コンテンツ管理システム（CMS）は、ユーザーが自分でコードを書くことなくウェブサイトを構(gòu)築、管理、カスタマイズできるようにするソフトウェアアプリケーションです。WordPressは、世界で最も人気のあるコンテンツ管理システムの1つであり、サイバー攻撃者にとって価値の高い標(biāo)的です。

WordPressの社內(nèi)チームは、定期的なセキュリティアップデートと、新たに発見されたシステムの脆弱性に対するパッチを提供していますが、WordPressユーザーが自分のサイトを既知の脅威や新たな脅威から確実に保護(hù)するためにできる対策もあります。これらの手順のほとんどは、脅威の排除とリスクの低減の2つのカテゴリーに分類されます。

WordPressの安全性は？

一般的なWordPressの攻撃

1. パスワード攻撃ブルートフォースパスワードの試行とは、攻撃者がログインページで異なるユーザー認(rèn)証情報(bào)（ユーザー名とパスワードの組み合わせ）を繰り返し入力することです。その他のパスワード攻撃には、クレデンシャルパディングや辭書攻撃があります。
2. クロスサイトスクリプティング攻撃（XSS）XSSは、WordPressのウェブサイトに悪意のあるコードを注入することができます。これは通常WordPressのプラグインを通して行われます。
3. SQLインジェクション（SQLi）SQLi攻撃は、データベースインジェクションと呼ばれることもあり、お問い合わせフォームなどのデータ入力フィールドを介してWordPressウェブサイトに悪意のあるコードを注入します。
4. DDoS攻撃DDoS 攻撃は WordPress ウェブサイトに大量の不要なトラフィックを送り込み、深刻なパフォーマンスの低下やサービスの中斷を引き起こします。

ワードプレスの脆弱性

1. 古いWordPressバージョン: WordPressは、既存の脆弱性にパッチを當(dāng)て、新たな脅威に対する防御を強(qiáng)化するために、コアソフトウェアを定期的に更新しています。舊バージョンのWordPressにはこのような保護(hù)機(jī)能がなく、攻撃に対して脆弱である可能性があります。
2. サードパーティのテーマとプラグインサードパーティのWordPressテーマやプラグインは幅広い機(jī)能を提供しますが、必ずしも最新のセキュリティ要件を満たしているとは限りません。そのため、WordPressサイトにそれらをインストールすることはリスクを伴います。
3. カウンター下WordPressのアカウントが攻撃者によってクラックされると、バックドア（セキュリティ対策を迂回する秘密の方法）を作成することができます。バックドアにより、攻撃者は WordPress サイトに繰り返しアクセスしたり、さらなる攻撃を仕掛けることができます。
4. 脆弱なユーザー認(rèn)証パスワードの衛(wèi)生管理（強(qiáng)力なパスワードの作成、パスワードの定期的な変更など）に注意を払わなかったり、多要素認(rèn)証（MFA）を?qū)毪筏胜盲郡辘工毪?、クラッキングのリスクが高まります?/li>
5. WordPressのデフォルト設(shè)定WordPressにはさまざまなデフォルト設(shè)定があるため、攻撃者が一般的な侵入口（/wp-login.php URLなど）や機(jī)密性の高いサイト情報(bào)（wp-config.phpファイルなど）を特定するのは簡(jiǎn)単です。

WordPressセキュリティのベストプラクティス

一般的なサイバー脅威や既知の脆弱性からWordPressのウェブサイトを保護(hù)するために、ユーザーができる対策がいくつかあります。これらの手順は通常、以下のカテゴリに分類されます：サイト設(shè)定、アクティブなセキュリティ機(jī)能、ユーザーアクセス、ユーザー権限、サイトセキュリティの更新.

I. ウェブサイト設(shè)定の保護(hù)

1. 金庫 WordPressホスティングWordPressウェブサイトのセキュリティは、ホスティングプロバイダー（ユーザーに代わってコンテンツを提供するサードパーティのサービス）に依存します。高度な攻撃に耐え、新たな脆弱性や脅威のスキャンを支援し、災(zāi)害復(fù)舊リソースを提供できるホストを選択する必要があります。
2. WordPressデフォルトのログインページURLとデータベース接頭辭の変更これらのURL（それぞれ/wp-login.phpと/wp-adminで終わる）は、すべてのWordPressサイトでデフォルトで有効になっているため、攻撃者が見つけやすくなっています。これらのURLは名前を変更することで、総當(dāng)たりパスワードクラックやその他の標(biāo)的型脅威を回避することができます。
3. wp-config.phpファイルを移動(dòng)します。: wp-config.phpファイルには、WordPressのセキュリティキーやその他のWordPressのインストールに関する機(jī)密情報(bào)が含まれています。殘念なことに、このファイルは非常に見つけやすくなっています。このファイルをWordPressのルートディレクトリの上に移動(dòng)すると、攻撃者が見つけるのが難しくなります。
4. 安全なWordPressテーマのインストールWordPress テーマの中には、WordPress の最新バージョンをサポートするように更新されていないものや、既存の WordPress セキュリティ標(biāo)準(zhǔn)に準(zhǔn)拠していないものがあります。その結(jié)果、攻撃者に悪用されやすくなっている可能性があります。インストールする前に、WordPressテーマディレクトリに含まれているテーマを選択するか、WordPress Theme Validatorで検証してください。
5. 使用しているWordPressのバージョンを隠すWordPressの攻撃の多くは、WordPressの異なるバージョンに固有の脆弱性を悪用します。どのバージョンのWordPressを使用しているかを隠すことで、ユーザーはこれらの脅威を回避したり、攻撃者がサイトに存在する脆弱性を発見しにくくしたりすることができます。

II.アクティブセーフティ裝備の裝著

1. SSL/TLS証明書の使用セキュア?ソケット?レイヤー（SSL）は、トランスポート?レイヤー?セキュリティ（TLS）としても知られ、ウェブ上で送信されるデータの安全性と暗號(hào)化を保証するセキュリティ?プロトコルです。SSL証明書は、ホスティング?プロバイダーまたはCloudflareなどのサードパーティ?セキュリティ?サービスから取得できます。

2. ファイアウォールの設(shè)置: Web Application Firewall (WAF) は WordPress ウェブサイトのフロントエンドに設(shè)置され、許可されていないトラフィックをフィルタリングおよびブロックするために使用されます。WAFを設(shè)置することで、DoS攻撃やDDoS攻撃によるウェブサイトのサービスへの大きな影響を防ぐことができます。
3. XML-RPCプロトコルによるHTTPリクエストのブロックXML-RPCは、大規(guī)模なネットワーク攻撃や総當(dāng)たり攻撃でよく使用されます。XML-RPCの機(jī)能は、プラグインやファイアウォールルールを使ってオプトアウトすることができます。
4. ホットリンクの防止ホットリンクは、第三者がWordPressサイトからコンテンツを埋め込むことを可能にします。これが繰り返されると、コンテンツの元のホストの帯域幅コストが増加します。

III.ユーザーアクセスの保護(hù)

1. MFAの実施MFAは、ユーザーが保護(hù)されたシステムやアカウントにアクセスする前に、追加の認(rèn)証フォームを提供することを要求し、攻撃者が正當(dāng)なユーザーのユーザー名とパスワードの組み合わせをクラックしたとしても、WordPressサイトに侵入することを困難にします。
2. ログイン失敗回?cái)?shù)の制限パスワード攻撃は、攻撃者がログインページで無制限に認(rèn)証情報(bào)を入力しようとすると成功しやすくなります。
3. 非アクティブユーザーの自動(dòng)キャンセル一部のユーザーは、公共のコンピューターから WordPress アカウントにアクセスしたり、その他の危険な閲覧習(xí)慣を身につけたりする可能性があります。一定期間操作がないと自動(dòng)的にログアウトすることで、盜み見やその他の不正アクセスを減らすことができます。第三者によるアクセスチャンスです。
4. 非アクティブなユーザーアカウントの削除たとえユーザーが自分のアカウントでWordPressサイトにアクセスしなくなったとしても、そのアカウントとログイン情報(bào)は攻撃者に狙われる可能性があります。

IV.ユーザー権限の管理

1. ファイルとフォルダのアクセス権の制限絶対に必要な場(chǎng)合を除き、ユーザーは管理者レベルの権限を持つべきではありません。ユーザーがWordPressサイトで実行できる機(jī)能を制限することで、不要なデータ共有の可能性を減らし、脆弱性の影響を最小限に抑えます。
2. 文書編集の禁止WordPressのデフォルトのファイルエディタでは、以下のことが可能です。PHPの編集 ファイルにアクセスできます。WordPressのアカウントがクラックされた場(chǎng)合、この機(jī)能によって攻撃者は大規(guī)模なウェブサイトファイルのコードを変更します。
3. ユーザーアクティビティの監(jiān)視WordPress の攻撃は、外部と內(nèi)部の両方から來る可能性があります。不審な行動(dòng)（ファイルの変更、未承認(rèn)のプラグインのインストールなど）を追跡するために、ユーザーの行動(dòng)を定期的にログに記録し、確認(rèn)してください。

V. WordPressのセキュリティ機(jī)能の更新

1. WordPressの最新バージョンへのアップデートWordPress は、既知の脆弱性を防御するために定期的に更新されています。WordPress ダッシュボードの上部にある通知を確認(rèn)してください。ダッシュボードで "更新"Wordpressが最新バージョンかどうか確認(rèn)してください。

2. WordPressテーマとプラグインの更新すべてのテーマとプラグインは、攻撃者にとって潛在的な侵入口です。WordPressの古いバージョンに大きな脆弱性が含まれていることがあるように、攻撃者はWordPressユーザーに対して古いテーマやプラグインを使用することがよくあります。これはインストルメントパネルもしかしたらインストールされているプラグイン右プラグイン更新してください。
3. 定期的なセキュリティ?スキャンの実施使用信用できるマルウェアやその他のセキュリティリスクを自動(dòng)的にチェックするセキュリティプラグイン、ソフトウェア、またはサードパーティのサービス。
4. ウェブサイトデータの定期的なバックアップ育てるウェブサイトデータの定期的なバックアップ攻撃された場(chǎng)合、失われたデータは最近のウェブサイトのバックアップによって復(fù)元することができます。

概要

これらの手順を踏むことで、WordPressウェブサイトのセキュリティを大幅に向上させ、さまざまなサイバー脅威や既知の脆弱性からウェブサイトを保護(hù)することができます。ウェブサイトのセキュリティを維持することは、データの完全性を保護(hù)するだけでなく、ユーザーの信頼を高め、ウェブサイトの長期的な安定を?qū)g現(xiàn)することにもつながります。

お問い合わせ
チュートリアルが読めない？無料でお答えします！個(gè)人サイト、中小企業(yè)サイトのための無料ヘルプ！	カスタマーサービス WeChat
① 電話：020-2206-9892
② QQ咨詢：1025174874
三 Eメール：info@361sale.com
④ 勤務(wù)時(shí)間: 月～金、9:30～18:30、祝日休み