デザイン

デザイン

WordPressのセキュリティ強化で不正ログインを防ぐ対策12選 自分でできる簡単な方法

LINE25

Line25 was built in March 2009 as a place to share web design ideas and inspiration through articles, tutorials and examples of stunning site designs.

本記事は、How to Protect the Admin Area of your WordPress Site
翻訳・再構成したものです。
配信元または著者の許可を得て配信しています。

2,784 views

読了時間 : 約3分28秒

最近は多くの人が個人的な又は職業的な目的のためにWordPressを使用しています。使いやすいプラットフォームと多種多様なテーマとテンプレートは多目的に使用できます。しかし利便性が良いゆえに、ハッカーなどの外部のエージェントによる潜在的な攻撃に対して弱いという弱点もあります。

 

使い続けるにはWordPressサイトの管理領域を確実に保護する必要があります。幸い安全に使用するために良い方法がいくつかあります。そのオススメ12の方法をご紹介いたします!

 

 

1 ロックダウン機能でWordPressのログインページを保護

 

ログインページからあなたのウェブサイトのバックエンドにアクセスします。ロックダウン機能を設定すると、簡単に許可されていないユーザーが侵入できないようにできます。ハッカーがサイトへのアクセスを複数回試みると自動的にアクティブになります。サイトがロックされて不正なアクティビティの通知を受け取るまでに、不正なログインを何回許可するかを指定できます。

 

2 ユーザー名としてメールアドレスを使用してログインする

 

WordPressの元々のログインシステムでは、ユーザー名の入力が必要です。大体のユーザー名は簡単に予測されやすく、リスクがあります。電子メールアドレスは推測するのが難しいため、ユーザー名を電子メールIDに置き換えるとより安全になります。

 

 

3 二要素認証を使用する

 

2要素認証(2FA)では、ユーザーは2つの別々のログイン詳細を入力する必要があります。ウェブサイトの所有者として、あなたは何の質問にするかを決めます。通常、パスワードに続いて秘密のコードや質問、または事前に決められ文字の組み合わせ、またはGoogleのオーセンティケータープラグインによってあなたの電話に送信される認識コードなどがあります。

 

4 ログインURLを変更する

 

デフォルトでは、あなたのWordPressログインページはサイトのURLにwp-login.phpまたはwp-adminを追加することによってアクセスできます。ログインURLを予測しずらいものに変更すると、何百万ものユーザー名とパスワードの組み合わせを持つ、いわゆるGuess Workデータベースを使用してサイトにアクセスしようとするハッカーがアクセスしずらくなります。

 

5 パスワードセキュリティを確保する

パスワードが簡単に推測されないようにすることは、簡単な方法なのにも関わらず多くのユーザが見落としがちな事です。大文字と小文字、数字、記号を組み合わせると、より複雑なパスワードで安全です。複雑なパスワードを作って安全に保存するパスワードマネージャの使用もお勧めします。

 

 

6 仮想プライベートネットワーク

 

インターネット上の情報の多くは、それを見ようとすれば誰でも見ることができます。Tunnelbear VPNなどのバーチャルプライベートネットワークを使用すると、特に公共Wifi接続を介してサイトを管理する必要がある時に、高いレベルでプライバシーが保護されます。VPNはデータを暗号化してVPNサーバー経由でルーティングするため、ハッカーにはわかりずらく発信元と宛先の両方が保護されます。

 

 

7 アイドルユーザーによる自動ログアウト

 

お茶を一杯飲みたくなった場合や電話に出た場合に、後からサイトにログインし直すのは面倒です。ただし、他人があなたの不在の間にWebサイトの情報を変更したり、サイトを完全に無効にしたりすると、かなり面倒になります。さまざまなプラグインを使用すると、ユーザーをロックアウトする前にサイトがアイドル状態を維持できる時間を調整できます。

 

 

8 wp-adminディレクトリをパスワードで保護する

 

wp-adminディレクトリはサイトの運営に不可欠であり、アクセスしようとするハッカーはサイト全体を損傷したり無効にしたりする可能性があります。プラグインを使用してwp-adminディレクトリを保護すると、ダッシュボードにアクセスするためにユーザーが2つのパスワードを送信する必要になります。1つ目はログインページを保護し、2つ目はadmin領域を保護します。

 

 

9 SSL証明書を入手する

 

Secure Socket Layer(またはSSL)証明書を使用すると、ユーザーのブラウザとサーバーの間でデータを安全に転送できます。いくつかのホスティング会社がパッケージの一部として提供するSSL証明書か、第三者のプロバイダーから購入することができます。耳寄りな情報として、SSL証明書を持つサイトは、Google検索で上位にランクされる傾向がありますので確認してみて下さい。

 

 

10 管理者アカウントのユーザー名「Admin」を選択しない

 

見落としがちな事ですが、「Admin」は多くのハッカーに推測されやすいユーザー名です。したがって、別のものを選択した方が良いでしょう。また、「Admin」を使用してログインを試みるIPアドレスを自動的に禁止するプラグインを追加するのも良い方法です。

 

 

11 新しいユーザーアカウントを追加するときは注意

 

一部のWordPressアカウントには複数のユーザーがいますが、これは避けられない場合があります。新しいユーザーを追加することが本当に必要かどうかを検討するときには注意が必要です。追加する場合は、各ユーザーに強力なパスワードを選択させるプラグインをインストールすることで、サイトのセキュリティを高める必要があります。

 

 

12 エンドポイントのファイアウォールとマルウェアスキャナを使用する

優れたファイアウォールは悪意のあるトラフィックを識別してブロックします。

また、効果的なマルウェアスキャナーは、サイトのコアファイル、マルウェアのプラグインとテーマ、コードインジェクション、悪意のある書き換え、SEOスパム、不正なURLなどの脅威を監視します。

おすすめ新着記事

おすすめタグ