WordPress Webサイトの保護–概要

公開: 2020-08-25

序章

WordPressは、 C ontent Management System（CMS）と呼ばれるWebサイト構築ツールであり、HTML、PHP、またはWebテクノロジーについて何も知らなくても、美しく強力なWebサイトを簡単に作成できます。この柔軟性とパワーにより、WordPressはめちゃくちゃ人気があります。これは現在、4億5500万を超えるWebサイトまたはインターネット全体の35％に電力を供給しているナンバーワンのCMSです。ウェブサイトをスタイリッシュに見せ、必要なすべての機能を備え、WordPressが提供する最も強力なSEOツールを利用したい場合。

WordPressの人気により、WordPressサイトのあらゆる側面を簡単に拡張および強化する、非常に豊富なテーマ、プラグイン、およびツールのエコシステムが作成されました。残念ながら、この人気はWordPressをハッカーにとって魅力的なターゲットにします。これは、いくつかの関連する理由で発生します。まず、4億5500万のサイトがWordPressを実行しているため、ハッカーがエクスプロイトを発見できれば、5億近くのWebサイトに侵入し、必要なものを利用できる可能性があります。

第二に、膨大な数のアドオンとプラグインの中には、作成者によって十分に記述されていない、保守が不十分である、または放棄されているものもあります。これにより、ハッカーは強化されたWordPressコアよりもはるかに簡単にWordPressWebサイトへのエントリポイントを利用できます。膨大な数のWordPressサイトは、比較的人気のないプラグインでさえ、多くのWordPressWebサイトで使用できることを意味します。

この記事では、WordPress Webサイトを保護するための基本事項について説明します。これにより、WordPressのパワーをデメリットに悩まされることなく楽しむことができます。

ハッカーとボットのブロック

Webサイトは、ほぼ定義上、インターネットと「通信」する必要があります。つまり、理想的な世界では、誰でもWebページに対して丁寧で整形式のリクエストを行うことができ、WordPressWebサイトはページを返すことで応答します。私たちが理想的な世界に住んでいないことに気づいたかもしれません。その結果、ハッカー、犯罪者、スクリプトキディは、WordPress Webサイトを悪用して侵入したり、改ざんしたりするために考えられるあらゆる手法を試します。

泥棒の侵入を防ぐために家に強力な施錠された正面玄関があるのと同じように、WordPress Webサイトの前に頑丈なネットワークバリアを作成して、ハッカーがサイトを破壊するのを防ぐことができます。

管理者としての利点は、攻撃者がWordPressサイトにアクセスできるネットワークトラフィックを正確に制御できることです。効果的なツールを展開して、サーバーに到着するトラフィックを選別し、悪意のあるトラフィックを除外して破棄し、WordPressWebサイトを保護することができます。

次の3つのトラフィックフィルタリングツールは、WordPressWebサイトに到着するネットワークトラフィックのさまざまなプロパティを監視します。

パケットフィルターファイアウォール。
Webアプリケーションファイアウォール。
ブルートフォースとボットの監視。

最初のツールであるパケットフィルターは、ほとんどの人が「ファイアウォール」という言葉を聞いたときに思い浮かぶものです。このセキュリティツールは、非常に基本的なレベルでネットワークトラフィックのプロパティを調べます。これらのプロパティは、パケットの宛先、発信元、パケットのプロトコルなど、さまざまなものです。ファイアウォールは、許可されたプロパティとブロックされたプロパティのリストを保持し、これらのルールに違反するパケットを破棄します。これらのルールを微調整して、サーバーを保護するための脅威に対応できます。

2番目のツールであるWebアプリケーションファイアウォール（WAF）は、着信Webリクエストを調べ、悪意のある不正な形式のリクエストがWordPressで処理されないようにすることで機能します。多くの攻撃は、意図的に非標準のリクエスト、または機密性の高いWordPressファイルのリクエストを作成することに依存しています。 WAFはこれらのリクエストを破棄し、本物の正しくフォーマットされたリクエストのみを許可します。

最後のツールであるブルートフォースおよびボット検出器は、WordPressサイトに対するブルートフォース攻撃を阻止します。ブルートフォース攻撃とは、攻撃者が、機能するペアを推測することを期待して、何千ものユーザー名とパスワードの組み合わせを送信することにより、WordPressWebサイトにログインしようとすることです。ブルートフォース保護は、これらの多くの失敗したログイン試行に気づき、その人またはボットがそれ以上の試行を行うことを自動的に禁止します。

WordPress Webサイトをお持ちの場合は、これら3つのネットワークセキュリティツールすべてを構成および保守する必要があります。これらのツールを最大限に活用し、サイトの最高レベルのセキュリティを実現することは困難です。

マルウェアスキャン

マルウェアは、悪意のある、または犯罪的な意図を持つソフトウェアの総称です。マルウェアにはさまざまな形やサイズがあり、WordPressのWebサイトに簡単に侵入する可能性があります。 WordPressの複雑さは、サイトにマルウェアが発生する可能性のあるさまざまな方法があることを意味します。ただし、ハッカーの間で最も人気があるのは、プラグインまたはテーマを使用することです。これは、ハッカーが悪意のあるコードを故意に含めることによる可能性がありますが、単にコーディングエラーである可能性が高くなります。小さな、見つけにくいコーディングエラーにより、攻撃者はPHPスクリプトを悪用して、サイトに悪意のあるコードを配置する可能性があります。

明らかに、WordPress Webサイトのすべてのコードを最新の状態に保つことは、バグが修正され、悪意のあるコードが見つかった場合に削除されるため、これらの攻撃をブロックするために不可欠です。ただし、更新は、特定された問題にのみ役立ちます。それでも、まだ修正されていない、または更新をまだ適用していない犯罪者によって積極的に悪用されている多くの問題が残っています。

これが、効果的なマルウェアスキャンが不可欠である理由です。優れたマルウェアスキャンは、ラップトップのウイルス対策スキャナーと同じように機能します。 WordPress Webサイトを継続的にスキャンし、検出したすべてのファイルを最新のマルウェアリストと照合し、検出したマルウェアを隔離する必要があります。

効果的なマルウェアスキャナーのインストール、構成、および保守は簡単ではありません。最新の状態に保ち、頻繁に実行する場合にのみ効果的です。古くなることが許可されている場合、WordPressWebサイトが危険にさらされる可能性があります。

マルウェアがWordPressにどのように感染し、それに対して何ができるかを包括的に確認するには、マルウェアスキャンの記事「マルウェアとWordPress –クリーンな状態を維持する」をご覧ください。

私はこれらすべてをどのように行うことになっていますか？

WordPress Webサイトを趣味で運営している場合、これらのセキュリティ問題に対処するツールのインストール、構成、保守、および修正は、優れた学習体験になる可能性があります。結局のところ、混乱した場合に失うものはそれほど多くありません。

ただし、WordPress Webサイトがミッションクリティカルであり、すべてを安全に保つための経験とドメイン固有の知識がない場合は、RocketのようなエキスパートのマネージドWordPressホスティングソリューションを探す必要があります。 Rocketは、業界をリードするセキュリティツールを自動的かつ継続的に展開し、WordPressインスタンスのすべての層でWordPressサイトのセキュリティを引き継ぎます。

サインアップしてWordPressWebサイトを起動し、美しいWordPressサイトの作成に飛び込んでください。