ワード プレス セキュリティ。 【WordPress】セキュリティを強化する

WordPress(ワードプレス)脆弱性診断 セキュリティースキャナ

ワード プレス セキュリティ

WordPressはオープンソースであるため、無料で使用でき、プラグインも豊富なので、世界中で最も利用されているCMSの1つです。 ただ、オープンソースで有るが故に、脆弱性が発見されやすくハッカーの標的になりやすい、とも言われています。 ただ、実際のところは専門家もその主張には疑問を持っており、単にWordPress以外のCMSを売り込むために使われているだけだという意見もあります。 そちらに関しては以下の記事でもまとめていますが、いずれにせよ世界中で使われているCMSなので、やるべきセキュリティ対策を行っていれば、安全に運用できるのがWordPressです。 そこで今回は、初心者でも簡単にできるWordPressのセキュリティ対策を厳選して紹介します。 これさえやっておけば、大型のWebサイトでも特段問題はないかと思います。 WordPressやプラグインのバージョンを最新にしておく 先に述べたように、WordPressは世界で最も有名なCMSのためハッカーのターゲットになりやすく、脆弱性も発見されやすいのです。 脆弱性が発見された場合、Wordpressはその都度バージョンアップをして対策をしています。 最新バージョンは(既知の)脆弱性がなく、逆にバージョンが古いほど、脆弱性は多くなります。 基本的な事ですが、非常に重要なので、できるだけ常に最新版にしておくことをおすすめします。 プラグインも同様です。 未使用・更新が止まっているプラグインは削除する インストールしているだけで使っていないプラグインや、一度は使用したが、現在は使わなくなっているプラグインは、「停止」にするだけではなく、「削除」するようにしましょう。 なぜなら、「削除」しておかないと、プラグインに脆弱性が存在した場合、その脆弱性が狙われる可能性があるからです。 また、使っていてもアップデートが止まっているプラグインもたくさんあります。 1年以上更新が止まっているプラグインは要注意です。 古いプラグインはセキュリティに穴がある可能性も高いため、類似機能を持った、しっかり更新されているプラグインに乗り換えることをおすすめします。 サーバーのPHPバージョンを最新にしておく PHPは更新ごとにセキュリティの脆弱性を修正しています。 よって、いつも最新のPHPバージョンにしておくことが安全です。 放置サイトも含めての数字ではありますが、結構驚きです。 ・PHPのサポートされているバージョンを使用する理由について PHPバージョンはご利用のレンタルサーバーのコントロールパネルから簡単に変更できることが多いので、ぜひやっておきましょう。 ユーザー名とパスワードはセキュアなものにしておく WordPressはログインされなければ、たいていは大丈夫です。 逆にログインされてしまうとアウトです。 何でも出来てしまいます。 パスワードは最低限「10文字以上の英数字を織り交ぜたランダム文字列」でいきましょう(パスワードは8文字以内だとハッキングされやすいというデータもあります。 間違っても自分が覚えやすいパスワードにするのはおすすめできません。 ログインの試行回数を制御する ログインのセキュリティを上げるなら、試行回数の制限がおすすめです。 例えば、「3回パスワードを間違えると1時間ログインできないようにする」などの設定をあらかじめしておくのです。 これによって、機械的な不正ログインのアタックを防げる確率が劇的に上がります。 以下のプラグイン「Limit Login Attempts Reloaded」を使用すれば、難しい設定は必要ありません。 ただ、 セキュリティを強化しすぎると今度は運営側の手間が増えるというデメリットがあります。 なので、本題にある「これだけはしておきたい」からは少しかけ離れますが、個人情報を扱うような強力なセキュリティが必要なサイト(例えば、ECサイトなど)であれば、二要素認証は検討価値があります。 正直、個人ブログでは必要のない対策かもしれません。 まとめ 最低限これだけはやっておきたいことを主眼に7つのセキュリティ対策を紹介しましたが、手軽という点では1から5をやっておきたいところです。 1-5までをしっかりやっておけば、安全性も確保できます。 ウィルスや不正プログラムは日々進化していますし、そもそもシステムというのは(既知・未知含め)何かしらの脆弱性を含んでいるものです。 つまり、セキュリティ対策と同等に、万一ハッキング被害に遭った時のために、バックアップをとっておく事も必須となります。 バックアップは保険ですからね。 バックアップすべきなのは、下記3つになります。 WordPressのフォルダ・ファイル一式• WordPressで利用しているデータベース• WordPress管理画面からエクスポートできる「各記事・固定ページ・カテゴリ・タグ等の情報(XML形式)」 こちらのプラグインを使うと楽なので、おすすめです。

次の

ワードプレスのセキュリティ強化 ログインID(ユーザー名)を非公開にする方法

ワード プレス セキュリティ

ワードプレスをURLで検査してサイトの脆弱性を調べましょう ワードプレスドクター・セキュリティースキャナーでURLから御社サイトの脆弱性を検査していただけます。 免責事項 このスキャナの脆弱性のデータベースはのデータベースを使用しています。 ワードプレスドクターセキュリティースキャナーの結果について、当社はその正確性を何ら保証する物ではありません。 また、このツールを使用する事によって、使用者または間接的な他のサーバーやいかなる物品やデータの損害に付いて当社は一切の責任を負いません。 お安く承ります。 お見積もりは無料です。 ワードプレスドクター:マルウェアスキャン プラグインはウィルスパターン定義データベースを利用して御社の無料の高速スキャンプログラムです。 Stripeによるクレジットカード決済で月額無料わずか3.6%の手数料で。 Lesson Payment ワードプレスプラグイン *当サイトへのリンクはご自由にしていただいて構いません。 また、引用元をリンクしていただく事、記事のテキストを一部しか使用されない場合は、このブログの情報は自由に転載されても問題ございません。 情報がお役に立ちましたらあなたのメディアから当サイトの記事をご紹介いただけると幸いです。 人気の記事• カテゴリー• 166• 9 Access Info.

次の

【マルウェアって?】ワードプレスのセキュリティを高める方法【ハッキングされたら】

ワード プレス セキュリティ

機能性が高く誰でも簡単にホームページが作れる代表的なCMSであるWordPressは、多くの人に利用されている反面、多くの脅威にさらされているのも否めません。 この記事ではWordPressの脅威に対抗するため、必ず行っておきたい基本的な設定と、インストールしておきたいプラグインをまとめて紹介します。 いずれも、それほど労力をかけなくても比較的簡単に設定できる項目ばかりです。 少しの手間をかけるだけで、WordPressのセキュリティは飛躍的に高まります。 WordPressのセキュリティ対策の重要性 ここではWordPressでセキュリティ対策が必要となる具体的な理由とチェック方法について簡単にまとめます。 セキュリティ対策を行う前に、その前提となる知識についておさえておきましょう。 WordPressの脆弱性・脅威とは? 一口に脆弱性や脅威といっても、実際にどんな危険性があるのかわからないという方も多いのはないでしょうか。 そのことが分からないと、対策も立てにくくなります。 WordPressの脅威としては主に以下のものがあげられます。 管理画面への不正ログインによるサイト改ざんや乗っ取り、重要な情報の盗み取り• プログラムの脆弱性を狙った攻撃(SQLインジェクション・OSコマンドインジェクション・クロスサイトスクリプティング等)• 許容を超える過剰なデータを送信することによる攻撃(バッファオーバーフロー攻撃) WordPressを利用する場合、これらの脅威に備える必要があります。 なぜWordPressが狙われるのか? WordPressが狙われやすいのには、以下のような理由があります。 世界中で利用しているユーザーが多くターゲットになりやすい。 管理画面のURLが決まっているなど、構造がわかりやすい• オープンソースで脆弱性が発見されやすい 1つずつ簡単に解説します。 まずは、なんといっても利用するユーザーが多いためターゲットになりやすい点があげられます。 攻撃者の視点からみると、たとえば1つの脆弱性があれば、それを利用してターゲットとして狙えるサイトがたくさん存在するわけです。 攻撃者にとっては、非常に効率のよい攻撃対象がWordPressということになります。 またWordPressのようなCMSは、どのように管理画面へログインするかその際のURLはどんな文字列かなど、構造がパターン化されており攻撃しやすいのも理由の1つです。 くわえて、WordPressはプログラム(ソースコード)の詳細が一般に公開されたいわゆるオープンソースであるため、脆弱性が見つけやすいという面もあります。 脆弱性が発見できれば、攻撃は容易です。 WordPressは使いやすい一方で、このようなセキュリティリスクがあることを理解しておきましょう。 たがらこそ、セキュリティの対策が必要となるわけです。 WordPressのセキュリティ診断方法 まだWordPressのセキュリティ対策をされていない方は、ご自身のサイトにどのくらいのセキュリティの脅威があるのか診断してみると参考になるでしょう。 具体的には以下のような方法があります。 【1】 独自のアルゴリズムで脆弱性の有無をチェックしてくれるウェブサイトです。 対象のURLを入れて「START SCAN」をクリックするだけで診断できます。 【2】Wordfence Security WordPressの総合的なセキュリティ対策ができるプラグインです。 インストール後、Scanというボタンをクリックすると脆弱性の有無をチェックすることができます。 【3】 こちらもウェブサイト上でWordPressのセキュリティ診断をしてくれるサービスです。 対象のURLを入力して「サイトを検査」をクリックするだけで診断を実施してくれます。 なお、上述のWPScans. comは英語表記のみですが、こちらは操作画面から診断結果まで日本語で表示するので使いやすいかもしれません。 セキュリティを強化しながら表示速度を上げたいなら、KUSANAGI搭載のサーバーにお引越ししませんか?WordPressインストール済の環境から簡単にスタート。 初期費用無料、月額440円~の低価格。 「モリサワWebフォント」を標準搭載、至れり尽くせりのWordPressユーザー特化型のプランです。 やっておくべきWordPressのセキュリティ設定5つ ここではWordPressを利用する際に、最低限おこなっておくべきセキュリティ対策をまとめました。 攻撃者の標的にならないようにするため、ここに記載した対策は必ず行うようにしましょう。 そのため管理者アカウントは「admin」のように誰もが思いつくような単純なものにせず、パスワードも第三者に想像されにくいような文字列で作成しましょう。 プログラムの最新化 WordPress本体のプログラムやインストールしたプラグインなどは、バグや不具合などがみつかると随時更新され、WordPressに通知されます。 そのままにしておくと、攻撃者の標的になりやすくなってしまうので、更新があればできるだけ早くアップデートするようして、常に最新に保つようにしましょう。 更新の作業自体は、WordPressの管理画面から簡単に行うことができます。 重要な設定ファイルにアクセスされないようにする WordPressのプログラムには「wp-config. php」というファイルがあります。 これはWordPressの動作にかかわる各種設定が記載されている上、データベースのID・パスワードまで記載されています。 万が一、このファイルを攻撃者にみられてしまうと危険なので、外部からアクセスできないようにしましょう。 方法としては、FTPソフトで設定できる「ファイルの属性(パーミッション)」を400にします。 これは、ファイルの所有者しか、そのファイルが読み込めない権限です。 なお共用サーバーの場合、パーミッションを400にすることができない場合もあるので注意してください。 wp-config. phpと同じディレクトリにある「. htaccess」というファイルへ以下文字列を追記することでも対策できます。 上記文字列を追記することによって、wp-config. phpに対して外部からアクセスできないようになります。 パーミッションの設定、. htaccessの設定の両方を行っておけばよりセキュリティが高まります。 使用していないプラグインは削除する プラグインにも脆弱性が存在し、そのままにしておくと攻撃者のターゲットにされてしまいます。 使っていないプログラムは放置せずに削除するようにしましょう。 プラグインを使って管理画面をさらに強化に 今や、プラグインにより管理画面を攻撃者から守る対策は一般的に行われています。 おすすめのプラグインを以下で紹介するので、使いやすいものをインストールしてセキュリティを高めましょう。 WordPressのセキュリティを強化するおすすめプラグイン5つ(2018最新版) WordPressでは、セキュリティ強化に役立つプラグインが数多く公開されています。 ここでは代表的なプラグインを紹介します。 ログイン画面のよく知られたURL(wp-admin. php)を変更したり、簡易的なファイアーウォールとして機能したりします。 SiteGuard WP Plugin WordPressの管理画面を守る強力なプラグインです。 一定回数ログインに失敗するとその接続元からログインを試行できなくなったり、ログインに画像認証を追加したり、さらにはログインしていない接続元IPアドレスから管理画面へのアクセスを不可にするなど機能が豊富です。 設定項目が全て日本語なので、使いやすいのも魅力です。 Backup Guard WordPressで作成したホームページのバックアップが取得できるプラグインです。 仮に攻撃者によってホームページが改ざんされたり、削除されたりしてもこのプラグインによってバックアップを取っておけば、元の状態に回復することができます。 IP Geo Block WordPressへの攻撃は海外から行われることが多いです。 このプラグインでは、管理画面にたいする海外からのアクセスをブロックすることができます。 Akismet WordPressでユーザーからのコメントを許可する設定にしていた場合や問い合わせフォームを設置していた場合に、スパムコメントをフィルタリングしてくれるプラグインです。 WordPress2. 0以降を利用していれば、あらかじめインストールされており、改めてインストールする必要はありません。 スパムコメントに記載されているリンク先のホームページでは、フィッシング詐欺やウイルスの散布が行われたりすることがあるので、Akismetでの対策が有効です。 なお、Akismetの設定方法は以下ページでもくわしく解説しているので、あわせて参照ください。 【簡単】Akismetプラグインの設定方法~WordPressスパム対策~ WordPressのセキュリティを強化して安心してサイトを運営しましょう! WordPressは利便性が高い反面、残念ながらさまざまなセキュリティリスクと隣り合わせです。 ただし、ここで紹介した簡単な設定によって多くの攻撃を防御することができるようになります。 逆にきちんと設定しておかないと、攻撃者にとっては都合のよいターゲットになってしまいます。 WordPressを利用する際は、かならずここで紹介した最低限のセキュリティ対策を行っておき、セキュアな状態で利用するようにしましょう。 なおカゴヤのでは、国外からのアクセスを遮断する機能や管理画面への不正なログインを防止する機能、無料のバックアップサービスなどを提供しています。 そのためセキュリティの対策が簡単になります。 その他、WordPressをさらに高速かつ便利に使えるようにするための特徴を豊富にそろえているので、WordPress利用の際は、ぜひご検討ください。

次の