AIOSEOブログ

ビジネスの成長に役立つWordPressのチュートリアル、ヒント、リソース

ウェブサイトのセキュリティを強化する方法を知りたいですか?それなら、この記事はまさにあなたのためのものです。

ウェブサイトのセキュリティ:WordPressウェブサイトを安全にする8つのヒント

更新日 執筆者 著者アバター 加藤ンクホマ
著者アバター 加藤ンクホマ
加藤はペンを持って生まれた珍しい一角獣の一人である。彼は2冊の本を執筆し、何百ものブランドのためにコンテンツを制作している。AIOSEOでコンテンツを制作していないときは、YouTubeで技術系のビデオを見るか、子供と遊んでいる。もし彼を見つけられないなら、おそらくキャンプに出かけていることだろう。
略歴を見る
レビュー レビュアーアバター ベン・ロハス
レビュアーアバター ベン・ロハス
ベン・ロハスはWordPressのエキスパートであり、All in One SEO (AIOSEO)の社長です。25年以上にわたるIT分野での強固な基盤を持つベンは、テクノロジーとデジタルランドスケープにおける深い専門知識を培ってきました。
略歴を見る
LinkedIn

Webサイトのセキュリティを強化するにはどうすればいいのだろう?

WordPressのセキュリティは、ウェブサイトの成功に多くの影響を与えるため、すべてのウェブサイトの所有者にとって非常に重要なトピックです。 

ありがたいことに、WordPressはプラットフォームの安全性を確保するために多くのことを行ってきた。しかし、WordPressの最大の特徴は、オープンソースのコンテンツ管理システム(CMS)であるというアキレス腱でもあります。誰でもソースコードを変更できるため、多くのプラグイン、テーマ、その他のツールが、コードと統合したり、コードを変更したりするために開発されています。これらは、あなたのウェブサイトの完全性を損なうさまざまな重大な脆弱性にあなたのウェブサイトを開くことができます。

だからこそ、ウェブサイトのセキュリティを向上させるための対策を講じる必要があるのだ。

ご心配なく。難しい作業に聞こえるかもしれませんが、適切な手順を踏めば、WordPressウェブサイトのセキュリティ確保は簡単です。 

なぜウェブサイトのセキュリティが重要なのか?

趣味のサイトであれ、ビジネスのサイトであれ、アフィリエイト・マーケティングのサイトであれ、その他の種類のサイトであれ、安全性を保つことは常に優先されなければなりません。

ウェブのセキュリティは、以下に挙げる多くの理由から重要である。

ここでは、ウェブサイトのセキュリティが重要である4つの主な理由を説明します:

  1. 情報を守るセキュリティ侵害は、攻撃者があなたやあなたの顧客の貴重な情報にアクセスできるようにする可能性があります。この情報は、攻撃者が多くの悪意のある活動に使用することができ、損害を与える可能性があります。
  2. 評判を守る:あなたのウェブサイトが攻撃に対して脆弱であることが知れ渡ると、あなたの評判は低下します。その結果、顧客を失うことにもなりかねません。
  3. ウェブサイト訪問者はそれを期待している:ウェブサイト訪問者は、セキュリティがしっかりしているウェブサイトをより快適に閲覧します。そのため、ウェブサイトに安全でない兆候があれば、直帰率の上昇やコンバージョンの低下につながる可能性があります。
  4. 検索エンジンは安全なウェブサイトを促進します:ウェブサイトのセキュリティは、SEO戦略において大きな役割を果たします。検索エンジンは、安全でないウェブサイトよりも安全なウェブサイトを好むからです。

Webサイトのセキュリティが重要であるいくつかの理由がお分かりいただけたと思います。

ウェブサイトのセキュリティ:知っておくべきWordPressのセキュリティ脆弱性と攻撃の5つのタイプ

ウェブサイトのセキュリティを強化するには、さまざまな脆弱性と攻撃から身を守るための方法を知っておく必要があります。以下は、よくある5つの脆弱性です:

1.フィッシング

フィッシングとは、攻撃者が合法的な企業やサービス・プロバイダーを装ってあなたに接触することです。フィッシングを試みる背景には、個人情報を漏らしたり、危険なウェブサイトにアクセスさせたり、マルウェアをダウンロードさせたりする目的があります。悪意のあるエージェントがWordPressの管理画面にアクセスした場合、あなたを装って顧客にフィッシング攻撃を行うことも可能です。

2.ブルートフォース攻撃

ブルートフォース攻撃は、ウェブサイトに対する最も単純なタイプの攻撃です。この攻撃は、攻撃者がオートメーションを使ってユーザー名とパスワードの組み合わせを何種類も入力し、正しい組み合わせを得ようとするものです。

3.バックドア

バックドア攻撃とは、ハッカーが標準的なWordPressログインをバイパスするマルウェアをインストールすることで、ウェブサイトのセキュリティを侵害することです。これにより、攻撃者はいつでもサイトにアクセスできるようになります。バックドア攻撃を実行するために、ハッカーは合法的な、または合法的に見える他のWordPressソースファイルの中にバックドアを配置します。バックドアの可能性を減らすために、WordPressはユーザーがアップロードできるファイルの種類を制限し、監視しています。しかし、これは依然として注意すべき攻撃の一種です。

4.サービス拒否(DoS)攻撃

DoS攻撃は、許可されたユーザーがウェブサイトやネットワークにアクセスできないようにするために行われる。これは通常、ウェブサイトに圧倒的な量のトラフィックを送り込み、クラッシュさせることで達成される。この種の攻撃の影響は、分散型サービス拒否攻撃(DDoS)の場合に悪化します。DDoSは、侵害された複数のコンピュータ上で一度に実行されます。

この種の攻撃では、犯人がウェブサイトを人質に取り、サービスの中断を終わらせるために身代金を要求することがよくあります。 

5.SQLインジェクションとクロスサイトスクリプティング(XSS)

SQLインジェクションとXSSはどちらも、悪意のあるコードを注入して情報を盗んだり、ウェブサイトの機能に悪影響を与えたりするものです。違いは、SQLインジェクション攻撃は直接データベース(あなたのウェブサイト)を標的とすることです。一方、XSS攻撃は、訪問者のデータを盗むために開発された危険なウェブサイトにユーザーを誘導します。

基本を押さえた上で、ウェブサイトを保護しましょう。

ウェブサイトのセキュリティを強化する方法 - 8つのヒント

ここまで、ウェブサイトのセキュリティの重要性と、セキュリティ上の問題点について見てきましたが、ここからはWordPressのウェブサイトを保護するためにできる対策について説明します。

1.セキュリティに配慮したホスティングプロバイダーに投資する

Webサイトのセキュリティを考えるとき、まず最初に選ぶべきはホスティングプロバイダーです。常にセキュリティを優先し、セキュリティ強化機能をパッケージの一部として提供しているホスティングプロバイダーを選びましょう。これは、ウェブアプリケーションファイアウォール(WAF)、SSL/TLS証明書、DDoS保護などの機能です。また、優れたホスティングプロバイダーは

  • ネットワークのセキュリティを監視する
  • ハッカーによる既知の脆弱性の悪用を防ぐため、ハードウェア、PHPのバージョン、サーバーソフトウェアを常に最新の状態に保つ。
  • 情報漏えいが成功した場合に備えて、災害復旧ツールと戦略を追加する。

セキュリティとは別に、サポートについても検討しましょう。優れたサポートチームがあれば、ウェブホストは悪意のある攻撃から素早く回復する手助けをしてくれます。

セキュリティに配慮した優れたホスティングプロバイダが必要な場合は、共有ホスティングのBluehostと Sitegroundをお勧めします。マネージドWordPressホスティングなら、WPEngine以上のホスティングプロバイダはありません。WPEngineは、サイバーセキュリティとWebサイトを安全に保つ方法を熟知しています。

2.WordPressサイトをSSL/HTTPSに切り替える

セキュア・ソケット・レイヤー(SSL)は、ウェブサイトとユーザーのブラウザ間で転送されるデータを暗号化するセキュリティ・プロトコルです。暗号化することで、悪意のある行為者があなたやウェブサイトの訪問者の情報を盗み見ることが難しくなります。

SSLを有効にすると、ウェブサイトはハイパーテキスト転送プロトコル(HTTP)の代わりに、より安全なハイパーテキスト転送プロトコル(HTTPS)を使用するようになります。SSLを有効にすると、検索エンジンはブラウザのウェブサイトのアドレスの横に南京錠のサインを表示し、より安全なバージョンを使用していることを示します。

ウェブサイトを HTTPS に移行することは、強固なウェブ・セキュリティに向けた良いステップです。

SSL証明書は認証局によって発行され、コストがかかる。このようにウェブサイト運営にコストがかかるため、多くのウェブサイト所有者は、より安全なプロトコルへの切り替えに消極的でした。しかし、ありがたいことに、現在では多くの無料SSL証明書プロバイダーが市場に出回っており、乗り換えない言い訳はありません。

しかし、無料のSSL証明書は、あなたのウェブサイトで支払いを受け入れたり、非常に機密性の高い顧客情報を扱う場合、十分なセキュリティを提供するにはあまりにも限られています。ホスティングサービスに付属している無料SSL証明書よりも強固なSSL証明書が必要な場合は、Domain.comからの購入をご検討ください。Domain.comのSSL証明書には10,000ドルのセキュリティ保証とTrustLogoセキュリティシールが付いています。

まだの方は、サイトをHTTPSに移行しましょう。

3.WordPress、テーマ、プラグインを常にアップデートする

ウェブサイトのセキュリティを常に万全にするもうひとつの方法は、WordPressを常にアップデートしておくことだ。WordPressは自動的にマイナーアップデートをインストールしますが、メジャーアップデートは受け入れる必要があります。WordPressが常にアップデートされていることを確認する以外に、テーマやプラグインも常にアップデートしておくように警戒する必要があります。 

同様に、ウェブサイトにインストールするテーマやプラグインも慎重に吟味しましょう。信頼できるデベロッパーのものであること、定期的にアップデートされていることを確認してください。 

WordPress、テーマ、プラグインを常に最新の状態に保つことは、ウェブサイトのセキュリティにとって良い習慣です。

WordPress、テーマ、プラグインのアップデートを怠ると、セキュリティの脆弱性にさらされる可能性があります。常に必要な時間を割いて、すべてをアップデートしておきましょう。これには、使っていない古いプラグインやテーマを削除することも含まれます。

4.ログイン手順が安全であることを確認する

ウェブサイトに対する一般的な攻撃のほとんどは、ログイン認証情報を盗むものです。そのため、WordPressのウェブサイトを安全に保つための最も重要なステップの1つは、ログイン手順を確実に弾丸のようなものにすることです。

二要素認証を導入することも、ウェブサイトのセキュリティを強化する優れた方法です。

そのためのヒントがいくつかある:

  • 強力なパスワードを使用する:あなたとあなたのユーザーは、常に強固なパスワードを使用するようにしましょう。そのための1つの方法は、パスワード・マネージャーを使用して、全員のパスワードを生成・管理することです。
  • 二要素認証(2FA)の有効化:2FAとは、通常の1ステップではなく、2ステップを必要とするログインプロセスを指す。2つ目のステップでは通常、スマートフォンなどのデバイスでコードを取得する。2FAを有効にするには、LastPass Authenticatorや Authyのようなツールをインストールする必要があります。
  • ログイン試行を制限する:ユーザーが間違ったログイン認証情報を入力できる回数を制限することは、ブルートフォース攻撃を防ぐ優れた方法です。このために使える素晴らしいプラグインがLimit Login Attempts Reloaded です。
  • 自動ログアウトを有効にする:たいていの人はウェブサイトからログアウトしますが、つい忘れてしまいがちです。悪意のあるエージェントがそのアカウントを盗み見し、危険にさらす可能性があります。Inactive Logoutのようなプラグインを使って自動ログアウトを有効にすれば、ウェブサイトのセキュリティが向上します。
  • ユーザー名に "admin "を使わない:管理者アカウントは通常、ブルートフォース攻撃の最初の標的になります。そのため、ユーザー名に "admin "を使うのは避けるべきです。

その他のログイン手順としては、"captcha "プラグインを使用することや、多くのユーザーに管理者権限を与えないことなどが挙げられる。

ログインプロセスを安全にすることで、悪意のある行為者がウェブサイトを侵害することが難しくなります。 

5.WordPressのバックアップソリューションを持つ

どんなにウェブサイトのセキュリティを強化しても、100%ということはありえません。だからこそ、セキュリティ戦略の重要な部分は、ウェブサイトのバックアップを常に取っておくことなのです。

ウェブサイト・セキュリティの最良の原則の1つは、ウェブサイトを定期的にバックアップすることです。

バックアップは、あなたのウェブサイトに何か起こった場合に迅速に復元することができます。ウェブサイトのバックアップについて知っておくべき最も重要な要素の1つは、ホスティングアカウントではなく、リモートロケーションにフルサイトのバックアップを定期的に保存することです。サイトのバックアップは、AmazonやDropboxなどのクラウドサービス、あるいはStashのようなプライベートクラウドサービスに保存することをお勧めします。

ありがたいことに、ウェブサイトのバックアップに使えるWordPressのバックアップ・プラグインは、無料・有料を問わずたくさんある。信頼できるものには、UpdraftPlusと BlogVaultがある。この2つのプラグインの利点は、コード不要のプラグインなので初心者に優しいことです。

6.WordPressのセキュリティ・プラグインをインストールする

バックアップの他に、WordPressのセキュリティ・プラグインをインストールして有効化する必要がある。

もうひとつのウェブサイトのセキュリティ対策は、セキュリティ・プラグインをインストールすることだ。

これにより、ウェブサイト上で起こるすべてのことを監査、監視、追跡することができます。例えば、セキュリティ上の問題などです:

  • ファイルの整合性監視
  • ログイン失敗
  • マルウェアスキャン
  • ホットリンク(コンテンツ盗用の一種)の防止

無料で使えるWordPressのセキュリティ・プラグインとしては、Sucuri Scannerがあります。また、より強固なウェブサイトのセキュリティのために、有料プランにアップグレードすることもできます。

7.ウェブアプリケーションファイアウォール(WAF)を有効にする

WordPressのウェブサイトを保護する最善の方法の1つは、ウェブアプリケーションファイアウォール(WAF)を使用することです。WAFは、インターネットからのトラフィックをフィルタリングして監視することで、悪意のあるトラフィックがウェブサイトに到達する前にすべてブロックするからです。WAFを使用して防ぐことができる攻撃の例には、XSS、SQLインジェクション、クッキーポイズニングなどがあります。

ウェブサイトに実装できるWAFレベルの例としては、以下の2つがある:

  1. DNSレベルのウェブサイトファイアウォール:このタイプのファイアウォールは、あなたのウェブサイトのトラフィックをクラウドプロキシサーバー経由でルーティングし、あなたのサイトに来るトラフィックをフィルタリングします。これにより、サーバーは本物のトラフィックのみをウェブサーバーに送ることができます。
  2. アプリケーションレベルのファイアウォール:サーバーレベルで動作するDNSファイアウォールとは異なり、アプリケーションレベルのファイアウォールは、トラフィックがサーバーを通過した後、WordPressスクリプトを読み込む前に検査します。 

ファイアウォールは、その仕組みから、ウェブサイトへの脅威の侵入を防ぐ優れた手段です。しかし、ファイアウォールは単独で使用するのではなく、セキュリティ対策システムの一部として使用する必要があります。

ここでも、Sucuriはこの部門でよく機能し、ファイアウォール・ソリューションとして強く推奨される。しかし、ファイアウォールによる保護が受けられるのは有料プランのみです。 

8.ファイルパーミッションをロックする

ウェブサイト上の情報、データ、コンテンツのほとんどは、一連のファイルやフォルダに保存されています。ファイルやフォルダは階層構造になっており、それぞれにパーミッションレベルが割り当てられています。これらのパーミッションは、ユーザーがファイルに対してできること、つまり、閲覧、編集、または特定のユーザーのアクセスを制限することを決定します。 

cPanelのファイルマネージャーセクションからアクセスできます。

WordPressでは、ファイルのパーミッションは3桁の数字で表され、それぞれの数字には意味がある。典型的な例は755です。

ウェブサイトのセキュリティを強化する素晴らしい方法は、ファイルのパーミッションを変更することです。

この数字は何を意味するのか?

  • 最初の桁は「ユーザー」、つまりサイトの責任者を表す。
  • 2桁目は「グループ」(サイトのメンバー)を表す。
  • 3桁目は "World"、つまりあなたのウェブサイトと利害関係のない他のすべての訪問者を表しています。

ファイルのパーミッションレベルを解読するのに役立つコードがここにある:

0:ファイル/フォルダにアクセスできない

1: ファイル/フォルダのみ実行可能

2: ファイル/フォルダを編集できる

3: ファイル/フォルダの編集と実行が可能

4: ファイル/フォルダを読むことができる

5: ファイル/フォルダを読み込んで実行できる

6: ファイル/フォルダの読み取りと編集が可能

7: ファイル/フォルダの読み込み、編集、実行が可能。

例を見てみよう。あるファイルのパーミッションレベルが700だとします。これは、ユーザー(サイトオーナー)はそのファイルを読み、編集し、実行することができますが、それ以外の人はアクセスできないことを意味します。一方、パーミッションレベル755のファイルは、誰でも読み取りと実行ができますが、サイトオーナーだけが編集できます。

これは複雑に見えるかもしれませんが、パーミッションを変更する方法を知ることは、あなたのウェブサイトを保護するもう一つの優れた方法です。ファイルやフォルダのパーミッションレベルを変更するには、そのファイルをクリックし、cPanelメニューのパーミッションオプションをクリックします。

ファイルパーミッションを変更してウェブサイトのセキュリティを強化するには、cPanelでファイルにアクセスする必要があります。

ファイル/フォルダのパーミッションを編集するウィンドウが開きます。

各人がサイト上のさまざまなファイルやフォルダにアクセスできるレベルを確保することは、サイトのセキュリティを強固にするために不可欠です。

一般的な経験則として、WordPressはフォルダのパーミッションレベルを755に、ファイルのパーミッションレベルを644に設定することを推奨している。しかし、どのレベルに設定しても構いません。ただ、どのユーザーにも必要以上のアクセス権を与えないようにしなければなりません。これは、特にコアファイルについてです。

ウェブサイトのセキュリティ-妥協は許されない

ウェブサイトのセキュリティは決して軽視できるものではありません。結局のところ、ウェブサイトが侵害された場合、その修復に数日から数週間を費やすことになります。最悪の場合、顧客データまで漏洩してしまうかもしれません。もちろん、これはあなたのコストと評判を台無しにする可能性があります。 

だからこそ、ウェブサイトのセキュリティに関しては、常にプロアクティブであるべきで、リアクティブであってはならない。

これらのヒントをもとに、ウェブサイトのセキュリティを強化しよう。

セキュリティーを強化するだけでなく、成功のために必要なもうひとつの要素は、SEOを強化することだ。

ありがたいことに、これはセキュリティ面ほど複雑ではない。特に、AIOSEOのような強力なWordPress SEOプラグインがあればなおさらだ。AIOSEOを使えば、コードを一行も触ることなくウェブサイトのSEOを強化することができる。そう、それにはサイトマップ、スキーママークアップ、リダイレクトなどの複雑な側面も含まれる。

ウェブサイトのセキュリティ強化に取り組む際には、ぜひAIOSEOをダウンロードして、ランキングをアップさせてください。  

AIOSEOを無料で試したいですか?

AIOSEO LiteをインストールするWordPressサイトのURLを入力してください。

このフォームを入力するには、ブラウザのJavaScriptを有効にしてください。

情報開示私たちのコンテンツは読者支援型です。つまり、あなたが私たちのリンクをクリックした場合、私たちはコミッションを得る可能性があります。私たちは、読者に付加価値をもたらすと信じる製品のみを推薦します。

著者アバター
カトー・ンクホマ コンテンツライター
加藤はペンを持って生まれた珍しい一角獣の一人である。彼は2冊の本を執筆し、何百ものブランドのためにコンテンツを制作している。AIOSEOでコンテンツを制作していないときは、YouTubeで技術系のビデオを見るか、子供と遊んでいる。もし彼を見つけられないなら、おそらくキャンプに出かけていることだろう。
略歴を見る
SEO コンテンツマーケティング メールマーケティング

コメントを追加する

コメントをお寄せいただきありがとうございます。すべてのコメントはプライバシーポリシーに従って管理され、すべてのリンクはnofollowであることにご留意ください。名前欄にはキーワードを使用しないでください。個人的で有意義な会話をしましょう。

4 comments on "ウェブサイトのセキュリティ:WordPressウェブサイトを安全にする8つのヒント"

  2. 素晴らしい投稿だ。私もこのような問題に取り組んでいる。

    返信

    1. ご丁寧にありがとうございます。記事がお役に立てて何よりです。

      返信