[2022年版]WordPressのセキュリティ対策でお勧めのプラグインや対策法7つ

スポンサーリンク
スポンサーリンク

ウェブサイトを100%確実に保護する方法を尋ねられたとき、私は「オフラインにすればいい」と答えます。

そして、私に対する怒鳴り声が収まると、今度はウェブサイトビルダーやコンテンツ管理システム(CMS)に話を移し、どのオプションが最もセキュリティに優れているかを聞き出そうとします。

しかし、ブログのためにウェブサイト・ビルダーを使おうが、ビジネスのためにCMSを使おうが、リスクは常に存在するのです。

問題は、そのリスクを管理する責任が自分にあることです。さらに、自分ですべてを行おうとすると、うまくいかないことがあります。本当に早く。

そこで、この記事では、ウェブサイトを安全に保つための私の最良のヒントを紹介します。心配しないでください。これらは、実行するために博士号が必要な種類のヒントではありません。

午後のひとときで実行できる、シンプルで価値のある戦略なのです。しかも、効果的です。どの方法を取るにしても、ハッカーやボットとの実際の戦いにおいて、それぞれの選択肢はすでに実績を積んでいます。

さあ、はじめましょう。

スポンサーリンク

Webサイトのセキュリティの確保方法 リスクを最小化するトップ戦略

Web サイトを保護することに関して、保証はあまりありません。ハッカーから永遠に守ってくれるような簡単な対策はないため、以下の戦略を実行して脆弱性を減らし、早期復旧の可能性を高めることが最善の策となります。

  1. SSL証明書をインストールする
  2. マルチレベルのログイン・セキュリティの導入
  3. 定期的なバックアップの実施
  4. すべてのソフトウェアを最新に保つ
  5. ウェブアプリケーションファイアウォール(WAF)の使用
  6. 効果的なサイト管理者であること
  7. 警戒を怠らない

1. SSL証明書をインストールし、あらゆる場所でHTTPSを使用する

あなたが初めてウェブサイトを構築している最中なら、データの暗号化は大企業や調査ジャーナリストだけが必要とする007のようなものだと思うかもしれません。

しかし、Googleからトラフィックを得ることを計画している場合、適切なランキングを取得するためにSSL証明書が必要になります。また、ニュースレター用にEメールを集めるのにも必要です。

このように、SSL証明書が必要だと思われる方もいらっしゃるかもしれませんが、これにはそれなりの理由があります。以前は、ユーザーがサーバーに送信する機密情報はすべてプレーンテキストで送信されていました。もし誰かがその情報を盗み見れば、すべてを読み取られてしまうからです。つまり、パスワード、銀行口座の詳細、電子メールアドレスなど、あらゆる情報を読み取られてしまうのです。

SSL証明書は、これらの機密情報を暗号化し、読み取ることを不可能にします。SSL証明書の利用は、安全なウェブサイトを実現するための出発点なのです。そうでない場合は、このような警告が表示されます。

Warning for users entering a website that isn

WixやSquarespaceなどの主要なウェブサイトビルダーは、自社のネットワーク上のすべてのウェブサイトに対してデフォルトでHTTPSを有効にしているのはこのためです。

それ以外の人は、SSL証明書を取得するのは簡単です。

現在、ほとんどのウェブホストは、数回クリックするだけでSSL証明書をインストールできる簡単なツールを提供しています。もしそうなら、設定方法を聞いてみてください。きっと簡単なことだと思います。例えばBluehostでは、Let’s Encryptの証明書をコントロールパネルですぐに利用することができます。

Enabling SSL certification with Bluehost.

もし、お使いのホストが何らかの理由で簡単なツールを提供していない場合は、Let’s Encryptのガイドに従って、無料のドメイン検証証明書を生成することもできます。完了したら、cPanelまたはホストのカスタムダッシュボードにアクセスして、それをインストールします。

Install an SSL certificate in the cPanel

WordPressをお使いの場合は、Really Simple SSLプラグインを使用して、インストール後にSSL証明書を使用するようにサイトを適切に設定することができます。

Really Simple SSL Really Simple SSL

著者: Really Simple Plugins

現在のバージョン: 5.3.2

最終更新日: 5.3.2 5月 10, 2022

本当にシンプルなSSL.5.3.2.zip

100%評価

5,000,000+ インストー ル数

WP 4.9+ 要件

2. ログインページとプロセスのセキュリティ

ログインのセキュリティに関しては、カバーすべき領域がたくさんあります。しかし、強力なパスワードと多要素認証という、たった2つの簡単な実装で、長い道のりを歩むことができます。

それは、強力なログイン・セキュリティは、少なくとも、2つのレイヤーで構築されているからです。私たちの場合、それはあなたが知っているもの(強力なパスワード)とあなたが持っているもの(電子メール、電話、または呼び出しに送信するコード)です。

強力なパスワードは素晴らしいもので、ブルートフォース(総当り)攻撃は事実上不可能で、推測もほとんど不可能です。

しかし、その前に、自分自身のために、パスワード・マネージャーを手に入れることをお勧めします。過去3年間、私は1Passwordを使用しており、これは画期的なものでした。なぜか?理由は2つあります。

  • パスワードとパスフレーズの生成機能により、パスワードの作成(および定期的な変更)が簡単にできるようになりました。
  • パスワードデータベースにより、「このパスワードを記憶してください」や自動ログインをやめることができた。

以上のように、パスワードの管理については素晴らしいのですが、ユーザーについてはどうでしょうか?WordPressのサイトでは、Password Policy Manager for WordPressを使って、強制力のある強力なパスワードポリシーを作成することをお勧めします。

安全なパスワードを設定したら、多要素認証ログインを設定します。これは、誰かがあなたのウェブサイトにログインしたいときに、通常はデバイスに送信されるコードを入力する必要があることを意味するだけです。

Google AuthenticatorとAuthyは、ほとんどのウェブサイトビルダーで簡単に設定することができます。例えば、Squarespaceでは、「設定」でオプションを見つけることができます。

Turning on 2FA to secure a Squarespace website

WordPressの場合は、Wordfenceをお勧めしますが、miniOrangeのGoogle Authenticatorプラグインを使用することもできます。

WordPressの二要素認証のガイドもあります。

ゼロから構築した場合は、GoogleのIdentity Platformを使って、Google Authenticatorをウェブサイトに統合することができます。

3. 定期的にサイトをバックアップする

Webサイトの安全性を確保する方法は、バックアップのスケジュールを作成するのと同じくらい簡単です。

バックアップで怖気づくハッカーはいないと思うかもしれません。バックアップは万が一のための予防策です。しかし、バックアップは、危機に瀕したときに回復するための安全な場所を提供するものでもあります。人気のウェブサイトビルダーは、それぞれ異なるアプローチを持っています。

  • Wixは、毎週自動的にサイトのバックアップを行います。
  • Shopifyの人気アプリRewindは、数少ないバックアップアプリの1つです。
  • Squarespaceは、複製されたサイトの作成からXMLファイルのエクスポートまで、限られたバックアップオプションしかありません。
  • WordPressのユーザーは、安全なバックアップを作成するために設計されたプラグインをいくつでも利用することができます。

WordPressユーザーには、UpdraftPlusをお勧めします(使用しています)。無料版では、Google Drive、Dropbox、Amazon S3などのクラウドに直接、無制限にバックアップすることができます。UpdraftPlusは、いざという時のサイトの復元も可能です。

UpdraftPlus WordPress Backup Plugin UpdraftPlus WordPress バックアッププラグイン

著者: UpdraftPlus.Com, DavidAnderson

現在のバージョン: 1.22.14

最終更新日: 7月 7, 2022 2022年7月7日

updraftplus.1.22.14.zip

96%評価

3,000,000+ インストー ル数

WP 3.2+ 要件

4. すべてのソフトウェアを最新に保つ

正直に言うと、私はWordPressのようなツールが大好きです。テーマとプラグインがすべてを簡単にしてくれるからです。自分のウェブサイトでレシピを紹介したいですか?そのために作られたプラグインは、おそらく数百種類はあると思います。WordPressだけでなく、WixやShopifyでは、一行のコードも入力せずに多くのことを実現できるアプリがあります。素晴らしいことだと思いませんか?ちょっとだけ。

しかし、アプリはコードの安全性確保を困難にします。サードパーティ製アプリが1つでも不適切にコーディングされていると、Webサイトの攻撃対象が拡大します。また、定期的に更新していない場合は、多くの脆弱性を作り出していることになります。

しかし、次のようにすれば、脆弱性を減らすことができます。

  • 使用しないプログラムを削除する。
  • 使用しないプログラムは削除する。
  • 使用するプログラムは常にアップデートする。
  • 統合する予定のネットワークはすべて調査する。

WordPressを使用している場合、ソフトウェア自体や使用しているテーマ、プラグインの更新があると、ダッシュボードに通知が表示されます。また、自動更新機能を利用すれば、上記のすべてをカバーすることができます。

最も安全なオプションは、マネージドホスティングプランをチェックアウトします。セキュリティが強化されるだけでなく、WordPressサイト全体のアップデートを担当者が行うことができます。マネージド・ホスティングの詳細は、いつでもご覧いただけます。

5. Webアプリケーションファイアウォール(WAF)を使ってプロアクティブに保護する

アーノルド・シュワルツェネッガーのようなパワーでウェブサイトを保護したいなら、ウェブアプリケーションファイアウォール(WAF)を導入しましょう。

過去25年間にインターネットを利用したことがあるなら、ファイアウォールはよくご存じでしょう。ウェブアプリケーションファイアウォールは、あらかじめ定義されたルールを使って攻撃を識別しブロックするため、コンピュータのファイアウォールと似ています。そのため、クロスサイトスクリプティング(XSS)、クロスサイトフォージェリ、SQLインジェクションなどの一般的な攻撃を排除するのに特に優れています。

脅威が刻々と変化する中、WAFは必要不可欠なツールです。最近のWAFは、新しい脆弱性が発見されると、迅速にルールを修正し、展開することができるのが特徴の一つです。

防御の第一線として、WAFは主に3つの形態で提供されています。

  • ハードウェアファイアウォールに支えられたネットワークベース – KinstaのようなエリートホストやSquarespaceのようなウェブサイトビルダーから得られる、簡単に最強のファイアウォールです。
  • ホストベース – プラグインやアプリを介してアプリケーション自体に統合されているすべてのWAFをカバーしています。
  • クラウドベース – 最も一般的で統合が簡単なセキュリティオプションです。

WordPressのユーザーにとっては、Wordfenceがおそらく最良のソリューションです。

6. 効果的なサイト管理者になる

Webサイトの管理者であれば、さまざまなことを把握しなければなりませんが、それらをきちんと把握することが、Webサイトの安全性に大きく影響します。

ここでは、そのすべてを簡単に紹介します。

  • ユーザーの役割。ユーザーの役割を把握することで、誰がデータにアクセスできるのか、誰が変更できるのか、その他の特権が何なのかを知ることができます。ユーザーには、タスクを完了するために必要なロールだけを与えるようにします。それ以上のものは脆弱性です。
  • ユーザーが何をしているかを監視し、非アクティブなユーザーを一掃する。WP Activity Logは、ユーザーの行動を追跡し、悪意のある活動から守るのに役立ちます。

WP Activity Log WP Activity Log

著者: WP White Security

現在のバージョン 4.4.2.1

最終更新日 2022年7月20日

wp-security-audit-log.4.4.2.1.zip

94%評価

100,000+ インストーラ

WP 5.0+ 必要なもの

  • 自動承認機能を削除し、すべてのコメントを手動でモデレートします。
  • リンクやコードを含むコメントは拒否してください。今はもう一般的ではありませんが、コメント欄の悪質なコードはかつてあったものです。
  • コメントやフォームにアップロードできるファイルの種類を制限する。
  • アップロードのスキャンと検証を実施する。Sucuriはこのための最良の選択肢です。

Sucuri Security – Auditing, Malware Scanner and Security Hardening Sucuri Security – 監査、マルウェアスキャナー、セキュリティハードニング

著者: Sucuri Inc.

現在のバージョン: 1.8.32

最終更新日 2022年7月1日

sucuri-scanner.1.8.32.zip

84%評価

800,000+ インストー ル数

WP 3.6+ 要件

7. 警戒を怠らない

上記の解決策を実行した場合、ハッカーがサイトを乗っ取るために利用できる攻撃対象はすでに大幅に減少しています。

しかし、この状態を維持するには、Webサイトと、広告などの外部コンテンツの定期的なスキャンを行う必要があります。

例えば、信頼できる広告ネットワークと連携し、サイト上で公開する前にすべての広告クリエイティブをスキャンしてテストすることで、不正広告から保護することができます。

市場をリードするSucuri SiteCheckは、無料で利用でき、サイトのフロントエンドに影響を及ぼすウイルス、マルウェア、悪質なコードにフラグを立てます。

Keep a website secure with Sucuri Site Checker

ミッションクリティカルなサイトでは、2つのレイヤーアプローチを取り入れた定期的なセキュリティ監査も実施するとよいでしょう。

Pentest Tools の Web サイトスキャナーのような侵入テストツールを使用して、攻撃対象領域の大きさを明らかにします。25種類以上のスキャンツールにより、ネットワーク、Googleにインデックスされる機密ページ、SSL接続の強度に関する問題まで発見することができます。

一般的なセキュリティの弱点をカバーするチェックリストとクロスチェックした脆弱性評価を実行します。

  • プラグイン、テーマ、その他のサードパーティ製品がアクティブでないことを定期的にチェックする。
  • ツールが最近のアップデートで更新されていることを確認します。
  • 最近の活動によってユーザーをフィルタリングし、非活動的なユーザーの削除を検討する。
  • FTPアクセスやSSHアクセスのような特別なアクセスを持つユーザーのリストを作成し、それらが必要かどうか、どのくらいの期間必要かを判断する。

これらの戦術は、単純な趣味のブログには行き過ぎかもしれませんが、重要なサイトでの問題を防ぐのに役立ちます。

今すぐWebサイトを保護しよう

以前は、安全なウェブサイトを提供することは無理だと思われていたかもしれません。しかし、今となってはどうでしょう。しかし、今日では、Webサイトのセキュリティを確保し、ユーザーの安全を守るために、莫大な予算や長年のコーディング経験は必要ありません。

実際、7つのステップからなるリスク最小化アプローチにより、Webサイトを効果的に保護する方法はすでにご存知でしょう。

  • SSL証明書のインストール
  • マルチレベルのログインセキュリティの実装
  • 定期的なバックアップスケジュールを維持する
  • すべてのソフトウェアを最新に保つ
  • Web アプリケーションファイアウォール (WAF) の使用
  • 効果的なサイト管理者であること
  • 警戒を怠らない

Webサイトのセキュリティ対策について、まだご質問はありますか?コメントで教えてください。

タイトルとURLをコピーしました