人気のWordPressのコンテンツ管理システムが非常に普及しています。この記事では、WordPressのインストールを安全にするためのヒントをいくつか紹介したいと思います。
ワードプレスの流通量が多いため、残念ながらハッカーの人気のターゲットにもなっており、WordPressのインストールに既知のセキュリティホールが含まれているかどうかをチェックする自動攻撃も行われています。
そのため、WordPressを常に最新の状態に保つことが非常に重要です。プロの使用のためには、WordPressを最新の状態に保つために代理店を雇い、既知の攻撃からシステムを保護するためにファイアウォールを使用してもWebhosterを選択することも合理的です。
WordPressのインストールをどのように保護するか、最も重要なポイントを挙げてみました。
[ tie_list type="checklist"]- WordPressを常に最新の状態に保つ
WordPressはブログを書くためのソフトであるだけでなく、いわゆるプラグイン、つまり拡張機能を利用することで様々な機能を搭載することができます。多くのユーザーは、個々のウェブサイトに専用のプラグインやデザイン(テーマ)を使用しています。攻撃の最大の問題点は、インストの更新ができないことです。
ヒント:WordPressのインストールには、WordPressやプラグインを更新するのに役立つ管理インターフェースを備えたウェブホストを選択してください。当店のおすすめは プレスク を管理ソフトとして使用しています。
WordPressの自動更新を有効にします。
そして、ソフトウェアは常に最新の状態に保たれています。これは多くのプルーシンにも可能です。
ワードプレスの管理画面に定期的にログインして、現在の状態を確認することをお勧めします。WordPressでは、アップデートが可能かどうかを直接表示しています。
さらに問題なのは、テーマ、すなわち、通常は有料のプラスインが含まれている完成されたデザインです。これらのテーマは通常自動的にはインストールされませんが、手動で更新する必要があります。これを行うには、メーカーからテーマの最新バージョンをダウンロードして、テーマディレクトリにコピーする必要があります。アップデート後、通常はテーマ管理画面でいくつかの設定を行うだけです。
[ tie_list type="checklist"]- 暗号化された接続を使用します。
WordPressのログインデータは非常に需要が高く、レストランやホテルなどで開いているWLanにログインした場合など、安全でないネットワークでは簡単にスパイされてしまう可能性があります。
そのため、ホームページには必ず証明書を使用する必要があります。それはあなたのために証明書を設定することができますWebホストを選択することをお勧めします。これは、設置のプロの保護のために年間数ユーロしかかかりません。
https:// を経由して WordPress をインストールする際には、常に暗号化されたアクセスが可能であることを確認し、安全なメールの取得と、必要に応じて安全な FTP ログインを行ってください。暗号化されていない接続を使用したら、すぐにすべてのパスワードを変更することをお勧めします。
[ tie_list type="checklist"]- wp-login.phpファイルを保存します。
wp-adminディレクトリの名前を変更する方法もありますが、これはWordPressの機能に支障をきたす可能性があります。パスワードが単純に推測されるブルートフォース攻撃から守る簡単な方法は、.htaccess ファイルにコードを含めることです。これは、パスワード保護とうまく組み合わせることができます。
[ tie_list type="checklist"]- 管理ディレクトリをパスワードで保護します。
さらに、このディレクトリをパスワードで保護する必要があります。プロバイダは、特定のディレクトリのディレクトリ保護を設定するオプションを提供しています。12文字以上の長さで特殊文字を含む複雑なユーザー名とパスワードで管理ディレクトリを保護します。8文字しかないパスワードは絶対に選ばないようにしましょう。これらは現在では一般的に安全ではないとされており、暗号化の種類に応じて事前に計算されているため、通常はすぐにクラックすることができます。
パスワード保護が終わったら、.htaccessファイルを開いて、上に以下のコードを挿入します。
ErrorDocument 401 "ロックされました。
ErrorDocument 403 "ロックされました。
# パスワードで保護されているにもかかわらず、プラグインからadmin-ajax.phpへのアクセスを許可する
命令は許可し、拒否します
すべてから許可する
すべてを満足させる
</ファイル
これにより、WordPressプラグインがファイルを呼び出すことができるようになります。
[ tie_list type="checklist"]- できるだけ広く使われているプラグインやテーマを使う
プラグインは通常、WordPressのセキュリティホールの原因となります。プラグインやテーマは、サードパーティのプロバイダーが提供する小さなソフトウェアパッケージです。原則的には良いアイデアですが、現在では多くの怪しげなプロバイダや、単に知識がないためにセキュリティホールを含むソフトウェアを作成するプロバイダが存在します。素人には実質的にこれに対する保護はありません。そのため、インストール頻度が高く、評価の高いプラグインのみを使用することをお勧めします。
どこのサイトからでもダウンロードできる無料テーマは使わないようにしましょう。いわゆるエリートプロバイダからThemeforestやTemplatemonsterでテーマなどを購入し、すなわち、高い離職率を生成しているプロのプログラミングチーム。
また、最後に設置した日にちにも注意してください。プラグインやテーマを更新しないプロバイダや、すでに開発を中止しているプロバイダはおすすめできません。
[ tie_list type="checklist"]- 使用していないテーマやプラグインを削除する
あなたのウェブサイトの準備ができて、あなたが開始したい場合は、常に使用されていないプラグインやテーマをすべて削除することをお勧めします。これは、簡単には削除できないWordPress独自のテーマにも当てはまります。可能性のある攻撃者は、これらの標準ディレクトリにファイルを隠すのが好きなので、未使用のファイルは完全に削除することをお勧めします。これは、管理インターフェイスを介して行うことができ、必要に応じてFTPを介しても行うことができます。使わないテーマのディレクトリを削除するだけです。
[ tie_list type="checklist"]アプリケーションファイアウォールを使用する
[/tie_list]可能であれば、アプリケーションファイアウォールを使用してください。これは、あらゆる接続をチェックし、潜在的な攻撃を防ぐために多くの可能性を提供するソフトウェアです。
多くのプロバイダでは、fail2ban(推奨)のような無料オプションがあります。 mod_security 既知の攻撃や怪しげな既知のIPアドレスをブロックするWAF。共有ホスティング環境、つまり小規模なホスティングアカウントでは、グローバルに設定できない特別な機能が多すぎるため、通常はこれを行うことができません。業務用としては、どのような場合でも管理されたVサーバーを使用することをお勧めしますので、Webサイト専用のセパレート環境となります。
一部のプレミアムプロバイダでは、ウェブサイトに外部ファイアウォールソリューションを使用することもできます。この場合、バラクーダ、ソニックウォール、インパーバなどのシステムが適しています。これらのシステムは、ウェブサーバに到達する前にトラフィックをフィルタリングするため、ほとんどの攻撃をブロックします。このようなソリューションは、1ヶ月あたり50〜250ユーロと比較的高価であり、プロの使用にのみ適しています。
結論:自分でホームページを作るのは、WordPressを使えばとても簡単です。また、多くのWebhostersが提供する自動更新は、他のコンテンツ管理システムに比べて便利です。常に(最低でも週に1回は)エクステを最新の状態にするようにしていれば、あなたには何も起こりません。
何のコストもかからないものもダメです。残念ながら、これは多くのプラグインやテーマに当てはまります。多くの詐欺師が悪質なコードでテーマを感染させ、それを自分のテーマとして無料で配布しているので注意してください。このようなものをインストールしたとたん、あなたのウェブサイトはあっという間に スパム または他者への攻撃を罵倒する。
