WordPress は、最も人気のあるブログ プラットフォームです。
人気があるため、プラスの影響もあればマイナスの影響ももたらしています。ほぼ全員がそれを使用しているという事実により、脆弱性の発見が容易になります。 WordPress 開発者は多大な労力を費やし、新しいバグが発見されると修正やパッチをリリースします。しかし、だからといって、WordPress をインストールして忘れてもよいというわけではありません。
この記事では、WordPress Web サイトを保護および強化するための最も一般的な方法をいくつか紹介します。
バックエンドにログインするときは常に SSL を使用してくださいカジュアルなブログを行う予定がない場合は、常に SSL を使用する必要があることは言うまでもありません。暗号化された接続を使用せずに Web サイトにログインすると、ユーザー名とパスワードが公開されます。トラフィックを盗聴している人があなたのパスワードを発見する可能性があります。これは、WiFi を使用している場合や公共のホットスポットに接続している場合に特に当てはまり、ハッキングされる可能性が高くなります。ここから信頼できる無料の SSL 証明書を取得できます。
厳選された追加プラグインサードパーティの開発者によって開発されているため、各プラグインの品質とセキュリティには常に疑問があり、開発者の経験にのみ依存します。追加のプラグインをインストールする場合は、その人気とプラグインがメンテナンスされる頻度を考慮して慎重に選択する必要があります。メンテナンスが不十分なプラグインは、簡単に悪用されるバグや脆弱性が発生しやすいため、避ける必要があります。
多くのプラグインには安全でない接続 (HTTP) 経由でリクエストを行うスクリプトが含まれているため、このトピックは SSL に関する前のトピックに追加されたものです。サイトが HTTP 経由でアクセスされている限り、すべて問題ないようです。ただし、暗号化を使用して SSL アクセスを強制すると、すぐに Web サイトの機能が壊れてしまいます。これは、HTTPS を使用して他の Web サイトにアクセスすると、これらのプラグインのスクリプトが HTTP 経由でリクエストを処理し続けるためです。
WordfenceをインストールするWordfence Feedjit Inc. によって開発された Wordfence は、現在最も人気のある WordPress セキュリティ プラグインであり、すべての本格的な WordPress Web サイト、特に WooCommerce またはその他の WordPress 電子商取引プラットフォームを使用する Web サイトには必須です。
Wordfence は、Web サイトを強化するさまざまなセキュリティ機能を提供するため、単なるプラグインではありません。 Web プログラム ファイアウォール、マルウェア スキャン、リアルタイム トラフィック アナライザー、および Web サイトのセキュリティを向上させるその他のさまざまなツールを備えています。ファイアウォールはデフォルトで悪意のあるログイン試行をブロックし、IP アドレス範囲によって国全体へのアクセスをブロックするように構成することもできます。 Wordfence で特に気に入っている点は、悪意のあるスクリプトなどの何らかの理由でサイトが侵害された場合でも、インストール後に Wordfence がサイト上の感染ファイルをスキャンして駆除できることです。
同社はこのプラグインに対して無料と有料の両方のサブスクリプション プランを提供していますが、無料プランでも Web サイトは満足のいくレベルを得ることができます。
/wp-admin と /wp-login.php を追加のパスワードでロックするWordPress バックエンドを保護するためのもう 1 つのステップは、自分以外のユーザーが使用する予定のないディレクトリ (URL など) に追加のパスワード保護を使用することです。 /wp-admin ディレクトリは、この主要ディレクトリのリストに属します。通常のユーザーに WordPress へのログインを許可しない場合は、パスワードを使用して wp.login.php ファイルへのアクセスを制限する必要があります。 Apache と Nginx のどちらを使用している場合でも、これら 2 つの記事にアクセスして、WordPress インストールをさらに保護する方法を学ぶことができます。
ユーザー列挙の無効化/停止これは、攻撃者がサイト上の有効なユーザー名を発見する (つまり、管理者のユーザー名を見つける) 非常に簡単な方法です。では、どのように機能するのでしょうか?これはとても簡単です。 WordPress サイトのメイン URL の /?author=1 をたどるだけです。例: wordpressexample.com/?author=1。
この問題から Web サイトを保護するには、Stop User Enumeration プラグインをインストールするだけです。
XML-RPCを無効にするRPC は Remote Procedure Call の略で、ネットワーク上の別のコンピュータにあるプログラムからサービスを要求するために使用できるプロトコルです。 WordPress の場合、XML-RPC を使用すると、Windows Live Writer などの一般的な Web ブログ クライアントを使用して WordPress ブログに投稿を公開できます。これは、WordPress モバイル アプリを使用する場合にも必要です。 XML-RPC は以前のバージョンでは無効になっていましたが、WordPress 3.5 ではデフォルトで有効になっているため、サイトはより大きな攻撃の可能性にさらされたままになります。さまざまなセキュリティ研究者は、これは大きな問題ではないと示唆していますが、Web ブログ クライアントや WP のモバイル アプリを使用する予定がない場合は、XML-RPC サービスを無効にする必要があります。
これを行うには複数の方法がありますが、最も簡単なのは、Disable XML-RPC プラグインをインストールすることです。
以上がWordPress ウェブサイトのセキュリティを強化する 5 つの実践的な方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。