あなたのWordPressブログを保護するための10あまり知られていない、超効果的なヒント
ブログをハッキングして何年にもわたるブログ作成作業を失うことは、人々が実際に経験してきた悲しい現実です。実際、調査によると毎日37,000のWebサイトがハッキングされており、WordPressが全Webサイトの約25.4%を占めているため、毎日WordPressのブログが大量にハッキングされていることがわかります。.
WordPressのセキュリティは、まったく別のゲームです。 WordPressブログを所有していると、推測が困難なユーザー名や、ロックと同じくらい難しいパスワードを使用するなどのヒントがなくなります。 A 単一のバグのあるテーマ、間違ったプラグイン、または誤って保護されたファイル ブログが一晩ハッキングされる可能性があります.
あなたがWordPressに不慣れであるかどうかにかかわらず、またはあなたがその存在以来プラットフォームを使用してきたかどうか、この記事は持っています WordPressブログを保護するための10の実用的で夕食の効果的な方法 誰でも実装できることこれらのヒントの大部分は人気のある「ブログのセキュリティを保護する方法」の記事にはありませんが、ある日あなたのブログを非常にうまく保存できる可能性があります。!
1. WordPressテーマとプラグインエディタを無効にする
WordPressには、WordPressダッシュボードからテーマやプラグインをカスタマイズしたり編集したりできるようにすることで、サイト所有者の柔軟性を高める便利な機能がありますが、この機能はほとんどのブログを元に戻すものです。.
この機能では、 わずかなエラーはあなたのサイトをクラッシュさせ、あなた自身のウェブサイトからあなたを締め出すことができます. テーマとプラグインエディタを使用するのに十分な特権を持つアカウントを制御することで、ハッカーは悪意のあるコードをテーマに簡単に挿入して自分のサイトにバックドアアクセスしたり、自分のサイトを完全に引き継ぐことさえできます。.
プラグインとテーマエディタを無効にすることで自分を守ることができます, FTPアクセスなしでテーマやプラグインを変更することを不可能にする.
これを行うには、wp-config.phpファイルに次のコードを追加します。
define( 'DISALLOW_FILE_EDIT'、true);
2. 2要素認証を有効にする
二要素認証は急速にあなたのオンラインアカウントを保護するための最も信頼できる方法の1つになりつつあります、そして最も信頼できるウェブサイトは彼らのユーザーがそれを可能にすると主張するでしょう.
WordPressには必ずしも2要素認証が組み込まれているわけではありませんが、ブログで2要素認証を有効にするには、次のプラグインをインストールします。
- Google認証システム
- オーシー
- 音部記号
- ルブリン
3.失敗した試行回数に基づいてログインを制限する
ハッカーがあなたのブログにアクセスしようとする多くの方法があります、そして使用される最も一般的なテクニックの1つはブルートフォース攻撃です:ハッカーは彼/彼女がうまくアクセスできるまで何度も何度もユーザー名とパスワードの組み合わせを試みます。あなたのブログ.
デフォルトでは、WordPressはこの攻撃から保護されていません。特定のIPからの一定回数の試行失敗後のログインを制限するプラグインをインストールすることで、ハッカーがあなたのブログにアクセスすることをはるかに困難にすることができます。.
Jetpack Protect Moduleプラグインは、ブルートフォース攻撃からあなたを守ることもできます。.
4.ブログを定期的にスキャンする
テーマファイル、プラグイン、リンク、およびその他の一見無害な要素を使用してブログにアクセスできます。対策を講じる前に、Webサイトが完全に感染するまで待ってはいけません。代わりに、定期的にあなたのウェブサイトをスキャンし、あなたのファイルが変更されたらあなたに通知するためにセキュリティスキャンプラグインをインストールしてください.
セキュリティスキャンプラグインの良い例はWordfenceです。手動で/自動的にあなたのWordPressブログをスキャンするオプションをあなたに与えることに加えて、それはまたあなたのブログで疑わしい活動が起こっているときに即座にあなたに通知します.
また、悪意のある可能性のあるコメントに関する情報も送信します。 あなたのテーマとプラグインファイルを比較します WordPressリポジトリで プラグインまたはテーマのバージョンが変更されているかどうかを知らせます そして潜在的にあなたのサイトへのハッカーのためのバックドアとして役立つことができます.
あなたのブログのマルウェアや悪用をスキャンするのに役立つ他のセキュリティプラグインは、次のとおりです。
- Sucuriセキュリティスキャナー
- Acunetix WPセキュリティ
- iThemes Security(以前の "Better WP Security"として知られている)
5.あなたのホストを変更する
これは単純化したアドバイスのように聞こえますが、実際にはかなりの重みがあります。調査によると、ハッキングされたWordPress Webサイトの41%が ホスティングプラットフォームのセキュリティの脆弱性を介してハッキング. これは、弱いパスワードを持っていることを含む、他の情報源からのものよりはるかに多い.
あなたのホストは、あなたがハッキングされるかどうかにおいて主要な役割を果たすことができます。あなただけを確かめる 時の試練に耐えた信頼できるWebホストを探しに行きます そしてそれ 業界のベストプラクティスに従う.
あなたのWordPressのバージョン番号を隠す
デフォルトでは、WordPressはあなたのWordPressのバージョン番号を表示します。これにより、WordPressは、世界中で活躍しているWordPressブログの数を簡単に追跡できます。ただし、これも大きな問題の原因になる可能性があります。ハッカーやボット缶 ブログでウェブをスキャンする 使う 既知の脆弱性を持つWordPressのバージョン番号, あなたを簡単なターゲットにする.
あなたは簡単にこの問題を解決することができます WordPressのバージョン番号を隠す. WordPressのバージョン番号を隠すには、単にfunctions.phpファイルに次のコードを追加してください。
add_filter( 'the_generator'、 '__return_null');
7. PHPエラー報告を無効にする
プラグインやテーマがあなたのWordPressブログでうまく機能していないとき、PHPエラー報告はあなたにエラーの原因を明らかにするメッセージを示すことによって助けになることができます。ただし、この利点には欠点があります。PHPエラーが報告されているときは、 エラーの完全なサーバーパスを含み、情報を明らかにします。 ハッカーがあなたに対して使用できること.
あなたは自分自身を守ることができます PHPエラー報告を無効にする. あなたのwp-config.phpファイルに以下のコードを追加するだけです。
error_reporting(0); @ini_set( 'display_errors'、0);
あなたのWordPressファイルパーミッションで作業する
WordPressサイトがセキュリティの悪用から守られるようになるには、 適切なファイル権限があることを確認してください。. これはハッカーがあなたのウェブサイトを引き継ぐためにあなたのサーバー上のプラグイン、テーマ、またはファイルを操作することを困難にします.
そのWordPressを確認してください フォルダ 権限は755または750に設定されています。 ファイル 権限は640または644に設定されています。そしてそのwp-config.phpパーミッションは600に設定されています.
9.定期的なバックアップを確実にする
セキュリティの専門家やコンサルタントのチームがいる大規模なWebサイトでさえハッキングされます。また、ベストプラクティスに従うことでWebサイトを99.9%以上のWebサイトにすることができますが、それでも破損する可能性があります。.
WordPressのハック攻撃に対してあなたが持っている最高のセキュリティは良いバックアップです。サイトのバックアップを定期的に作成していることを確認してください。可能であれば、毎日作成してください。このようにして、あなたのウェブサイトがハッキングされた場合、あなたはその場所にあなたのファイルを持っています すぐに復旧できる.
ここにいくつかの最高のWordPressバックアッププラグインがあります:
- BackUpWordPress
- 準備完了バックアップ
- VaultPress
- BackupBuddy
10.あなたのログインページへのアクセスを制限する
プッシュが押し寄せるようになると、あなたはただ劇的な行動を取らなければならないかもしれません。あなたのブログをハックの試みから守るための非常に信頼できる方法は、 wp-adminおよびwp-login.phpページへのアクセスを完全にブロックします.
これはあなたがいる場合にのみ推奨されます 変わらない1つのIPアドレスを使う (あなたは自分のブログから締め出したくはありません!)複数のIPアドレスを使用しているがそれらのアドレスを追跡している場合は、このオプションを使用できます。.
ログインページへのアクセスを制限するには、.htaccessファイルに次のコードを追加します。
RewriteCond%REQUEST_URI ^(。*)?wp-login \ .php(。*)$ [または] RewriteCond%REQUEST_URI ^(。*)?wp-admin $ RewriteCond%REMOTE_ADDRのRewriteEngine!^ Your IPアドレス1 $ RewriteCond%REMOTE_ADDR!^あなたのIPアドレス2 $ RewriteCond%REMOTE_ADDR!^あなたのIPアドレス3 $ RewriteCond%REMOTE_ADDR!^あなたのIPアドレス4 $ RewriteCond%REMOTE_ADDR!^あなたのIPアドレス5 $ RewriteRule ^(。*)$ - [R = 403、L]
必ず編集してください あなたのIPアドレス1 〜まで あなたのIPアドレス5 アクセスを許可したいIPアドレスが異なる。より多くのIPがあなたのサイトにアクセスすることを許可または禁止するために単にラインを追加または削除することができます.
結論
もちろん、予測可能なユーザ名の使用や強力なパスワードの設定、WordPressのインストールの定期的な更新など、基本的なセキュリティのヒントを無視してはいけません。 WordPressブログはもう少し安全です.
編集者のメモ: このゲスト投稿はHongkiat.comのためにによって書かれています ジョンスティーブンス. ジョンは WordPressとホスティングの専門家。彼はの創設者兼CEOです。 HostingFacts.com, パフォーマンスに基づいてWebホストをレビューおよび評価するポータル.