、設定ページの「アラート」タブにあるメールアラートのみです。
デフォルトでは、多くのメールアラートを受信するため、受信トレイが煩雑になる可能性があります。
プラグインの変更や新しいユーザー登録など、通知を受けたい重要なアクションに対してのみアラートを有効にすることをお勧めします。
このWordPressセキュリティプラグインは非常に強力なので、すべてのタブと設定を確認して、マルウェアスキャン、監査ログ、ログイン失敗試行の追跡など、それが何をするかを確認してください。
詳細については、当社の詳細なSucuriレビューをご覧ください。
Webアプリケーションファイアウォール(WAF)を有効にする
Webアプリケーションファイアウォール(WAF)を使用することは、サイトを保護し、WordPressのセキュリティに自信を持つための最も簡単な方法です。
ウェブサイトファイアウォールは、悪意のあるトラフィックがウェブサイトに到達する前にすべてブロックします。
- DNSレベルのウェブサイトファイアウォールは、ウェブサイトのトラフィックをクラウドプロキシサーバーを経由させます。これにより、正規のトラフィックのみをウェブサーバーに送信できます。
- アプリケーションレベルのファイアウォールは、トラフィックがサーバーに到達してからほとんどのWordPressスクリプトをロードする前に検査します。この方法は、DNSレベルのファイアウォールほどサーバー負荷を軽減する効率はありません。
詳細については、最高のWordPressファイアウォールプラグインのリストをご覧ください。
WPBeginnerでは長年Sucuriを使用しており、WordPress向けの最高のWebアプリケーションファイアウォールの一つとして今でも推奨しています。最近、エンタープライズ顧客により重点を置いた機能を持つ、より大きなCDNネットワークが必要になったため、SucuriからCloudflareに切り替えました。
Sucuriがどのようにして1ヶ月で450,000件のWordPress攻撃をブロックするのに役立ったかについては、こちらでお読みいただけます。
Sucuriのファイアウォールの最も良い点は、マルウェアクリーニングとブラックリスト削除の保証も付いていることです。これは、彼らの監視下でハッキングされた場合、ページ数に関係なくウェブサイトを修正することを保証することを意味します。
これはかなり強力な保証です。なぜなら、ハッキングされたウェブサイトの修理は高価だからです。セキュリティ専門家は通常、1時間あたり250ドル以上を請求しますが、Sucuriのセキュリティスタック全体を年間199ドルで入手できます。
そうは言っても、Sucuriは唯一のDNSレベルファイアウォールプロバイダーではありません。もう一つの人気のある競合他社はCloudflareです。SucuriとCloudflare(長所と短所)の比較をご覧ください。
[トップへ戻る ↑]
WordPressサイトをSSL/HTTPSに移行する
SSL(Secure Sockets Layer)は、ウェブサイトとユーザーのブラウザ間のデータ転送を暗号化するプロトコルです。この暗号化により、誰かが情報を盗み見ることが困難になります。
SSLを有効にすると、ウェブサイトのアドレスはHTTPの代わりにHTTPSを使用するようになります。ブラウザのウェブサイトアドレスの横にも、鍵のマークやそれに類するアイコンが表示されます。
SSL証明書は通常、認証局によって発行され、価格は年間80ドルから数百ドルです。追加費用のため、過去のほとんどのウェブサイト所有者は、安全でないプロトコルを使い続けることを選択していました。
これを解決するために、Let’s Encryptという非営利団体がウェブサイト所有者に無料のSSL証明書を提供することを決定しました。このプロジェクトは、Google Chrome、Facebook、Mozilla、その他多くの企業に支援されています。
すべてのWordPressウェブサイトでSSLの使用を開始するのがこれまで以上に簡単になりました。多くのホスティング会社は現在、WordPressウェブサイト用の無料SSL証明書を提供しています。
ホスティング会社が提供していない場合は、Domain.comからSSL証明書を購入できます。彼らは市場で最高かつ最も信頼性の高いSSL取引を提供しています。証明書には10,000ドルのセキュリティ保証とTrustLogoセキュリティシールが付いています。
DIYユーザーのためのWordPressセキュリティ
ここまで述べたことをすべて実行すれば、かなり安全な状態になります。
しかし、常にそうであるように、WordPressのセキュリティを強化するためにできることは他にもあります。
これらのステップの一部には、コーディングの知識が必要になる場合があることに注意してください。
デフォルトの管理者ユーザー名を変更する
昔は、デフォルトのWordPress管理者ユーザー名は「admin」でした。ユーザー名はログイン資格情報の一部であるため、ハッカーが総当たり攻撃を行いやすくなっていました。
幸いなことに、WordPress はその後これを変更し、WordPressをインストールする際にカスタムユーザー名を選択するように要求しています。
ただし、一部のワンクリックWordPressインストーラーは、デフォルトの管理者ユーザー名を「admin」に設定したままです。もしそうであることに気づいた場合は、ウェブホスティングを変更するのが良いでしょう。
WordPressではデフォルトでユーザー名を変更できないため、ユーザー名を変更するには3つの方法があります。
- 新しい管理者ユーザー名を作成し、古いものを削除します。
- ユーザー名変更プラグインを使用する
- phpMyAdminからユーザー名を更新する
これら3つすべてについて、WordPressのユーザー名を正しく変更する方法に関する詳細ガイドで説明しました。
注意: はっきりさせておきますが、ここで変更するのは「admin」というユーザー名であり、管理者ユーザーロール(これも「admin」と呼ばれることがあります)のことではありません。
[トップへ戻る ↑]
ファイル編集を無効にする
WordPressには、WordPress管理エリアから直接テーマやプラグインファイルを編集できる組み込みコードエディターが付属しています。
この機能は、悪意のある手に渡るとセキュリティリスクになる可能性があるため、オフにすることをお勧めします。
以下のコードをwp-config.phpファイルに追加するか、コードスニペットプラグイン(推奨)であるWPCodeを使用して、これを簡単に行うことができます。
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
WordPress管理画面からテーマおよびプラグインエディターを無効にする方法については、テーマおよびプラグインエディターを無効にする方法のガイドでステップバイステップで説明しています。
または、上記で言及した無料のSucuriプラグインのハードニング機能を使用して、ワンクリックでこれを行うこともできます。
[トップへ戻る ↑]
特定のWordPressディレクトリでのPHPファイル実行を無効にする
WordPressのセキュリティを強化する別の方法は、必要のないディレクトリ(例:/wp-content/uploads/)でPHPファイルの実行を無効にすることです。
メモ帳のようなテキストエディタを開き、このコードを貼り付けることで、これを実行できます。
<Files *.php>
deny from all
</Files>
次に、このファイルを .htaccess として保存し、FTPクライアントを使用してウェブサイトの/wp-content/uploads/フォルダにアップロードする必要があります。
より詳細な説明については、特定のWordPressディレクトリでのPHP実行を無効にする方法に関するガイドをご覧ください。
または、前述の無料のSucuriプラグインのハードニング機能を使用して、ワンクリックでこれを実行することもできます。
[トップへ戻る ↑]
ログイン試行回数の制限
デフォルトでは、WordPressはユーザーが無制限にログインを試行することを許可しています。これにより、WordPressサイトはブルートフォース攻撃に対して脆弱になります。これは、ハッカーがさまざまな組み合わせでログインを試みてパスワードをクラックしようとする方法です。
これは、ユーザーが行えるログイン試行回数を制限することで簡単に修正できます。前述のWebアプリケーションファイアウォールを使用している場合、これは自動的に処理されます。
ただし、ファイアウォールが設定されていない場合は、以下の手順で進めることができます。
まず、無料のLimit Login Attempts Reloadedプラグインをインストールして有効にする必要があります。詳細については、WordPressプラグインのインストール方法に関するステップバイステップガイドをご覧ください。
有効化すると、プラグインはユーザーが試行できるログイン回数を制限し始めます。
デフォルト設定はほとんどのウェブサイトで機能します。ただし、設定 » ログイン試行回数の制限ページにアクセスし、上部にある「設定」タブをクリックすることでカスタマイズできます。例えば、GDPR法に準拠するには、「GDPRコンプライアンス」チェックボックスをクリックできます。
詳細な手順については、WordPressでログイン試行回数を制限する方法と理由に関するガイドをご覧ください。
[トップへ戻る ↑]
2要素認証(2FA)を追加する
二要素認証方式では、ユーザーがログインするために2つの異なるステップが必要です。
- 最初の手順は、ユーザー名とパスワードです。
- 2番目のステップでは、スマートフォンなど、ハッカーがアクセスできない手元にあるデバイスまたはアプリからコードを使用する必要があります。
Google、Facebook、Twitterなどのほとんどのトップオンラインウェブサイトでは、アカウントで有効にすることができます。WordPressサイトにも同じ機能を追加できます。
まず、WP 2FA – Two-factor Authenticationプラグインをインストールして有効化する必要があります。詳細については、WordPressプラグインのインストール方法に関するステップバイステップガイドをご覧ください。
ユーザーフレンドリーなウィザードがプラグインの設定を支援し、その後QRコードが表示されます。
Google Authenticator、Authy、LastPass Authenticatorなどの携帯電話の認証アプリを使用してQRコードをスキャンする必要があります。
クラウドにアカウントをバックアップできるため、LastPass AuthenticatorまたはAuthyの使用をお勧めします。これは、電話を紛失したり、リセットしたり、新しい電話を購入したりした場合に非常に役立ちます。すべてのアカウントログインは簡単に復元されます。
これらのアプリのほとんどは同様の方法で機能します。Authyを使用している場合は、認証アプリで「+」または「アカウントを追加」ボタンをクリックするだけです。
これにより、スマートフォンのカメラを使用してコンピューター上の QR コードをスキャンできます。最初に、アプリにカメラへのアクセス許可を与える必要がある場合があります。
アカウントに名前を付けたら、保存できます。
次回ウェブサイトにログインする際には、パスワードを入力した後、2要素認証コードを求められます。
スマートフォンの認証アプリを開くだけで、使い捨てコードが表示されます。
ウェブサイトにコードを入力して、ログインを完了できます。
[トップへ戻る ↑]
WordPressデータベースのプレフィックスを変更する
デフォルトでは、WordPressはデータベースのすべてのテーブルにwp_をプレフィックスとして使用します。WordPressデータベース。
WordPressサイトでデフォルトのデータベースプレフィックスを使用している場合、ハッカーがテーブル名を推測しやすくなります。そのため、変更することをお勧めします。
WordPressデータベースプレフィックスを変更してセキュリティを向上させる方法というステップバイステップのチュートリアルに従って、データベースプレフィックスを変更できます。
注意: データベースのプレフィックスを変更すると、正しく行われない場合、サイトが破損する可能性があります。コーディングスキルに自信がある場合のみ実行してください。
[トップへ戻る ↑]
WordPressの管理画面とログインページにパスワード保護を追加する
通常、ハッカーは制限なしにwp-adminフォルダとログインページをリクエストできます。これにより、ハッキングの試みやDDoS攻撃を実行できます。
サーバーレベルで追加のパスワード保護を追加すると、それらのリクエストを効果的にブロックできます。
WordPress管理(wp-admin)ディレクトリのパスワード保護方法に関するステップバイステップの説明に従ってください。
[トップへ戻る ↑]
ディレクトリインデックス表示とブラウジングを無効にする
ウェブブラウザにウェブサイトのフォルダのいずれかのアドレスを入力すると、それが存在する場合、index.html という名前のウェブページが表示されます。存在しない場合は、代わりにそのフォルダ内のファイルのリストが表示されます。これはディレクトリブラウジングとして知られています。
ディレクトリブラウジングは、ハッカーが悪用可能な既知の脆弱性を持つファイルがないかを見つけるために使用される可能性があり、それらのファイルを利用してアクセスを得ることができます。
ディレクトリブラウジングは、他の人があなたのファイルを見たり、画像をコピーしたり、ディレクトリ構造やその他の情報を調べたりするためにも使用できます。そのため、ディレクトリインデックス作成とブラウジングをオフにすることが強く推奨されます。
FTPまたはホスティングプロバイダーのファイルマネージャーを使用してウェブサイトに接続する必要があります。次に、ウェブサイトのルートディレクトリにある.htaccessファイルを見つけます。そこに見つからない場合は、WordPressで.htaccessファイルが見えない理由に関するガイドを参照してください。
その後、.htaccessファイルの末尾に次の行を追加する必要があります。
Options -Indexes
.htaccessファイルを保存してサイトにアップロードし直すことを忘れないでください。
このトピックの詳細については、WordPressでディレクトリブラウジングを無効にする方法に関する記事をご覧ください。
[トップへ戻る ↑]
WordPressでXML-RPCを無効にする
XML-RPCは、WordPressサイトをウェブおよびモバイルアプリに接続するのに役立つWordPressのコアAPIです。WordPress 3.5以降、デフォルトで有効になっています。
しかし、その強力な性質のため、XML-RPCはブルートフォース攻撃を大幅に増幅させる可能性があります。
たとえば、ハッカーが従来、ウェブサイトで500種類の異なるパスワードを試そうとした場合、500回の個別のログイン試行を行う必要がありました。Limit Login Attempts Reloadedプラグインはこれを検出し、ブロックできます。
しかし、XML-RPCを使用すると、ハッカーはsystem.multicall関数を使用して、20または50のリクエストで数千のパスワードを試すことができます。
このため、XML-RPC を使用していない場合は、無効にすることをお勧めします。
WordPressでXML-RPCを無効にする方法は3つあり、それらはすべてWordPressでXML-RPCを無効にする方法に関するステップバイステップチュートリアルでカバーしています。
ヒント: .htaccess メソッドは、リソース消費が最も少ないため、最良の方法です。他の方法は初心者には簡単です。
あるいは、前述したようにWebアプリケーションファイアウォール(WAF)を使用している場合は、これが自動的に処理されます。
[トップへ戻る ↑]
WordPressでアイドル状態のユーザーを自動的にログアウトする
ログイン中のユーザーは画面から離れることがあり、これはセキュリティリスクとなります。誰かがセッションを乗っ取り、パスワードを変更したり、アカウントに変更を加えたりする可能性があります。
このため、多くの銀行や金融サイトでは、非アクティブなユーザーを自動的にログアウトさせます。WordPressサイトでも同様の機能を設定できます。
Inactive Logoutプラグインをインストールして有効化する必要があります。有効化したら、設定 » 非アクティブログアウトページにアクセスして、ログアウト設定をカスタマイズしてください。
時間を設定し、ログアウトメッセージを追加するだけです。次に、設定を保存するために、ページ下部にある「変更を保存」ボタンをクリックすることを忘れないでください。
手順については、WordPressでアイドル状態のユーザーを自動的にログアウトさせる方法に関するガイドを参照してください。
[トップへ戻る ↑]
WordPressログイン画面にセキュリティ質問を追加する
WordPressのログイン画面にセキュリティの質問を追加すると、不正アクセスがさらに困難になります。
Two Factor Authenticationプラグインをインストールすることで、セキュリティ質問を追加できます。有効化後、プラグインの設定を構成するには、Multi-factor Authentication » Two Factorページにアクセスする必要があります。
これにより、セキュリティの質問を含むさまざまな種類の二要素認証をサイトに追加できるようになります。
詳細な手順については、WordPressログイン画面にセキュリティ質問を追加する方法に関するチュートリアルをご覧ください。
[トップへ戻る ↑]
WordPressのマルウェアと脆弱性をスキャンする
WordPressのセキュリティプラグインがインストールされていれば、マルウェアやセキュリティ侵害の兆候を定期的にチェックしてくれます。
ただし、ウェブサイトのトラフィックや検索順位が急激に低下した場合は、手動でマルウェアをスキャンする必要があるかもしれません。これは、WordPressセキュリティプラグインまたは最高のマルウェアおよびセキュリティスキャナーのいずれかを使用して行うことができます。
これらのオンラインスキャンを実行するのは非常に簡単です。ウェブサイトのURLを入力するだけで、クローラーがウェブサイトをスキャンして、既知のマルウェアや悪意のあるコードを探します。
さて、ほとんどのWordPressセキュリティスキャナーは、サイトにマルウェアが含まれている場合に警告することしかできないことに注意してください。マルウェアを削除したり、ハッキングされたWordPressサイトをクリーンアップしたりすることはできません。
次に、マルウェアやハッキングされたWordPressサイトのクリーンアップセクションに進みます。
[トップへ戻る ↑]
ハッキングされたWordPressサイトの修復
多くのWordPressユーザーは、ウェブサイトがハッキングされるまで、バックアップとウェブサイトセキュリティの重要性に気づいていません。
ハッカーは、影響を受けたサイトにバックドアをインストールします。これらのバックドアが適切に修正されない場合、ウェブサイトは再びハッキングされる可能性が高いです。
冒険心のあるDIYユーザーのために、ハッキングされたWordPressサイトの修正方法に関するステップバイステップガイドをまとめました。
ただし、WordPressサイトのクリーンアップは非常に困難で時間がかかる場合があります。専門家に任せることをお勧めします。
上記で言及したSucuriセキュリティプラグインを有料で使用している場合、ハッキングされたサイトの修復は価格に含まれています。
それ以外の場合は、最高のWordPressサポートエージェンシーの推奨事項を確認して、ハッキングされたサイトを修正できる専門家を見つけることができます。
[トップへ戻る ↑]
WordPressのセキュリティに関するFAQ
WordPressのセキュリティは非常に重要であるため、それに関する質問を定期的に受けています。ここでは、WordPressウェブサイトを攻撃から安全に保つことに関するよくある質問への回答を紹介します。
WordPress は安全に使用できますか?
WordPressは、特に定期的に更新していれば、安全に設計されています。しかし、非常に人気があるため、ハッカーはWordPressウェブサイトを標的にすることがよくあります。
しかし、心配しないでください。この記事で紹介したような簡単なセキュリティのヒントに従うことで、ウェブサイトがハッキングされる可能性を大幅に減らすことができます。
WordPressウェブサイトを危険にさらす可能性のあるものは?
ハッカーがウェブサイトにアクセスしようとする方法は様々です。一般的な脅威には、パスワードの推測、悪意のあるソフトウェア(マルウェア)のインストール、ウェブサイトのコードの脆弱性を発見して情報を盗んだり、制御を奪ったりすることが含まれます。
WordPressウェブサイトはどのくらいの頻度で更新すべきですか?
WordPressウェブサイト、テーマ、プラグインを最新の状態に保つことは非常に重要です。新しいアップデートには、セキュリティ問題の修正が含まれていることがよくあります。自動更新を使用するか、少なくとも週に一度は自分で更新を確認して迅速にインストールするようにしてください。
セキュリティのために特別なプラグインが必要ですか?
セキュリティプラグインを使用する必要はありませんが、ウェブサイトをはるかに安全にすることができます。セキュリティプラグインは、ウェブサイトの追加のガードのように機能し、ハッカーやマルウェアから保護します。
ウェブサイトがハッキングされたかどうかを知るには?
ウェブサイトで奇妙なことが起こっていることに気づいた場合、それはハッキングされた兆候である可能性があります。これには、自分で作成していない新しいユーザーやファイルが表示される、ウェブサイトが訪問者を別のウェブサイトにリダイレクトする、ウェブサイトの動作が遅くなる、Googleやウェブホスティングプロバイダーから警告が表示されるなどが含まれます。
ウェブサイトがハッキングされたらどうすればよいですか?
ウェブサイトがハッキングされたと思っても、慌てずにすぐに行動してください。ウェブホスティング会社に連絡して助けを求めることができます。セキュリティプラグインを使用したり、セキュリティ専門家にウェブサイトのクリーンアップを依頼することもできます。
ウェブサイトのバックアップがある場合は、そのバックアップから復元してください。WordPress管理画面、データベース、FTPのパスワードを含め、すべてのパスワードを変更してください。
この記事が、ウェブサイトを保護するためのベストプラクティスと推奨されるWordPressセキュリティチェックリストを学ぶのに役立ったことを願っています。また、WordPressサイトがハッキングされる主な理由と、最高のWordPressセキュリティプラグインの専門家による選び方もご覧ください。
この記事が気に入ったら、WordPressのビデオチュートリアルについては、YouTubeチャンネルを購読してください。 TwitterやFacebookでもフォローできます。
Fred Laxton
非常に良く、包括的なガイドです。ありがとうございます!
以下のようなプラグインを使用して、WPログインURLを変更することも良い考えだと付け加えたいと思います。
WPSログインを非表示にする
このプラグインを使用して、構築する各WPサイトにカスタムログインを使用しています。これは、ログインレートリミッターなどと組み合わせて、ハッキング試行をブロックするのに大いに役立ちます。
WPBeginnerサポート
Changing your login URL is not a security measure, it is more for customizing the login experience. For changing the login URL we would recommend taking a look at our article below
https://www.wpbeginner.com/plugins/how-to-add-custom-login-url-in-wordpress/
管理者
Olaf
すごい、これは本当に包括的な WordPress セキュリティガイドです。私は何よりもウェブサイトのセキュリティを優先していますが、正直なところ、私自身でさえ、WordPress を侵害されにくくするためにこれほど多くの異なる対策を実装したことはないでしょう。あなたがリストしたソリューションとテクニックの 50% でさえ適用すれば、あなたのサイトは事実上鉄壁になるだろうと敢えて言います。
モイヌディン・ワヒード
WordPressウェブサイトのセキュリティのために、ファイアウォールプラグインの使用に注意を促したいと思います。
Cloudflare CDNやSucuriのような適切なプラグインを使用することで、悪意のあるアクセスをフィルタリングし、あらゆる種類の攻撃からウェブサイトを保護できます。
私はCloudflareを長年使用しており、セキュリティとパフォーマンスにおけるその有用性を証言できます。
オヤトグン・オルワセウン・サミュエル
これは非常に洞察に富んでいます。また、ワークステーションやコンピューターラボへのアクセスを保護することも非常に重要だと付け加えたいと思います。なぜなら、最近ではセキュリティの一環として、WordPressサイトにアクセスするために強力なパスワードを使用しますが、これは簡単に覚えられないため、WordPressサイトにアクセスするために使用するウェブブラウザに保存せざるを得なくなります。コンピューターやこれらのブラウザにアクセスできる人なら誰でも、保存されたユーザー名とパスワードを簡単に使用してWordPressサイトにログインし、大混乱を引き起こす可能性があります。第二に、ランサムウェアから身を守る方がずっと良いと思います。身代金を支払った後でも、WordPressサイトへのアクセスを取り戻せる保証はありません。ところで、マルウェアやフィッシングの結果としてGoogleがウェブサイトをブラックリストに載せているかどうかを知る方法を教えていただけますか?
WPBeginnerサポート
マルウェアやフィッシング攻撃の後、サイトが心配で、ペナルティを見つけて回復するのに役立つ場合は、以下のガイドを使用したいと思うでしょう。
https://www.wpbeginner.com/beginners-guide/how-to-recover-a-wordpress-site-from-a-google-search-penalty/
管理者
オヤトグン・オルワセウン・サミュエル
ご返信ありがとうございます。リンクをたどって、さらに知識を得ます。この回答に満足しています。
uzoma ichetaonye
わあ…これはウェブサイトをハッカーから保護する方法についての非常に充実した記事ですね。
しかし、このヒントを差し上げましょう:インターネットを閲覧している間、疑わしくスパムのように見えるランダムなリンクをクリックしたり、要求なしに画面に表示されたり、どこかに表示されたりするファイルをダウンロードしたりしないでください。常に正規のソフトウェアを選び、クラック版は避けてください。
ハッカーは、この手段を通じてログイン情報を取得し、それらを使用してウェブサイトへのアクセスを試みます。
特定のリンクをランダムにクリックしてダウンロードした際に間違いを犯し、ウェブサイトがハッキングされましたが、最終的に再び制御を取り戻しました。
ですから、特別なオファーを提供すると誘惑してくるような、不正で疑わしいリンクにアクセスしないようにしましょう。
注意して安全に過ごしてください。
Dayo Olobayo
経験を共有してくれてありがとう、Uzomaさん。ハッカーは巧妙になりうるということを思い出させてくれる素晴らしい情報です。疑わしいリンクやダウンロードを避けることについては、まったくその通りです。ウェブサイトのセキュリティにとって非常に重要なステップです。サイトを取り戻せてよかったです!
イジー・ヴァネック
これは一般的に、すべてのヌル化されたプラグインに共通する問題です。多くの人々は、オリジナルソフトウェアで大金を節約できると考えて、非公式ソースからダウンロードしたヌル化されたバージョンを選択します。トリッキーなのは、プラグインが機能し、本来の目的を果たしていることです。これらの人々にとって素晴らしいのは、無料であり、数百ドルを節約できた可能性があることです。しかし、プラグインは本来の目的を果たすだけでなく、ハッカーが望むことも実行します。しばらくすると、これらのウェブサイトの所有者は管理権を失ったことに気づき、サイトを元の状態に戻すには、公式ソースからプラグインを購入した場合よりも費用がかかることがあります。時には、サイトの修復が不可能になることさえあります。最終的に、すべてのデータが削除され、すべてを最初からやり直さなければならなかったウェブサイトをいくつか見てきました。有料プラグインを使用し、ヌル化されたものではありません。
モイヌディン・ワヒード
この事実にこれ以上同意できません。悪意のあるリンクはセキュリティ上の脅威への入り口です。
スパマーは疑わしいリンクを使用し、あらゆる手段でウェブサイトへのアクセスを得ようとします。
したがって、確信できるものだけをクリックし、決してランダムなリンクをクリックしないことの重要性はいくら強調してもしすぎることはありません。
Mrteesurez
真面目なビジネスであれば、特にWordPressに関するウェブサイトのセキュリティの力を過小評価することはありません。その人気は、ハッカーの注目の的となっています。
新しくインストールされたWordPressサイトには、まずこれらのセキュリティ対策のほとんどを実装してから、公開または運用を開始することをお勧めします。
Kushal Phalak
素晴らしい記事です!昨年、私のウェブサイトがハッキングされ(別の怪しいウェブサイトにリダイレクトされました)、セキュリティ対策の使用は必須だと思います。私の場合は、ウェブサイトを削除する必要がありましたが、幸いにもホスティングプロバイダーにバックアップ機能がありました。それ以来、Wordfenceを使用してウェブサイトを保護していましたが、DDoS保護やCDNなどのサービスも提供しているSucuriに移行しました。
モイヌディン・ワヒード
評判の良い研究所のウェブサイトで働いていた時、私も似たような状況にありました。
すべてを最終決定した後、ディレクターはプレスリリースをスケジュールするために私に日付を尋ねました。
私は自信を持って特定の日付を提案しましたが、予定日の前に、
私のウェブサイトは破損してしまい、残念ながらバックアッププランは何も準備できていませんでした。
私は完全に台無しになり、一日中、以前の機能する状態に復旧しようと努めました。
セキュリティに関するすべての詳細に注意を払う必要があると思います。
Ayanda Temitayo
デフォルトのログインページのURLを別のカスタムURLに変更することは、セキュリティ的に安全でしょうか?例えば、yourwebsite.com/wp-loginをyourwebsite.com/anotherName-loginに変更するなどです。
かつて、ログインURLを誰も簡単にアクセスできない別のURLに変更するプラグインを使用しました。そのため、私のSEO担当者は、プラグインが脆弱であればハッカーが私のサイトをハッキングしやすくなり、カスタムルートをログインページに使用し続けるとウェブサイト上のすべてを失うだろうと言いました。
デフォルトのログインルートを変更することについて、あなたの意見はどうですか?
WPBeginnerサポート
ログインURLの変更は個人の好みであり、特にセキュリティのためではありません。
管理者
アル・アミン・シェイク
ウェブサイトの重要な2つの要素 – パフォーマンスとセキュリティ。
ハッカーからサイトを守る方法が分かりやすく説明されています。WPBさん、ありがとう。
WPBeginnerサポート
You’re welcome
管理者
モイヌディン・ワヒード
ウェブサイトの最も重要な2つの要素について、的確に述べられています。
セキュリティとパフォーマンスです。
WordPressの場合、これらは優れたホスティングプロバイダーと、優れたテーマやプラグインの使用によって、ある程度達成できると考えています。
多くの場合、間違ったプラグインは、気づかないうちにセキュリティ上の脆弱性を引き起こす可能性があります。
もちろん、他の側面も同様に考慮することが重要です。
mohadese esmaeeli
こんにちは、この素晴らしい記事をありがとうございます。Google reCAPTCHAプラグインの使用、サーバー関連のセキュリティハードウェアの採用、Imunify360などのホスティング環境内のセキュリティツールの調査、および短い間隔でのパスワードの定期的な変更など、このリストにさらにいくつか項目を追加したいと思います。
WPBeginnerサポート
Thank you for your recommendations, hosts do have different tools so it would be best to check with the hosting provider for any security tools they offer
管理者
Fajri
うわー、WordPressでXML-RPCを無効にする方法は私にとって全く新しいです。
ウェブサイトのセキュリティを強化するために適用してみます。この情報を提供してくれたチームに感謝します!
WPBeginnerサポート
Glad you found our article helpful
管理者
Murad Prodhan
WPbeginnerは、私たちのコミュニティにとって最高のウェブサイトの1つです。この記事は私にとって非常に役立ちます。WPbeginnerに感謝します。
WPBeginnerサポート
You’re welcome, glad the guide was helpful
管理者
イジー・ヴァネック
これは素晴らしい記事です。できる限りWordPressでセキュリティ対策をしようとしてきましたが、思いつかなかったことがたくさんあります。WordPressへのログイン時にエラーメッセージを非表示にするためのスニペットをコピーして、自分のウェブサイトに適用する予定です。おそらくこれだけで終わることはないでしょう。この記事は本当に素晴らしいヒントのリストです。セキュリティに関する意識を高めていただきありがとうございます。素晴らしい仕事です。
WPBeginnerサポート
You’re welcome, glad our guide was helpful
管理者
エトープ・ウドエケネ
大変ありがとうございます。以前のノートパソコンとAndroidスマートフォンを盗難で失った後、ウェブサイトを再設定しているところだったので、この情報はまさに適切なタイミングで届きました。
本当に感謝しています。
WPBeginnerサポート
どういたしまして。状況が改善されることを願っており、このガイドがその後もサイトを安全に保つのに役立つことを願っています。
管理者
マーク・エルズワース
ありがとうございます – 非常に整理されていて包括的です!これは、WordPressのインストールにおける継続的で困難な問題に間違いなく役立つでしょう。
WPBeginnerサポート
Glad you found our security guide helpful
管理者
Ifakayode Femi
この記事は素晴らしく、将来のためにこのページをブックマークしておきます。ここにリストされているほとんどのプラグインの名前を覚えていないかもしれませんが、正直なところ、この記事は非常に役立ちます。
この文章を作成するために時間を割いていただきありがとうございます。
本当に感謝しています。
WPBeginnerサポート
Glad you found our guide and recommendations helpful!
管理者
ニヒル
ありがとうございます、この情報は非常に重要です。本当にありがとうございます。
WPBeginnerサポート
どういたしまして、記事がお役に立てて嬉しいです!
管理者
Yasin
この記事に大変感謝しています。すべてwpbeginner.comのおかげです。
WPBeginnerサポート
どういたしまして、ガイドがお役に立てて嬉しいです!
管理者
Belinda Viret
素晴らしいアドバイスをありがとうございます!
WPBeginnerサポート
どういたしまして!
管理者
マルコ・コズリカ
すごい!初心者から経験豊富なWordPressユーザーまで、幅広く網羅的で詳細な記事です。これからも頑張ってください!
WPBeginnerサポート
当社の記事がお役に立てて嬉しいです!
管理者
フェデリコ
とても良いガイドで、非常に役立ちます!
WPBeginnerサポート
そう思ってくれて嬉しいです!
管理者
Claudio Lopes
ヒントに従って、サイトがより安全になったと感じています。
WPBeginnerサポート
当社のガイドがお役に立てて嬉しいです!
管理者
ボブ・デ・マリア
こんにちは。
私はこの分野は全くの初心者で、これが初めてのメールです。登録して本当に良かったと思っています。あなたが私のリストの最上位にある懸念事項の一つに触れてくれました。
非常に分かりやすく、大変感謝しております。チュートリアルをありがとうございます。
敬具
ボブ・デ・マリア
WPBeginnerサポート
ガイドがお役に立てて嬉しいです!
管理者
キンバリー
FYI: WPセキュリティ質問プラグインにセキュリティ上の問題があります。wordpress.orgから削除されました。
WPBeginnerサポート
Thank you for letting us know, we will be sure to look for an alternative we would recommend
管理者
MS
皆さん、こんにちは!この役立つリソースを本当にありがとうございます。1つ質問があります。これらのうち、私のウェブサイト/ページの読み込み時間に影響を与えるものはありますか???
WPBeginnerサポート
これらはサイトの速度に大きな影響を与えるべきではありません。
管理者
ジョン
素晴らしい記事です。
フォームで reCAPTCHA を使用することは、セキュリティに役立ちますか?
WPBeginnerサポート
reCAPTCHAは、セキュリティよりもスパム防止のためです。
管理者
tim jackz
こんにちは、チーム
WordPressウェブサイトに2つのセキュリティプラグインをインストールした場合、ウェブサイトに何か不利益はありますか?
WPBeginnerサポート
使用を検討しているプラグインのサポートに確認することをお勧めします。一部のプラグインは連携しますが、他のプラグインは同じタスクを実行しようとして競合を引き起こす可能性があります。
管理者
ディエゴ
私のWordpressサイトはWordPress 5.1.8で実行されており、これは5.1ブランチの一部で、最後に更新されたのは2020年11月です。現在のWordpressバージョンは5.6.2です。
WPの様々なブランチについて、まだよく理解できていません。
それでもアップグレードする必要はありますか?
WPBeginnerサポート
アップグレードするのではなく、サイトを更新する必要があります。サイトを安全に更新する方法については、以下のガイドをご覧ください。
https://www.wpbeginner.com/beginners-guide/ultimate-guide-to-upgrade-wordpress-for-beginners-infograph/
管理者
Julia
プレミアム料金を支払っているのに、無料プラグインはビジネス用のみなのですか?何か回避策はありますか?プラグインの購入が許可されていません。プレミアムとそれ以下のレベルは、それらを全く使用できません。
WPBeginnerサポート
それはWordPress.comの制限によるものと思われます。WordPress.comとWordPress.orgの違いについては、以下の記事をご参照ください。
https://www.wpbeginner.com/beginners-guide/self-hosted-wordpress-org-vs-free-wordpress-com-infograph/
管理者
Trisha
素晴らしいチュートリアルです、ありがとうございます! 404エラーログを確認していると、多くのボットが私の/pluginsフォルダ内の存在しないプラグインにアクセスしていることがわかります…プラグインが存在しないため(したがって404)、あまり心配していません。しかし、通常のプラグイン操作に干渉しない方法で私の/pluginsフォルダを保護する方法はありますか?それは推奨されますか?気にするべきですか?
WPBeginnerサポート
通常、これは心配する必要のあることではありませんが、プラグインがサイトにある場合は、ボットがセキュリティの脆弱性を持つプラグインを探していた場合に備えて、そのプラグインを最新の状態に保つことをお勧めします。
管理者
石
WordPressサイトを引き継ぎましたが、私より前にサイトにクラウドバックアップアカウントがあったかどうかはどうすればわかりますか?
WPBeginnerサポート
アクティブなプラグインを確認し、ホスティングプロバイダーに連絡して、サイトで何がアクティブになっているかを確認する必要があります。
管理者
Lu
サイトがXML-RPCを使用しているかどうかをどのように確認できますか?いつもながら非常に役立ちます。ありがとうございます。
WPBeginnerサポート
WordPressのバージョンが最新であれば、通常はサイトで有効になっているはずです。
管理者
Julie Taylor
非常に役立つ情報です。もしこれらのセキュリティ対策、特にコードが関わるものをすべて実装した場合、Googleがサイトを見つけたり、SEOが効果的に機能したりすることに影響があるかどうか、ご意見をお聞かせいただけますか?
WPBeginnerサポート
セキュリティに関する推奨事項は、サイトのSEOに影響を与えるべきではありません
管理者
MooN Minhas
素晴らしい情報を共有していただきありがとうございます。
WPBeginnerサポート
Glad you found it helpful
管理者
サミュエル
このガイドはWordPress.comユーザーにも適用されますか?
WPBeginnerサポート
No, our guides are for WordPress.org sites, you would want to reach out to WordPress.com for the hardening steps they allow
管理者
Leanne
これは、私がこれまでに(あらゆる主題において)見つけた中で最高のチュートリアルサイトの1つです。ありがとうございます。wpbeginnerを他の人に勧めます – 素晴らしいサイトです!
WPBeginnerサポート
You’re welcome and glad you’ve found our content helpful
管理者
Daniel
これらすべてを行う方法を教えるために50ドルや100ドル以上請求する人がいるのに、皆さんは無料で提供してくれたんですね!本当にありがとうございます!
WPBeginnerサポート
You’re welcome
管理者
パワー
記事をありがとうございます。非常に役立ちます。
WPBeginnerサポート
You’re welcome
管理者
マイダス
これは非常に役立ちました。私はそれらすべてを実装するためのコーディングスキルを持っており、今では自分やクライアントのWordPressインストールをはるかにうまく管理できるようになりました。無料だとは信じられないほど完全な情報、ありがとうございます xD
WPBeginnerサポート
You’re welcome, glad our guide was helpful
管理者
Splendor Edesiri
WordPressサイトのセキュリティの一部として、バックエンドからWordPressサイトにアクセスするためにVPNは必要ですか?
WPBeginnerサポート
いいえ、それは必要ありません
管理者
uzoma ichetaonye
バックエンド経由でウェブサイトにアクセスするためにVPNは必要ないと思います。
VPNは、あなたの身元を偽装または支援したり、あなたの場所からブロックされているサイトにアクセスしたりするために使用されます。
カム
この記事をありがとうございます。必須の読み物です!
Bluehostのようなホスティングを利用している場合、Updraft plus +リモートストレージのようなプラグインでバックアップを取ることは不可欠ですか?結局のところ、ホスティングプロバイダーはバックアップを提供しているはずですよね?
WPBeginnerサポート
一部のホストはバックアップを提供していますが、安全のために独自のバックアップを作成することを引き続きお勧めします。
管理者
Kyle B.
データベースのプレフィックスを変更しても違いはありません。それ以外は、悪い記事ではありません。
WPBeginnerサポート
Thanks for sharing your opinion and glad you liked our article
管理者
kalmoa
NginxにはApacheの.htaccessのようなディレクトリレベルの設定ファイルはありません。すべての設定は管理者によってサーバーレベルで行う必要があり、WordPressはApacheのように設定を変更することはできません。そのため、「PHPファイル実行の無効化」に関する部分は、Nginx上で動作するWordPressインストールでは完了できません。これには、Vultr上でWordPressを運用している私も含まれます。彼らのワンクリックWordPressインストールはNginx(Ubuntu 18.04)にデプロイされます。
WPBeginnerサポート
ご自身のサイトで特にNginxを使用しているユーザーのために、これを共有していただきありがとうございます。
管理者
トム
複数のプラグインを更新する必要がある場合、最適な更新方法はありますか?一度に1つずつ更新して、更新されたプラグインがウェブサイトの機能に問題を引き起こさないか確認しますか?
WPBeginnerサポート
アップデートがサイトを壊すのではないかとご心配な場合は、以下のステージング環境の作成方法に関するガイドに従ってアップデートをテストすることをお勧めします。
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
管理者
Kartik Satija
素晴らしい記事で、非常に分かりやすくまとめられており、情報も豊富です。
皆様、本当にありがとうございます。
これからも頑張ってください。
乾杯、
カルティック。
WPBeginnerサポート
Glad you found our guide helpful
管理者
MIMIFTAH
非常に有益なコンテンツです。ありがとうございます
WPBeginnerサポート
You’re welcome
管理者
リズ
素晴らしい記事です。ハードニングオプションについて質問があります。すべてのオプションでハードニングを有効にすると、一部のプラグインやテーマが破損したり、正常に機能しなくなったりする可能性があると読みました。もしそうなった場合、修正はどのくらい難しいですか?ハードニングオプションを元に戻す以上のことがあるように思えます。何か洞察があれば、大いに感謝されます。ありがとうございます!
WPBeginnerサポート
エラーが発生した場合の難易度は、特定の強化推奨事項、プラグイン、およびエラーメッセージによって異なります。それ以外の場合は、ほとんどのプラグインに問題はないはずです。
管理者
Gary Starling
非常に役立つ提案で、基本的なことから複雑なことまでよく説明されています
説明をありがとうございました
WPBeginnerサポート
You’re welcome, glad our article could be helpful
管理者
Andrei
皆さん、こんにちは。
最初のユーザー列挙の後、ブルートフォース攻撃はセキュリティプラグインによってそのIPアドレスをブロックします。
wp-adminディレクトリにパスワード保護をかけると、プラグインはそのIPをブロックできなくなります。
それは正しい評価ですか?
WPBeginnerサポート
正しいです。ブロックされたIPと同様の負荷がかかりますが、多くの新しいユーザーにサイトにアクセスしてもらう必要がある場合は、ログイン試行回数を制限する方がパスワードでwp-adminを保護するよりも良いでしょう。
管理者
Andrei
OK、ようやく仕組みがわかりました。皆さんと共有します。wp-adminのパスワード保護はサーバー(Apache/Nginx)レベルで行われます。ユーザー列挙やブルートフォース攻撃がサーバーレベルをバイパスできない場合、PHP/MySQLに影響を与えることはできません。したがって、wp-adminのパスワード保護はデータベースに余分な負荷をかけません。
Peter
非常に有益で役立ちました。言及されているすべてのハードニング手順を設定しました。本当にありがとうございます。
WPBeginnerサポート
You’re welcome, glad our guide was helpful
管理者