すべてのサイト所有者が知っておくべき6つのWordPressセキュリティのヒントとベストプラクティス

WordPressのセキュリティは、サイト所有者にとって最も重要なトピックの1つです。 ブティックのeコマースショップを管理している場合でも、50のクライアントサイトを管理している場合でも、セキュリティ違反が発生すると、時間、お金、信頼性が失われる可能性があります。

すべてのWordPressサイトに「万能」のセキュリティソリューションはありませんが、大きな影響を与える可能性のあるいくつかのベストプラクティスがあります。 この記事では、サイトが最初にハッキングされる理由を説明し、ワークフローに簡単に実装できるセキュリティのヒントを共有し、Flywheelが（サーバーを安全に保つだけでなく）どのように役立つかを示します。 ここに簡単な概要があります。

WordPressサイトのセキュリティを強化する準備はできましたか？ 最初から始めましょう！

WordPressサイトがハッキングされるのはなぜですか？

WordPressのセキュリティのベストプラクティスに直接飛び込む前に、そもそもWebサイトがハッキングされる理由を理解しておくと役に立ちます。 一般的に、ハッカーは次の理由でWebサイトを標的にする傾向があります。

• サイトを通じてスパムメールを送信するため。
• データ、メーリングリスト、保存されているクレジットカードなどの情報を盗むため。
• サイトをだましてユーザーのマシン（または自分のマシン）にマルウェアをインストールさせること。

セキュリティイベントは個人的な攻撃のように感じるかもしれませんが、分散型サービス拒否攻撃など、より大きなスキームの一部であることがよくあります。 ハッカーは、単一のサイトを標的にするのではなく、サイトが運用しているインフラストラクチャを標的にして、一度に多数のサイトに影響を与える可能性があります。 そのため、個人のWebサイトを運営している場合でも、WordPressの基本的なセキュリティ標準を知っておくことが重要です。

上記に加えて、WordPressは、その人気が広まっているという理由だけで、特にターゲットにされる可能性があります。 現在、すべてのWebサイトの40％以上に電力を供給しているため、WordPressはオンライン攻撃者にとって大きな「チャンスの領域」です。

しかし、それだけで警戒すべきではありません。 WordPressはオープンソースのCMSであり、非常に献身的で関与している貢献者のコミュニティがあります。つまり、プラットフォームのセキュリティを向上させるために継続的に取り組んでいる人々がたくさんいます。

真実は、どのWebサイトでもいつでもセキュリティの問題が発生する可能性があるということです。同じことが、WordPressで構築されたサイトにも当てはまります。 幸いなことに、WordPressサイトのセキュリティを強化し、ハッカーが物事を台無しにすることをはるかに困難にするために実装できるいくつかのベストプラクティスがあります。

6WordPressセキュリティのベストプラクティス

1.テーマ、プラグイン、WordPressのバージョンを最新の状態に保ちます

サイトにセキュリティを強化する最も簡単な方法の1つは、すべてを最新の状態に保つことです。 プラグインの更新についていくのは面倒だと感じるかもしれませんが（特に複数のWordPress Webサイトを管理しようとしている場合）、それらの更新は理由（多くの場合セキュリティ関連）で公開されます。

開発者がコードに脆弱性を発見した場合、通常は更新をプッシュして修正します。 サイトで古いバージョンを使用する時間が長いほど、ハッカーの標的になる可能性が高くなります。

しばらく時間がかかる場合がありますが、すべてのプラグイン、テーマ、およびWordPressコアの更新を最新の状態に保つことは、セキュリティリスクを制限するための優れた方法です。 マネージドWordPressホストを使用している場合は、WordPressの更新が自動的に実行され、コアの最新の更新を常に把握できるようになります。

プラグインを最新の状態に保つことになると、Smart Plugin Managerなどのソリューションは、事前にスケジュールされた時間にプラグインの更新を自動的にチェックします。 Smart Plugin Managerは、機械学習と視覚的なテストを使用して、更新が発生したときにサイトが破損しないようにします。

2.ユーザー名とパスワードのベストプラクティスを適用する

このセキュリティのヒントについては何も新しいことはありませんが、覚えておく価値はあります。

一意のパスワードを使用してください。 強力なユーザー名を使用してください。 パスワードマネージャーを使用します。

ハッカーは昨日生まれませんでした。 彼らは最も一般的なパスワードをすべて知っており、ユーザー名「admin」ですべてのパスワードをテストします。 したがって、簡単な監査を行います。

• ユーザー名を推測するのは難しいですか？
• パスワードは一意ですか？
• パスワードは最近更新されましたか？

これらすべてのログインクレデンシャルを覚えようとして圧倒されていると感じている場合は、1Passwordなどのパスワードマネージャーを強くお勧めします。 複雑なクレデンシャルの作成と保存に役立つだけでなく、サイトへのログインも簡単になります。 （特にチームで作業している場合は！）

3.ログイン試行を制限する

ログインクレデンシャルが強化されたので、ログイン試行を制限して、ログインセキュリティをさらに一歩進めましょう。 これは、サイトにアクセスしようとするブルートフォース攻撃から防御するための最良の方法の1つです。

ログイン試行を制限するには、Limit Login Attemptsなどのプラグインを使用できます。このプラグインは、3回のエラーが発生した後、サイトへのログイン試行をブロックし、20分間ブロックします。

確かに、パスワードを忘れると自分なりの方法になるかもしれませんが、それがパスワードマネージャーの目的です。覚えていますか？

4.WordPressのログインURLを移動します

WordPressサイトをさらに安全にする別の方法は、ログインページを変更することです。 サイトにログインするには、URLの末尾に/wp-adminを追加するだけでよいことはよく知られています。 リンクを変更することで、サイトへの入り口を効果的に非表示にし、ハッカーが見つけにくくします。

ログインURLを変更するにはさまざまな方法がありますが、WPSHideLoginプラグインから始めることをお勧めします。 URLを何に変更するかを忘れずに、他のサイトの共同編集者やクライアントと共有することを忘れないでください。

5.2要素認証を使用します

資格情報をより安全にするもう1つの優れた方法は、2要素認証を使用することです。 このセキュリティ方式は、約30秒ごとに更新される一時的な2番目のパスワードとして機能します。 あなたのサイトにアクセスするには、ハッカーはその30秒の時間枠内にあなたの本当のパスワードと一時的なセキュリティコードの両方を推測する必要があり、それらをブロックする可能性が大幅に高まります！

2要素認証は、管理するサイトに関連するさまざまなログインで使用できるため、優れています。 たとえば、Flywheelを使用すると、ホスティングアカウントで2要素認証を有効にしたり、個々のWordPressサイトに追加したりすることができます。

6.フォームにキャプチャを追加します

あなたがおそらく集まったように、あなたのサイトのログインページをロックダウンすることは非常に重要です。 ただし、焦点を当てる必要があるのはそれだけではありません。 ブログのコメント、チェックアウトページ、またはその他のWebサイトのオープンフォームを忘れないでください。

これらの各フォームは、ハッカーがコメント内の悪意のあるリンクなどの情報をサイトに送信する機会を提供します。 サイトのパフォーマンスに直接影響を与えない場合でも、日陰のリンクがあると、ユーザーエクスペリエンスが混乱し、ビジネスに悪影響を与える可能性があります。

この種のアクティビティを防ぐために、BestWebSoftのGoogle Captcha（reCAPTCHA）などのWordPressプラグインをインストールできます。

WordPressのセキュリティは、すべてのサイト所有者が理解するための重要なトピックです。WordPressのセキュリティは常に進化している分野ですが、上記のヒントとベストプラクティスは、WordPressサイトを安全に保つための確かなベースラインを提供するはずです。