誰かがあなたのWordPressサイトにハッキングするのを難しくする方法


WordPressサイトがある場合、そのサイトは常にハッカーに攻撃されている可能性があります。

彼らは、それが古くなったプラグインであろうとテーマであろうと、簡単に数字を設定できるパスワードであろうと、それらを受け入れる弱点を常に探しています。一度入ると、明らかにwreakhavocできます。

私が話していることを証明するために、ここに私のWordPressダッシュボードが今言っていることを示します。

これが、WordPressサイトが完全に防弾である必要がある理由です。企業とのコンサルティングの会話に基づいて、これを実行する最良の方法を次に示します。

可能な限り最高のユーザー名とパスワードを取得

一度見たことがあるなら、何千回も見たことがあります。ユーザーは、ユーザー名とパスワードを両方とも「admin」に設定してWordPress Webサイトを設定し、ハッキングされた理由を疑問に思います。

あなたのログインページは、基本的にWebサイトの玄関口です。したがって、侵入者が侵入するのを可能な限り困難にすることは理にかなっています。あなたはあなたの家の玄関を開けたままにしないでしょうか?

<!-
In_content_1 all:[300x250] / dfp:[640x360]
->

多くのWebホストがWordPressのセットアップを自動化します。その場合、「admin」とは異なるユーザー名を指定する必要があります。 「admin」を使用すると、ハッカーの仕事は彼らにとって非常に簡単になります。

他人が推測することが不可能なユーザー名を取得します。インターネット上の他の場所で使用しているユーザー名は使用しないでください。誰かがGoogleだけでそれらのユーザー名を見つける必要があります。

パスワードについては、非常に良いを自分で行い、パスワードマネージャーを取得します。私が強くお勧めする無料のオープンソースはキーパス です。次に、WordPressのパスワードを30文字以上にし、特殊文字をミックスに追加します。はい、そうです。 30文字。

AnAnti-Brute-Forceプラグインをインストール

そのドアのメタファーを補強して、いくつかのセキュリティロックを追加することも理にかなっています。 WordPressには、Google認証システム真正ログインのロックダウン 、またはreCAPTCHA の4つのオプションがあります。

明確にするために、Google AuthenticatorとAuthyは同じことを行います。スマートフォンでコードを取得し、ログインページで入力します。それなしでは、エントリーは拒否されます。

ログインロックダウンは、ユーザーのIPアドレスが指定された一定期間ブロックされる前に、間違ったログイン試行の回数を制限するプラグインです。これを、Authenticatorと一緒にインストールして、非常に大きなセキュリティを実現することもできます。

reCAPTCHAは私のお気に入りではありませんが、何もないよりはましです。また、以前にクラックされたため、絶対確実ではありません。しかし、私が言ったように、何もないよりはましです。 reCAPTCHAは、ユーザーに一連の単語を入力するか、特定の写真をクリックするように強制します。

すべてのテーマとプラグインが更新されていることを確認

次のステップは、すべてのテーマとプラグインが定期的に更新されるようにすることです。基礎。繰り返しになりますが、ハッカーは既知および未知の脆弱性を悪用してサイトに侵入する可能性があります。

利用可能なすべてのアップグレードがリストされている「更新」ページに注意してください。これは毎日行う必要があります。 [更新]ページは、[ダッシュボード]タブのサブタブとして見つけることができます。

AnyUnneedededテーマとプラグインを無効にする

すべてのテーマとプラグインを最新の状態に保つ必要があるため、使用していないものも無効にする必要があります必要ありません。

未使用のテーマとプラグインをアクティブにしておく理由はありません。そうすることで、攻撃者が侵入できるほど脆弱性が発見されるリスクが高まります。使用していないテーマはすべて削除してください。プラグインはいつでも再インストールできます。

プラグインについては、それらを削除するか、少なくとも非アクティブにします。

ユーザーアカウントの作成を許可しない>

WordPressサイトの場合ある種の企業またはチームによって使用されている場合、ユーザーアカウントが明らかに必要になります。ただし、サイトの単一ユーザーである場合は、だれにもユーザーアカウントを作成させないでください。特に知らない人。

設定–>一般に行くことで、これをやめさせることができます。「メンバーシップ」までスクロールダウンしてチェックを外します。 「誰でも登録できます」。

他のすべての許可ユーザーをダウングレード

ユーザーアカウントをユーザーに付与する必要がある場合は、適切なアクセスロールが付与されていることを確認してください。

たとえば、サイトの所有者は管理者である必要があります。しかし、誰かがあなたのためにゲストブログを書いているなら、彼らは著者としてリストされる必要があるだけです。必要のない人に昇格した特権を与えないでください。

ユーザー–>すべてのユーザーに移動して、役割を変更する人を選択します。次に、ドロップダウンボックスから選択します。

Index.HTMLファイルを使用してすべてのAccessToディレクトリを停止

これを知らない場合でも、新しいディレクトリを作成する場合Webサイトにファイルを追加し、その中にindex.htmlファイルを追加せずに、そのディレクトリのすべてのコンテンツを公開します。

これを防ぐには、createa空のテキストファイルをindex.htmlと呼びます。次に、それを新しいディレクトリにアップロードします。ディレクトリを表示しようとすると、ユーザーは空のインデックスページに戻ります。

SSLCertificateを取得

Webサイトでできることの1つは、SSL証明書を取得することです。 Googleは現在、検索結果でSSLサイトに高い優先度を与えており、もちろんサイトを保護しています。

SSLは、ユーザーブラウザーとWebサイトが存在するWebサーバーとの間の接続を非常に簡単に保護します。そのため、ハッカーが接続に侵入してデータを盗むことは非常に困難になります。

SSL証明書を取得する方法は2つあります。 1つ購入できますが、暗号化しましょう から無料で入手することもできます。多くのWebホストは、Let's Encryptを無料の自動サービスとして提供しています。

YourWordpress Webサイトを毎日バックアップ

最後に、最悪の事態が最悪の事態になり、ハッキングされた場合、サイトを取得する方法が必要ですできるだけ早くバックアップして実行します。これが、すべてのインストールファイルの毎日のバックアップが必要な理由です。

このための最も簡単な解決策は、ジェットパック です。これは、WordPressを作成した同じ人によって実行されます。 1つのサイトで月額$ 3.50で、間違いなく最もコスト効率が高くなります。

結論

サイトをロックダウンする方法は他にもたくさんありますが、それらの多くは、複雑なコーディングまたは複雑なオプションを備えたプラグインのインストールを伴います。このトピックを始めたばかりの場合は、基本を最初に説明することをお勧めします。これが今日私が説明しようとしたことです。

Microsoft Azure OpenDev—June 2017

関連記事:


7.02.2019