WordPressのセキュリティなら、ハッカーまたは脆弱性による電子商取引サイト及びブログへの影響を防ぐ保護対策がいくつかあります。ウェブサイトが壊れたら、まるで悪夢の様ですね。今日は、WordPressのセキュリティを強化できる工夫、戦略、対策などをいくつかご説明します。
Kinstaは無料のハック修正を提供している為、当社のお客様ならご心配は必要ありません。一方、保証があってもベストプラクティスに従えばよいでしょう。
WordPressは安全でしょうか?
WordPressは安全でしょうかとお客様も悩んでいるかもしれません。原則、安心です。WordPressは、セキュリティ上の脆弱性があり本質的にビジネスに使用する安全なプラットフォームではないという悪評があります。しかしそのほとんどの場合の理由は、ユーザーが業界中に普及しているセキュリティ面でのワーストプラクティスに従ってしまうことです。
時代遅れのWordPressソフトウェアやゼロ化されたプラグインの使用、不正なシステム管理と資格情報管理、および非専門家のWordPressユーザーの不十分なWebまたはセキュリティの知識というのは、ハッカーがサイバー犯罪を成功しつつある理由です。業界のリーダーさえベストプラクティスを使用するとは 限りません。2012年にReutersは、WordPressの古いバージョンを使用していたため、ハッキングされました。
基本的には、セキュリティとは完璧に安全なシステムのことではありません。そのようなものは実用的ではないか、見つけたり運用したりするのは不可能といえるでしょう。セキュリティというのはリスク削除ではなく、リスク減少です。無理のない範囲で利用可能なすべての適切なコントロールを利用して、自分自身を攻撃の標的にして結論的にハッキングされてしまうことの可能性を下げるようにあなたのいわゆる姿を改善することです。 – WordPress Security Codex
脆弱性が存在しないと言っているわけではありません。マルチプラットフォームのセキュリティ会社であるSucuriの2017年のQ3の調査によると、彼らが対応しいている感染したウェブサイトの大半は引き続きWordPressです。(83%)2016年の74%に対して増加しています。
WordPressは、インターネット上のすべてのウェブサイトの42.7%以上を占めており、何十万ものテーマとプラグインの組み合わせにより、脆弱性が存在し、引き続き発見されてしまうことは驚くべきことではありません。しかし、WordPressプラットフォームの周りには素晴らしいコミュニティがあり、脆弱性ができるだけ早く回復されるようにしています。2019年現在、WordPressのセキュリティチームは、リード開発者及びセキュリティ研究者からなる約50名の専門家のチームです。(2017年の時点で25名のチームでした。)そのやく半数はAutomattic の従業員であり、一分の方はウェブセキュリティ分野で活躍しています。
WordPressの脆弱性
下記のWordPressのセキュリティ上の脆弱性の例を是非ご確認ください。
バックドア
バックドアという脆弱性により、ハッカーはセキュリティ暗号化を迂回して隠れた通路を使って、WordPressウェブサイトに異常な方法(wp-Admin、SFTP、FTPなど)でアクセスできるようになります。悪用されるとバックドアにより、 ハッカーが同じサーバー上でホスティングされている複数のウェブサイトを攻撃できます。Sucuriの2017年Q3のレポートによると、バックドアが引き続き攻撃者が行うポストハック対策の1つであり、感染されたウェブサイトの71%が一定のバックドア汚染を受けています。
バックドアは、正当なWordPressシステムファイルのように表示されるように作成される為、古くなったバージョンのプラットフォームの弱点またはバグを悪用し、WordPressデータベースに入ってしまいます。
幸いなことに、バックドアの予防策も復旧方法もかなり簡単です。一般的なバックドアを簡単に検出できるSiteCheckなどのツールを使用し、WordPressウェブサイトをスキャンできます。2要素認証、IPのブロック、アドミンアクセスの制限、PHPファイルの不正な実行の防止などは、一般的なバックドアの予防策になります。Canton BeckerによるWordPressのインストールでのバックドア異常の復旧についての投稿も是非ご確認ください。
ファーマハック
ファーマハックエクスプロイトは、WordPressのウェブサイトまたはプラグインの古いバージョンに不正なコードを挿入することにより、汚染されたウェブサイトが検索されたときに検索エンジンで医薬品の広告が出るようにします。これはマルウェアよりもスパムですが、検索エンジンがスパムの配布のウェブサイトとして該当のウェブサイトをブロックしてしまうことがあります。
ファーマハックの移動部分にはプラグインベースとデータベースのバックドアが含まれていますが、Sucuriのブログのこちらの手順に従えば復旧できます。しかし、ファーマハックは、データベースに隠され暗号化されたインジェクション攻撃の変種であり、徹底的なクリーンアップが必要になることがよくあります。それにもかかわらず、推進されるWordPressのホスティング会社の最新のサーバー上でWordPressウェブサイトをホスティングし、テーマ、プラグイン等を定期的に更新することにより、ファーマハックを簡単に防ぐことができます。Kinstaなどのホスティング会社ではハック修正も用意されています。
ブルートフォースログイン攻撃
ブルートフォースログイン攻撃は、自動スクリプトを使用し弱いパスワードを悪用してウェブサイトにアクセスします。ブルートフォース攻撃を防ぐには、2段階認証、ログイン試行の制限、不正なログインの監視、IPのブロック、強力なパスワードの使用などが最も簡単で効果的な方法です。しかし残念なことに、WordPressのウェブサイトの所有者の多くはこれらのセキュリティ対策を実行しない為、ハッカーはブルートフォース攻撃を使用して1日で3万のウェブサイトを汚染してしまいます。
悪意のあるリダイレクト
悪意のあるリダイレクトは、FTP、SFTP、wp-adminなどのプロトコルを使用してWordPressのインストールでバックドアを作成し、リダイレクトコードをウェブサイトに挿入します。リダイレクトは符号化して、.htaccessファイルまたはその他のWPコアファイルに配置され、ウェブトラフィックを悪質なウェブサイトにリダイレクトします。予防策については、下記のWordPressのセキュリティガイドをご参照ください。
クロスサイトスクリプティング(XSS)
クロスサイトスクリプティング(XSS)とは、信頼性の高いウェブサイトまたはアプリケーションに悪質なスクリプトが埋め込まれることです。攻撃者はユーザーが知らないうちに悪意のあるコード(通常はブラウザ側のスクリプト)をエンドユーザーに送信します。その目的は、クッキーおよびセッションのデータを取得すること、あるいはページのHTMLを書き換えることです。
WordFenceによると、クロスサイトスクリプティングの脆弱性は、WordPressプラグインに見られる最も一般的な脆弱性です。
サービス拒否(DoS)
おそらく最も危険なのは、コードのエラーやバグを悪用して、ウェブサイトのオペレーティングシステムのメモリを圧倒するサービス拒否(Denial of Service、DoS )攻撃です。ハッカーは、DoS攻撃でWordPressソフトウェアの古いバージョンまたはバグの多いバージョンを悪用し、何百万ものウェブサイトを攻撃し、何百万ドルも手に入れています。財務的に動機付けられたサイバー犯罪者は中小企業をターゲットにする可能性は低い一方、中小企業の古いウェブサイトを使って大企業を攻撃するボットネットチェーンを作成することが多いです。
WordPressソフトウェアの最新バージョンでさえ、高度なDoS攻撃を防御することはできませんが、少なくとも、金融機関と高度なサイバー犯罪者の間のクロスファイヤーに巻き込まれるのを避けるのに便利です。また、2016年10月21日を忘れないでください。DNS DDoS攻撃のせいでインターネットがダウンした日です。プレミアムDNSプロバイダを使用しWordPressのセキュリティを強化することが重要である理由について詳しくは、こちらをご参照ください。
WordPressのセキュリティガイド2019年
Internet live statsによると、毎日100,000以上のウェブサイトがハッキングされています!😮 そのため、WordPressのセキュリティを強化する以下の推進事項を確認することが大切です。
WordPressプラットフォームで変化が多く、新しい脆弱性が出てしまいますので、本記事を定期的に更新いたします。
- 安全なWordPressホスティング
- PHPの最新バージョンを使用する
- ユーザー名とパスワードを上手に決める
- 最新版
- WordPressの管理者ログインをロックダウンする
- 二要素認証
- HTTPS – SSL証明書
- wp-config.phpを強化する
- XML-RPCを無効にする
- WordPressのバージョンを隠す
- HTTPセキュリティヘッダー
- WordPressのセキュリティプラグイン
- データベースのセキュリティ
- 安全な接続
- ファイルとサーバーのアクセス許可
- ダッシュボードでの編集を無効にする
- ホットリンクの防止
- 常にWordPressのバックアップを作成する
- DDoS防止
1. 安全なWordPressホスティングに投資する
WordPressのセキュリティなら、ウェブサイトをロックするだけではありません。(以下はロックダウンについても推進事項を述べます。)その他には、WordPressホスティング会社の責任範囲であるウェブサーバーレベルのセキュリティもあります。Kinstaでセキュリティを真剣に受け止め、お客様のためにセキュリティ課題の多くを処理しています。
あなたのビジネスの為に信頼できるホスティング会社を選択することは非常に重要です。自身のVPSでWordPressをホスティングしている場合、セキュリティ課題をご自分で処理できる知識が必要です。正直に言いますが、月当たりわずかな20ドルを節約するためにシステム管理者になろうとするのは危険な考えです。
サーバーのセキュリティ強化は、完全に安全なWordPress環境を維持する鍵です。WordPressウェブサイトをホスティングするITインフラストラクチャが、物理的および仮想的な高度な攻撃に対しても防御できるようにするため、ハードウェアおよびソフトウェアレベルの複数のセキュリティ対策が必要です。
このため、WordPressをホスティングしているサーバーは、最新のオペレーティングシステムと(セキュリティ)ソフトウェアで更新するだけでなく、徹底的に試験され、脆弱性やマルウェアのスキャンも行う必要があります。最近の例ですが、新しく発見されたOpenSSLセキュリティ脆弱性に対して当社がNGINXを修正する必要が発生しました。
サーバーレベルのファイアウォールと侵入検知システムは、WordPressのインストール中でも、またはウェブサイトの構築段階でも保護するために、WordPressをサーバーにインストールする前に用意する必要があります。ただし、WordPressコンテンツを保護するためにマシンにインストールされているすべてのソフトウェアは、最新のデータベース管理システムと互換性がないと、最適なパフォーマンスを維持することができません。また、サーバーを、機密コンテンツを悪意のある侵入者から隠すために、安全なネットワーキングとファイル転送暗号化プロトコル(FTPではなくSFTPなど)を使用するように設定する必要があります。
KinstaはすべてのWordPressのお客様を対象にGoogle Cloud Platformを使用し、WordPressの安全なホスティングを保証しています。Google Cloud Platformを使用するのには、現在はGmail、Google検索などの製品やサービスを保護している15年間にわたって構築されたセキュリティモデルを使用するという大きなメリットがあります。Googleは現在、500人以上の常勤セキュリティ専門家を雇用しています 。
KinstaがGoogle Cloud Platform の上に、Linuxコンテナ(LXC)とそれらを操作するためにLXDを使用しますので、アカウントだけではなく、各WordPressウェブサイトも完全に隔離できます。この方法は競争相手が提供している方法よりはるかに安全です。
2. PHPの最新バージョンを使用する
PHPはWordPressウェブサイトのバックボーンである為、サーバー上で最新バージョンを使用することは非常に重要です。PHPのメジャーリリースは、発売後2年間完全にサポートされています。その間、バグやセキュリティの問題は定期的に修正されています。現時点では、7.1以下のバージョンのPHPを使用してしまう方は、セキュリティサポートが全くなく、セキュリティ上の脆弱性に対して保護されていません。
WordPressの正式分析ページによると、本稿執筆の時点では、WordPressユーザーの57%以上がまだPHPの5.6以下のバージョンを使用しています。これをPHP 7.0と組み合わせると、ユーザーの77.5%がサポートされていないPHPバージョンを使用しています。それは恐ろしいです!
場合によっては、試験を行い、コードとの互換性を保証するのに時間がかかることもありますが、セキュリティサポートなしでの運用に対する言い訳はありません。言うまでもありませんが、古いバージョンを使用するとパフォーマンスも悪影響を受けます。
ご使用のPHPのバージョンが不明な方は、ウェブサイトのヘッダーリクエストを確認してください。もう一つ、すばやく確認できる方法は、Pingdomを使用する方法です。最初のリクエストをクリックし、X-Powered-By
のパラメータを確認します。これはウェブサーバーが現在使用しているPHPのバージョンを表示します。ただし、セキュリティ上の理由から、このヘッダーを削除するホスティング会社もあります。お客様のウェブサイトの安全のためにKinstaもデフォルトでこのヘッダを削除します。
Kinstaでは、PHPのサポートされているバージョン(7.2、7.3と7.4)のみのご利用をお勧めします。PHP 5.6、7.0と7.1はご利用できなくなりました。MyKinstaダッシュボードのボタンをクリックするだけで、PHPバージョン間の切り替えができます。
cPanelを使用するWordPressホスティング会社をご利用の方は、通常、ソフトウェアカテゴリの下で 「PHP Select」をクリックしてPHPバージョン間の切り替えができます。
3. ユーザー名とパスワードを上手に決める
驚きべきことに、WordPressのセキュリティを強化する最善の方法の一つは、単純にユーザー名とパスワードを上手に決めることです。かなり簡単ですね。なお、SplashDataによる2018年に盗まれた最も人気のあるパスワードの年間リスト(人気の順にソート)をチェックしてください。
- 123456
- password
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- sunshine
- qwerty
- iloveyou
最も人気のあるパスワードは 「123456」で、その次は「Password」です! これを理由に、Kinstaでは新しいWordPressをインストールするときに、wp-adminログイン用に複雑なパスワードを使用するように強制しています(下のワンクリックインストールプロセス参照)。 これはオプションではありません。
WordPressのコアとなるwp_hash_password
関数は、phpassパスワードハッシングフレームワークとMD5ベースのハッシングの8つのパスを使用します。
最高のセキュリティは基本から始まります。Googleは、強力なパスワードの選択方法について推進事項を定めています。または、Strong Password Generatorのようなオンラインツールを使用することもできます。
すべてのウェブサイトに異なるパスワードを使用することも重要です。パスワードをローカル保存する最善の方法は、コンピュータ上の暗号化されたデータベースに保存することです。例えば、KeePassは便利な無料のツールです。または、1PasswordまたはLastPassなどのオンラインパスワードマネージャーもあります。データはクラウドで安全にホスティングされていますが、各ウェブサイトでそれぞれのパスワードを使用しているのは一般的に安全です。それに、付箋紙にメモしておかなくていいです!😉
WordPressのインストールなら、デフォルトの 「admin」というユーザ名を使用しない方がいいです。管理者アカウントのユニックなWordPressユーザー名を作成し、 存在するなら「admin」ユーザーを削除してくださお。これを行うには、ダッシュボードの「ユーザー」メニューで新規ユーザーを追加し、「管理者」権限を設定します(下記参照)。
新しいアカウントを管理者に設定してから、元の「admin」ユーザーを削除することができます。削除をクリックしたときに必ず「すべての投稿を以下のユーザーにアサイン」で、新しく追加したユーザーを選択してください。これで既存の投稿は新規ユーザーにアサインされます。
次のコマンドを使用して、phpMyAdminで既存の「admin」ユーザ名を手動で変更することもできます。テーブルを編集する前にデータベースをバックアップしてください:
UPDATE wp_users SET user_login = 'newcomplexadminuser' WHERE user_login = 'admin';
4. 常にWordPress及びそのプラグインとテーマの最新版を使用する
WordPressのセキュリティを強化するもう一つの非常に重要な方法は、常に最新版を使用することです。WordPressのコア、プラグインとテーマ(リポジトリからのものもプレミアムなものも)もそうです。アップデートにはセキュリティの強化及びバグの修正が含まれています。本件については、当社のWordPressの自動更新についての詳細記事を是非ご確認ください。
残念なことに、何百万ものユーザーがWordPressのソフトウェアとプラグインの古いバージョンを使用しており、ビジネス成功の正しい道を歩んでいると考えています。「ウェブサイトが壊れる」、「コアの変更がなくなる」、「プラグイン○○が動かなくなる」、「その新しい機能が要らない」などの言い訳をしています。
実は、ウェブサイトご壊れるほとんどの理由は古いWordPressバージョンのバグです。コアの変更なら、WordPressチーム及びリスクを理解している専門家の開発者には、一切推奨されません。また、WordPressのアップデートには、最新のプラグインを実行できるために必要な追加機能の他には、必須のセキュリティパッチが含まれています。
プラグインの脆弱性がハッカーの侵入手口の55.9%を占めることをご存知ですか。これは、WordFenceが攻撃の実績のあるWordPressのウェブサイト所有者1000名をインタビューした調査で発見した結果です。プラグインを更新することで、プラグインを介して攻撃を受けないことを確認できます。
また、信頼できるプラグインのみをインストールすることをお勧めします。WordPressリポジトリの「おすすめ」カテゴリと「人気のある」カテゴリで始めた方が良いでしょう。または、開発者のウェブサイトから直接ダウンロードしてもよいでしょう。ゼロ化したWordPressプラグイン及びテーマをご利用しないよう、強くお勧めします。
まず第一に、修正されたコードに何が含まれているかわかりませんので、ウェブサイトがハッキングされる可能性があります。プレミアムWordPressプラグインの支払いを避けることは、コミュニティ全体としての成長にも支障をきたします。開発者をサポートしましょう。
WordPressテーマの正しい削除し方についてはこちらをご参照ください。
VirusTotalなどのオンラインツールを使用して、プラグインやテーマのファイルをスキャンすることにより、マルウェアが入っているか確認できます。
WordPressコアの更新方法について
WordPressのインストールを更新する簡単な方法がいくつかあります。Kinstaのお客様には、ワンクリックの復元オプションの自動バックアップをご用意しています。したがって、安心してWordPressとプラグインの新しいバージョンを試験することができます。または、ステージング環境で試験することも可能です。
WordPressのコアを更新するには、WordPressのダッシュボードで「更新」をクリックし、「今すぐ更新」ボタンをクリックします。
最新のバージョンをダウンロードし、SFTP経由でアップロードすることにより、WordPressを手動で更新することもできます。
既存のインストールを更新するには下記に手順に従ってください。
- 古い
wp-includes
とwp-admin
のディレクトリを削除します。 - 新しい
wp-includes
とwp-admin
のディレクトリをアップロードします。 - 新しい
wp-content
フォルダから既存のwp-content
フォルダに個々のファイルをアップロードし、既存のファイルを上書きします。既存のwp-content
フォルダを削除しないでください。既存のwp-content
ディレクトリのファイルやフォルダを削除しないでください(新しいファイルで上書きされるファイル以外に)。 - 新しいバージョンのルートディレクトリから既存のWordPressルートディレクトリに新しいlooseファイルをすべてアップロードします。
WordPressのプラグインの更新方法について
WordPressプラグインを更新することは、WordPressコアを更新するのとよく似た手順です。WordPressのダッシュボードで「更新」をクリックし、更新するプラグインを選択して「プラグインの更新」をクリックします。
同様に、プラグインを手動で更新することもできます。単にプラグインの開発者からまたはWordPressリポジトリから最新のバージョンを入手し、FTP経由でアップロードして、/wp-content/plugins
sディレクトリ内の既存のプラグインを上書きします。
開発者がプラグインの最新版を作成するとは限りませんので、ご注意ください。 WP Loopのチームは、WordPressのリポジトリの更新されていないプラグインの数を調べています。彼彼らの調査によると、リポジトリ内のプラグインの約50%は2年以上で更新されていません。
もちろん、そのプラグインが最新版のWordPressでは機能しないことわけではありませんが、原則として活発に更新されるプラグインを選択した方がいいです。時代遅れのプラグインは、セキュリティの脆弱性を含む恐れが高くなります。
プラグインなら、常に慎重を期す必要があります。「最終更新日」と「評価」を確認してください。例えば、下記の例のプラグインは古くて評価も低い為、お勧めできません。しばらくの間に更新されていないプラグインの上部にWordPressによる警告が表示される場合も多いです。
また、WordPressの最新のセキュリティアップデートや脆弱性の情報を常に入手できるには、下記を参照してください:
- WPセキュリティブロガー:セキュリティフィードを20以上集めた素敵なリソースです。
- WPScanの脆弱性データベース:WordPressのコア、プラグイン、またはテーマの脆弱性を10,000以上収集しています。
- ThreatPress:WordPressのコア、プラグイン、またはテーマの脆弱性の日常更新されるデータベース
- 公式WordPressセキュリティアーカイブ
5. WordPressの管理者ログインをロックダウンする
一般のWordPressウェブサイトまたはオンラインビジネスだと、隠蔽によるセキュリティ(security by obscurity)という戦略が役に立つ場合があります。ハッカーが特定のバックドアを見つけるのが難しくなると、攻撃される可能性は低くなります。WordPressの管理エリアとログインをロックダウンすることは、セキュリティを強化するのに便利です。これを行うには、まずデフォルトのwp-adminログインURLを変更し、ログイン試行を制限する方法があります。
WordPressのログインURLを変更する方法について
デフォルトでは、WordPressウェブサイトのログインURLはdomain.com/wp-adminです。ただし、すべてのボット、ハッカー、スクリプトなどもこれをよく知っています。URLを変更することで、ブルートフォース攻撃から自分を守ることができます。もちろん完全な解決策のにはなりませんが、便利な工夫です。
WordPressのログインURLを変更するには、無料のWPS Hide loginプラグインまたはプレミアムのPerfmattersプラグインを使用することをお勧めします。両方のプラグインには単純な入力欄があります。ボットまたはスクリプトがスキャンしようとしている可能性のあるリストにない完全にユニークなものを選んでください。
ログイン試行を制限する方法について
管理者のログインURLを変更する上記の工夫は、ログイン試行の過半数を防ぎますが、回数制限を設けることも非常に効果的です。無料Cerber Limit Login Attemptsプラグインは、ロックアウト期間、ログイン試行の件数、IPホワイトリストとブラックリストを設定するのに便利です。
よりシンプルなWordPressセキュリティソリューションをお探しの場合は、無料のLogin Lockdownプラグインが便利です。Login LockDownは、失敗したすべてのログイン試行のIPアドレスとタイムスタンプを記録します。同じIP範囲から短い時間内に特定の回数以上の試行が検出された場合、その範囲からのすべての要求に対してログイン機能は無効になります。それに、上記のWPS Hide loginプラグインと完全に互換性があります。
基本的なHTTP認証を追加する方法について(htpasswd保護)
管理者ログインのロックダウンする別の方法は、HTTP認証を追加することです。WordPressログインページにアクセスするには、ユーザー名とパスワードが必要です。注:ボットによる攻撃を防ぐ効果的な方法ですが、電子商取引サイト及びメンバーシップサイトでは使用しないでください。
Apache
cPanelホスティング会社をご利用の方は、コントロールパネルからパスワードで保護されたディレクトリを有効にすることができます。手動で設定するには、まず.htpasswd
ファイルを作成する必要があります。この便利なジェネレータツールを使用することができます。次に、ファイルをwp-adminフォルダの下のディレクトリにアップロードします。例えば:
home/user/.htpasswds/public_html/wp-admin/htpasswd/
次のコードで.htaccessファイルを作成し、/wp-admin/
ディレクトリにアップロードします。ディレクトリパスとユーザー名を更新してください。
AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/htpasswd
AuthType basic
require user yourusername
この方法のデメリットは、ウェブサイトのフロントエンドでAJAX(admin-ajax)を壊すことです。AJAXは、第三者プラグインの一分が必要とします。したがって、上記の.htaccessファイルに次のコードを追加してください。
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Nginx
Nginxをご利用の方も、基本的なHTTP認証でアクセスを制限することができます。こちらのチュートリアルをご確認ください。
Kinstaのお客さまには、パスワード保護(htpasswd)ツールをMyKinstaダッシュボードで簡単に設定いただけます。該当サイトの「ツール」セクションで「[有効にする」をクリックし、ユーザー名とパスワードを選択するだけで完了です。
有効にした後、WordPressサイトにアクセスするには認証が必要になります。認証情報の変更またはパスワード保護機能の有効化もいつでもできます。
URLパスをロックダウンする
Cloudflare及びSucuriなどのウェブアプリケーションファイアウォール(WAF)をご利用の場合には、URLパスを制限することもできす。自分のIPアドレスだけがWordPress管理者ログインURLにアクセスできるようにルールを設定することができます。ウェブサイトのバックエンドへのアクセスが必要な為、この工夫も電子商取引サイト及びメンバーシップサイトでは使用しないでください。
- CloudflareはPro以上のアカウントにロックダウンURL機能を付けます。どのURLまたはパスにもルールが設定できます。
- SucuriにはブラックリストURLパス機能があります。次に自身のIPをホワイトリストに入れます。
6. 二要素認証を使用する
もちろん、二要素認証を忘れることはできません!パスワードの安全性にかかわらず、他人に発見される危険があります。二要素認証は2段階の手順で、ログインするのにパスワードだけでなく、もう一つの方法が必要となります。もう一つの方法は、ショートメッセージ(SMS、Cメール、Pメール)、電話、または時間ベースのワンタイムパスワード(TOTP)などです。攻撃者はあなたのパスワードも携帯電話も手に入れる可能性が低い為、要素認証はWordPressウェブサイトをブルートフォース攻撃から完全に保護してくれます。
二要素認証は2つの要素があります。まず、ウェブホスティングプロバイダでのアカウントやダッシュボードがあります。他人がこれにアクセスできると、パスワードを変更したり、ウェブサイトを削除したり、DNSレコードを変更したり、あらゆる恐ろしいことができます。KinstaはAuthyを使用し、MyKinstaダッシュボードは二要素認証があります。
2段階認証の2番目の部分は、実際のWordPressのインストールです。当社は次のプラグインのどちらかをお勧めします:
上記の多くには携帯電話で利用可能な自身の認証アプリまります:
- Android Duo Mobile アプリ
- iPhone Duo Mobile アプリ
- Android Google Authenticator アプリ
- iPhone Google Authenticator アプリ
上記のプラグインのどちらかをインストールして設定した後に、WordPressのログインページにセキュリティコードを入力する追加の欄が付きます。一方、Duoプラグインの場合には、まずパスワードでログインしてから、Duo Push、通話、パスコードなどの認証方法を選択します。
この手段は、前述のデフォルトのログインURLを変更すること組み合わせることができます。そうすると、WordPressログインURLが関係者しか知らないものだけでなく、ログインするには追加の認証も必要です。💪
コメントを残す