ウェブサイトが侵害されたと知るほど悪いことはありません。WordPress管理エリアはハッカーの主な侵入口であり、サイトを保護する上で最も重要な部分です。
ブルートフォース攻撃やデータ盗難について考えるとストレスになることは承知しています。多くのウェブサイト所有者は、ダッシュボードを適切に保護するための技術的なスキルがないのではないかと心配しています。
素晴らしいニュースは、セキュリティの専門家でなくても大きな影響を与えることができるということです。何千ものWordPressサイトを管理してきた経験から、強力な防御を構築するには、いくつかの簡単な変更で十分であることがわかりました。
このガイドでは、管理エリアを保護するための最も効果的なヒントを順を追って説明します。これらの簡単な手順により、安心感が得られ、ウェブサイトを安全に保つことができます。
ここでは多くのヒントを紹介します。以下のクイックリンクを使用して、各ヒントにジャンプできます。
- 1. ファイアウォールを使用する
- 2. WordPress管理ディレクトリにパスワード保護をかける
- 3. 必ず強力なパスワードを使用する
- 4. WordPressログイン画面で二段階認証を使用する
- 5. ログイン試行回数の制限
- 6. IPアドレスへのログインアクセスを制限する
- 7. ログインヒントを無効にする
- 8. ユーザーに強力なパスワードの使用を要求する
- 9. 全ユーザーのパスワードリセット
- 10. WordPressを常に最新の状態に保つ
- 11. カスタムログインおよび登録ページを作成する
- WordPressのユーザーロールと権限について学ぶ
- 13. WordPressダッシュボードへのアクセスを制限する
- 14. アイドルユーザーをログアウトさせる
- WordPress管理のセキュリティに関するよくある質問
- WordPress セキュリティに関する追加リソース
1. ファイアウォールを使用する
Webサイトアプリケーションファイアウォール(WAF)は、サイトのトラフィックを監視し、悪意のあるリクエストがサーバーに到達する前にブロックします。これは、ハッキング試行に対する最初の防御線です。
WordPressファイアウォールプラグインはいくつかありますが、CloudflareのようなDNSレベルのファイアウォールをお勧めします。DNSレベルのファイアウォールは、脅威をネットワークのエッジでブロックするため、悪意のあるトラフィックがウェブサイトに到達することさえなく、より効果的です。
WPBeginnerでは、Cloudflareのエンタープライズプランを使用して、ウェブサイトをハッキング試行、マルウェア、その他の悪意のあるアクティビティから保護しています。ステップバイステップの設定手順については、ウェブサイトにCloudflareの無料CDNを設定する方法に関する記事をご覧ください。
もう1つの優れた選択肢はSucuriで、以前はこれを使用していました。詳細については、SucuriからCloudflareに切り替えた理由に関する記事をご覧ください。
2. WordPress管理ディレクトリにパスワード保護をかける
私たちが非常に効果的だと感じたもう一つのヒントは、WordPress管理ディレクトリにパスワード保護を追加することです。これにより、ダッシュボードにアクセスするために2つの異なるパスワードが必要となり、防御層が追加されます。
これはWordPressウェブホスティングのコントロールパネルから行うことができます。cPanelの手順は次のとおりです。
- WordPressホスティングのcPanelダッシュボードにログインし、「ディレクトリプライバシー」アイコンをクリックします。
- 通常、
/public_html/ディレクトリ内にあるwp-adminフォルダを選択します。 - 「このディレクトリにパスワード保護を適用する」の横にあるチェックボックスをオンにし、名前を入力します。
- 「保存」をクリックしてから、新しいユーザー名とパスワードでユーザーを作成するために戻ってください。
これで、管理ログインページにアクセスしようとする人は誰でも、最初に認証プロンプトが表示されます。
これにより、ほとんどの自動ボット攻撃を防ぐことができます。
より詳細な手順については、WordPress管理画面(wp-admin)ディレクトリにパスワード保護をかける方法に関するガイドをご覧ください。これらの手順はcPanelを使用しているホスト向けです。異なるコントロールパネルを使用している場合は、ホストのドキュメントを確認してください。
3. 必ず強力なパスワードを使用する
すべてのWordPressアカウントには、強力で複雑なパスワードを使用する必要があります。弱いパスワードは、ウェブサイトがハッキングされる最も一般的な理由の1つです。
強力なパスワードは、大文字と小文字の英字、数字、および特殊文字(!、#、@、%、など)の組み合わせを使用します。長いほど安全になります。
数十個の複雑なパスワードをすべて覚えるのはほぼ不可能です。そのため、WPBeginnerのチーム全体で、1Passwordのようなパスワードマネージャーアプリを使用して、すべてのサービスにユニークなパスワードを安全に生成および保存しています。
このトピックの詳細については、WordPress初心者向けのパスワード管理の最良の方法に関するガイドをご覧ください。
4. WordPressログイン画面で二段階認証を使用する
2段階認証(ツーファクター認証、2FAとも呼ばれる)は、もう1つの重要なセキュリティレイヤーを追加します。私たちはWordPressウェブサイトだけでなく、オプションが利用可能なすべてのオンラインアカウントで2FAを使用しています。
パスワードを入力した後、携帯電話上のアプリ(1PasswordやAuthenticatorなど)で生成された時間制限のあるコードも提供する必要があります。ハッカーがパスワードを盗んだとしても、携帯電話なしではログインできません。
詳細なステップバイステップの手順については、Google Authenticatorを使用してWordPressで2段階認証を設定する方法に関するガイドをご覧ください。
5. ログイン試行回数の制限
デフォルトでは、WordPressではユーザーは何回でもログインを試みることができます。これにより、ハッカーは「総当たり攻撃」として知られる、何千ものパスワードの組み合わせを試す自動スクリプトを使用できます。
この問題を簡単に停止するには、Limit Login Attempts Reloadedプラグインをインストールします。有効化後、設定 » Limit Login Attemptsに移動して、IPアドレスが一時的にブロックされる前に許可される失敗した試行回数を設定します。
詳細な手順については、WordPressでログイン試行を制限すべき理由に関するガイドをご覧ください。
プラグインの詳細については、詳細なLimit Login Attemptsレビューもご覧ください。
6. IPアドレスへのログインアクセスを制限する
警告: これは高度なテクニックであり、静的(固定)IPアドレスを持っている場合にのみ使用してください。ほとんどの家庭用インターネット接続は、定期的に変更される動的IPを使用しています。動的IPでこの方法を使用すると、自分自身でウェブサイトにアクセスできなくなります。
固定IPアドレスがある場合は、管理者エリアへのアクセスをそのアドレスのみに制限できます。このコードを.htaccessファイルに追加するだけです。
「xx」の値をあなた自身のIPアドレスに置き換えることを忘れないでください。Googleで「私のIPアドレスは何ですか」と検索すると、現在のIPアドレスを簡単に見つけることができます。複数のIPアドレスを使用している場合は、それらも追加してください。
詳細な手順については、.htaccessを使用してWordPress管理画面へのアクセスを制限する方法に関するガイドをご覧ください。
7. ログインヒントを無効にする
ログインに失敗した場合、WordPressはユーザー名またはパスワードが間違っていることを通知します。これはユーザーには便利ですが、攻撃者にとっても有効なユーザー名を特定するヒントとなり、作業を容易にします。
これらのヒントは、テーマのfunctions.phpファイルに次のコードを追加することで非表示にできます。ただし、WPCodeのようなコードスニペットプラグインの使用をお勧めします。サイトエラーのリスクなしにカスタムコードを管理するはるかに安全な方法です。
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
詳細については、ウェブサイトを壊さずにWordPressにカスタムコードを追加する方法に関するガイドをご覧ください。
8. ユーザーに強力なパスワードの使用を要求する
複数著者対応のWordPressサイトを実行している場合、弱いパスワードを持つ単一のユーザーが全員に脆弱性をもたらす可能性があります。これを防ぐために強力なパスワードポリシーを強制できます。
これを行うには、SolidWPチーム製のSolid Securityプラグイン(旧iThemes Security)をインストールして有効化します。
次に、WordPressでユーザーに強力なパスワードを強制する方法に関する完全ガイドの手順に従ってください。
9. 全ユーザーのパスワードリセット
マルチユーザーWordPressサイトでは、すべてのユーザーにパスワードのリセットを強制することでセキュリティを向上させることができます。これは、セキュリティ侵害が疑われる場合や、新しいパスワードポリシーを強制したい場合に特に役立ちます。
まず、Emergency Password Resetプラグインをインストールして有効化します。有効化したら、Users » Emergency Password Resetページに移動し、「Reset All Passwords」ボタンをクリックします。
詳細な手順については、WordPressで全ユーザーのパスワードをリセットする方法に関するガイドをご覧ください。
10. WordPressを常に最新の状態に保つ
WordPressは、機能を追加したりセキュリティの脆弱性を修正したりするために、新しいバージョンを頻繁にリリースします。古いバージョンのWordPress、プラグイン、またはテーマを実行することは、あなたが犯す可能性のある最大のセキュリティリスクの1つです。
常にWordPressコアソフトウェアの最新バージョン、およびすべてのプラグインとテーマの最新バージョンを使用していることを確認してください。詳細については、WordPressの最新バージョンを常に使用する理由に関するガイドをご覧ください。
11. カスタムログインおよび登録ページを作成する
会員サイトやオンラインストアなど、ユーザー登録が必要なサイトでは、カスタムログインおよび登録ページを作成する必要があります。
これにより、管理者以外のユーザーがデフォルトのWordPressログイン画面を表示したりアクセスしたりする必要がなくなります。よりプロフェッショナルなユーザーエクスペリエンスを提供し、メンバーや顧客に影響を与えることなく標準のwp-adminアクセスを完全にロックダウンできます。
これを行う最も簡単な方法は、強力なユーザー登録アドオンを備えたWPFormsのようなプラグインを使用することです。詳細な手順については、WordPressでカスタムログインおよび登録ページを作成する方法に関するガイドをご覧ください。
WordPressのユーザーロールと権限について学ぶ
WordPressには、さまざまなロールと権限を持つ組み込みのユーザー管理システムがあります。間違ったロールを割り当てると、ユーザーが必要とする以上の権限を与えてしまい、潜在的なセキュリティリスクを生み出す可能性があります。
サイトにユーザーを追加する前に、各ロールが何を実行できるかを理解することが重要です。以下に5つのデフォルトのロールを示します。
- 管理者: サイト上のすべての設定とコンテンツにフルアクセスできます。
- エディター:他のユーザーの投稿を含む、すべての投稿を公開および管理できます。
- 著者: 自分の投稿のみを公開および管理できます。
- 投稿者: 自分の投稿を作成および管理できますが、公開することはできません。
- 購読者: 自分のプロフィールにログインして管理することしかできません。
完全な内訳については、WordPressのユーザーロールと権限に関する初心者向けガイドをご覧ください。
13. WordPressダッシュボードへのアクセスを制限する
一部のサイトでは、特定のユーザーがWordPressダッシュボードに全くアクセスする必要がない場合があります。デフォルトでは、権限が制限されているユーザーでも、ログインして管理画面を表示できます。
これを修正するには、Remove Dashboard Accessプラグインをインストールして有効化します。有効化後、Settings » Dashboard Accessに移動し、管理エリアにアクセスできるユーザーロールを選択します。他のユーザーはホームページまたは別のURLにリダイレクトできます。
詳細な手順については、WordPressでダッシュボードへのアクセスを制限する方法に関するガイドをご覧ください。
14. アイドルユーザーをログアウトさせる
コンピューターから離れるログインユーザーは、セキュリティリスクとなる可能性があります。コンピューターが公開されている、または共有されている場合、他の誰かがそのアカウントにアクセスする可能性があります。
この問題を解決するには、Inactive Logoutプラグインをインストールします。Settings » Inactive Logoutに移動し、時間制限を設定します。非アクティブ期間が経過すると、ユーザーは自動的にログアウトされます。
詳細については、WordPressでアイドル状態のユーザーを自動的にログアウトさせる方法に関する記事をご覧ください。
WordPress管理のセキュリティに関するよくある質問
WordPressの管理画面を保護するために最も重要なステップは何ですか?
Web Application Firewall(WAF)の使用は、最も重要な最初のステップです。CloudflareやSucuriのような優れたファイアウォールは、悪意のあるトラフィックがサイトに到達する前にブロックし、幅広い攻撃を防ぎます。
wp-adminディレクトリをパスワードで保護することは本当に必要ですか?
必須ではありませんが、非常に効果的です。認証の第2層を追加することで、ログインページに総当たり攻撃を仕掛けようとする自動ボットをほぼすべて阻止できます。これは、セキュリティを大幅に向上させる簡単な変更です。
これらのヒントに従うと、自分のサイトからロックアウトされる可能性はありますか?
はい、注意しないとそうなる可能性があります。ログインアクセスを特定のIPアドレスに制限するというヒントは、静的IPを持つ上級ユーザーのみを対象としています。通常の動的IPアドレスを使用している場合、自分自身をロックアウトしてしまいます。.htaccessのようなファイルを編集する前に、必ずサイトをバックアップしてください。
WordPress セキュリティに関する追加リソース
この記事が、WordPress管理エリアを保護するための新しいヒントやハックを学ぶのに役立ったことを願っています。
ウェブサイトを安全に保つためのその他の専門家向けガイドもご覧ください。
- WordPressセキュリティの究極ガイド – ステップバイステップ
- サイトを保護するための最高のWordPressセキュリティプラグイン(比較)
- WordPressサイトを悪意のある可能性のあるコードからスキャンする方法
この記事が気に入った場合は、WordPressのビデオチュートリアルのために、YouTubeチャンネルを購読してください。また、TwitterやFacebookでも私たちを見つけることができます。
ダナン・スクマ
投稿ありがとうございます。
cPanelのwp-adminフォルダにパスワード保護を使用していますが、これで十分ですか?
mby
皆さん、なんて役立つ情報なんでしょう!きっと役に立ちますよ!!
投稿ありがとうございます!^_^
anthony
これは素晴らしい情報で、すぐに実装します!すでにブログがハッキングされた経験があるので、これらの問題について心配していました。本当にありがとうございます!!
shoaib hussain
ブログの記事を次々と見ていますが、とても気に入っています。本当にありがとうございます。購読する必要がありそうです。
ツツ
素晴らしい投稿です!! この情報に感謝します
マリーン
ありがとうございます。良いリストですね。WordPress管理パネルを保護するのにきっと役立ちます。
アビラッシュ・テッケル
とても役立つヒントです。ありがとうございます。
ジェシカ
現在WordPress開発を学んでいます。WP e-Commerceプラグインを使用してWordPressでECサイトを作成したいのですが、これらのヒントはECサイトを安全に保つのに役立つでしょうか?
編集スタッフ
すべてのトランザクションで、eコマースサイトにSSL保護が適用されていることを確認してください。これらは管理エリアを保護するためだけです。
管理者
アーシュラ・コモー
わあ – これは素晴らしい投稿です!この情報と素晴らしいプラグインをすべて共有していただき、本当にありがとうございます!
In a world where security has become top priority, these are very important things to be aware of with a WordPress installation. Really appreciate your transparency and willingness to share this information! I’ll be tweeting this one.
リリア
プラグインの問題は、常にすべてのバージョンと互換性があるわけではなく、常に更新されているわけではないことです。
編集スタッフ
ほとんどのプラグインは新しいバージョンと互換性があり、開発者がプラグインの開発を中止した場合でも、他の人が引き継いで将来のリリース向けの修正を含むプラグインを作成することがよくあります。コミュニティでアクティブである必要があります。
管理者
スマッシングテーマ
マジで、サイト名をWP ROCKERに変えてください、皆さんは最高です。この素晴らしい投稿を読んで、管理パネルを保護するために3つのプラグインをインストールしました。
ダグマー
有料プラグインもあります。「WP Secure」のように、WPをハッカーから保護すると謳っているものもあります。これは、カスタムログインページやIPアドレス確認など、上記の原則のいくつかを要約して機能します。
購入する価値はありますか?= 上記のいずれかよりも、技術に詳しくない人にとって使いやすいかどうか、誰か知っていますか?
編集スタッフ
無料で仕事ができるなら、なぜお金を払う必要があるのですか?
管理者
iHacks
WordPressファイアウォールプラグインへのリンク?
編集スタッフ
動作するようになりました。
管理者
Kjetil
こんにちは
ヒントをありがとうございます。
ヒント8についてですが、コードを挿入する方法を知りたいです。
`add_filter(’login_errors’,create_function(’$a’, “return null;”));`
使用する完全な関数は何ですか?
AskApache Password Protectを使用しており、そのプラグインはSecure Wordpressと互換性がないため、試してみたいです。
よろしくお願いします。
Kjetil
– http://www.dolcevita.no
編集スタッフ
functions.php に移動して、そのコードを挿入します。ご質問が明確に理解できていれば、これで完了です。これで解決しない場合は、コメントに返信していただければ、必ず確認いたします。
管理者
ロビノズ
この貴重な情報に感謝します。ちょうどマルウェア攻撃を受け、ブログが1、2日間オフラインになりました。WordPressのプログラマーに修正してもらいました。非常に不便でした。
近日中に、ご提案いただいた内容の一部を実装する予定です。
Robinoz
http://www.e1jobs-blog.com (すべての仕事に関するブログ”
セキュアサーバー
WordPressを保護するための良いヒントです。時間が経つにつれて、ホストはより厳格で安全になるか、CMSパッケージはインストール時にさらにいくつかのセキュリティイニシアチブを実装する必要が出てくるでしょう。
アビー
こんにちは。とても良い投稿を書いてくださりありがとうございます。
I’ve rewrote this great post in Indonesian language.
I really hope you dont mind.
編集スタッフ
この件についてメールをお送りしました。記事全体の翻訳は許可しておりません。ユーザーが完全なヒントを読みたい場合は、要約して記事へのリンクを貼ってください。
管理者
アビー
Thanks for your response.
I’ll revise my post.
アーリ
こんにちは。
いくつか質問があります。
Akismet、キャプチャワード、強力なパスワードを使用する必要があることに加えて、ハッカーが私たちのウェブサイトを妨害する方法は他にありますか?
それが私の質問です。メールで返信してください。 敬具、
アーリ
編集スタッフ
はい、ホストに脆弱性があれば、ハッカーもあなたをダウンさせることができます。
ジョン・マクファーソン
この関数を理解するのに数分かかりましたが、この関数には間違った種類の引用符が付いています。
add_filter(’login_errors’,create_function(’$a’, “return null;”));
次のようになります:
add_filter(‘login_errors’,create_function(‘$a’, “return null;”));
それ以外は、素晴らしい投稿です。
ジェイクスジョン
Wp-PreventCopyBlogs WordPressプラグインでできること
1.コンテンツをコピーしようとする訪問者を追跡します。
詐欺的なコピーを試みるユーザーのIPアドレスと、あなたのサイトのランディングURL、リファラーURLを記録します。これにより、何か問題が発生した場合に必要な対策を講じることができます。
3.ユーザーの選択に応じてユーザーに表示されるメッセージを有効にする。
4.オプションに応じて、テキストの選択と右クリックを無効にします。
シュレツコ・ブラディッチ
この素晴らしい記事に心からお祝い申し上げます!!! 正直に言うと、いくつかのヒントは知っていましたが、私にとって非常に重要な情報がいくつかありました!
Keep on good work
ソシャライズ
Excellent post! Will be testing several of the security tips you provided. Thanks for putting all this together!
ヘザー
素晴らしい投稿です。今夜はもっとよく眠れると思います!
ヘンリー
#6に関して、以下の.htaccessファイルを使用すると、2段階のプロセスで他の場所からログインできるようになります。これには、htpasswdファイルを追加する必要があります(サーバーのドキュメントを参照してください)。
AuthUserFile ‘some htpasswd file’
AuthGroupFile /dev/null
AuthName “WordPress 管理者アクセス制御”
AuthType Basic
order deny,allow
deny from all
Require valid-user
# SyedのIPアドレスをホワイトリストに追加
allow from xx.xx.xx.xxx
# DavidのIPアドレスをホワイトリストに追加
allow from xx.xx.xx.xxx
# AmandaのIPアドレスをホワイトリストに追加
allow from xx.xx.xx.xxx
# MuhammadのIPアドレスをホワイトリストに追加
allow from xx.xx.xx.xxx
# ワークIPアドレスをホワイトリストに追加
allow from xx.xx.xx.xxx
Satisfy Any
「require valid user」と「satisfy any」の行は、ApacheサーバーにWordPressログイン画面にアクセスする前にユーザー名とパスワードを要求させます。htpasswdファイルで使用するユーザー名とパスワードは、WordPressアクセスで使用するものと同じにしないでください。そうしないと、追加のセキュリティレベルの意味がなくなります。
編集スタッフ
Thanks for the suggestion. Post updated with a link to this way as well
管理者
ローラ
素晴らしい記事をありがとうございます。自分のブログをより安全にするのが楽しみです。
アルノー
I just made a French translation of your article on my blog (http://bit.ly/19V6YU)
thanks for the tips !
編集スタッフ
Thanks for the translation
管理者
コンスタンティン
こんにちは、私は3年間ブログを書いています。私のブログは2009年6月にハッキングされ、30日間Googleから禁止されました。ページビューは1日あたり800から100未満にすぐに落ちました。
WordPressファイアウォールプラグインのインストールを強くお勧めします。このプラグインは、誰かがあなたのブログをハッキングしようとするたびに、ハッカーのIPアドレスとともにメールを送信します。このプラグインは奇妙なリクエストを検出しブロックし、攻撃をホームページにリダイレクトします。
月曜日に、週末の6回のハッキング試行のメールを受け取りました。ハッカーは管理者ページを3回試しましたが、それが失敗すると、私が使用していないwordspewプラグインを検索しようとしました。
初心者の皆さん、頑張ってください
編集スタッフ
Thanks for suggesting this one. Its now added in the post
管理者
レネー・フィッシャー
ハッキングが成功すると、ボットまたは人間のハッカーはあなたのデータを保持し、侵入方法を探してウェブサイトのファイルを繰り返しスキャンし続けます。彼らは容赦なく続けます。もし彼らがあなたのメール、コンピューター、またはサーバーをハッキングした場合、あなたが触れるものすべてをハッキングするまで彼らは続けます。彼らはあなたの家にたどり着くパンくずを見つけたゴキブリのようなものです。
Dirk
In reality 2., 7. and 11. (if not hardened) are the most important things. The other things are nearly unnecessary
台風
とても役立つ記事でした。ツイートしました。
ところで一つ質問があります。ステルスログインはゲスト著者にとってどのように機能しますか?
編集スタッフ
信頼できる相手には、作成した特別なURLを教えます。ほとんどの場合、ゲスト著者は、あなたのサイトの著者でない限り、管理パネルに入れるべきではありません。もし誰かがあなたのサイトに複数の投稿を書いたことがあるなら、信頼できるので、作成した特別なURL /login または /googlogin など、を教えてあげることができます。
ほとんどのトップブログでは、ゲスト投稿はメール経由で受け付けており、ゲスト著者が常連著者になった場合にのみ、管理パネルへのアクセスが許可されます。
管理者
Misao
ありがとうございます!非常に役立つ記事です。いくつかのブログで、あなたのヒントやハックを試してみます。
スリガネシュ
very useful.
:geek: thanks for sharing. i will spred this surely
Yves
こんにちは
良いリストですね!WordPress用の「One time Password」プラグインも追加すると良いかもしれません:
http://wordpress.org/extend/plugins/one-time-password/
クイコト
Thanks for the tips
ティム
素晴らしいヒントです。
熱心な読者の方には、#6に不正確な点があります。
このハックの欠点は、管理画面に他の場所からアクセスしたい場合、.htaccessファイルにその追加IPを追加しない限り、アクセスできなくなることです。
許可するIPアドレスがSSH接続可能なボックスの場合、そこを経由してSSHトンネルを張ることができます(私はフォクシープロキシを使用しています。切り替えが非常に簡単になるためです)。また、Apacheの代わりにnginxを使用している場合は、正規表現を使用してURIを評価し、wp-app.phpからwp-trackback.phpまでのすべてをブロックする(またはブロックしたくないものを選択的に選択する)ことができます。これについてはhttp://www.phrison.com/securing-arbitrary-uris/で説明していますが、初心者向けではありません。
私は大量のアルミホイルの帽子を持っています。
編集スタッフ
その通りです。
警告:新規ユーザーは絶対にこれを試さないでください。これは経験豊富なユーザーのみを対象としています。
管理者
サイゴンネズミ(ケビン)
この記事をありがとうございます。このような記事を待っていました。あなたのヒントをいくつか追加することで、私の WP サイトのセキュリティが向上するでしょう。
再度、ありがとうございます。
編集スタッフ
You are welcome
Let us know which one you use and your thoughts on the process of implementing it.
管理者
デイナ・デファジオ
WordPress.comのサイトなので、ブログにこれに匹敵するものがあるかどうか、またdanaddiamond.BlogSpot.comに新しいブログがあるのですが、気になっています。
編集スタッフ
WordPress.com では多くの権限は許可されていませんが、彼らのサーバーを使用すれば、ほとんどの場合安全です。
管理者
ティン
素晴らしいヒントとハックです。提案された11個のヒントのうち6個しか適用していませんが、残りを試してみます。
Jo
このサイトは私にとって嬉しい発見です(FYI、Twitterの@Probloggerのおかげです)。今後の探索を楽しみにしています。この記事は、最近では珍しい、簡潔で明確な文章の典型です。本当に役立つ情報を提供していただきありがとうございます。
編集スタッフ
当サイトをご利用いただき、またDarrenさんがこの記事をツイートしてくださったことを大変嬉しく思います。Twitterでフォローしていただければ、最新のチュートリアル情報をお届けできます。
管理者
マーク
すごい – WP初心者で、ハッカーの侵入口がこんなにたくさんあるなんて知りませんでした。これらのいくつかを追加すれば、彼らは侵入できないでしょう。
ありがとう。
Roger Duck
WordPressのセキュリティは増大する問題であり、これらの手順はWordPressサイトを保護するために不可欠です。セキュリティを強化することは、コミュニティ全体だけでなく、ご自身のサイトにとっても、これらのアイデアを実装する時間を取ることにつながります。よくできています。
ロブ
そして、あなたのクライアントからあなたのすべての努力/セキュリティ機能の成果を守るために…
http://wordpress.org/extend/plugins/hide-admin-panels/
ジェームズ・モリソン
サイトを保護するための重要なヒントの優れたリストです。特に#8が好きです。これまでやったことがありませんでしたが、今後はそうします!
#7について – 「admin」ユーザー名を削除する:
管理者ユーザー名は削除せず、新しい管理者アカウントを作成してから、「admin」ユーザーのアカウントタイプをサブスクライバーに変更します。
そうすれば、パスワードがクラックされたとしても、それは無効なアカウントです。削除すると、誰かがそのユーザー名を登録できます…
キャスリーン
ジェームズ・モリソンへの質問です。おっしゃっていることをもう少し詳しく説明していただけますか?また、どのようにすればよいのでしょうか?
スタッフ向けに、akisnetプラグインの番号を取得しようと何度も試みましたが、見つかりません。どのようにすれば入手できますか。
素晴らしい投稿です。これらを直接実装します。以前、私のブログの1つが30日間に2回ハッキングされたことがあります。
素晴らしい情報、ありがとうございます。
ジェームズ・モリソン
これらの手順に従ってください:
1.) 管理者権限を持つ新しいユーザーアカウントを作成します(例:「James」)
2.) 新しいアカウントでWP管理画面にサインインします
3.) 「admin」ユーザーのアカウントを編集し、権限をサブスクライバーに変更します
そうすれば、誰かが管理者アカウントを侵害しようとして成功したとしても、サイトに何も悪いことはできません。
Akismetキーを取得するには、http://www.wordpress.comでサインアップする必要があります。
お役に立てば幸いです!
マデルレーン
phpMyadminデータベース経由で、デフォルトの「admin」ユーザー名を好きな名前にいつでも変更できます。ブログハッキングとセキュリティに関する私の経験と、それについての投稿はこちらです:
http://softwarecritics.info/open-source/blogosphere-alert-prevent-your-wordpress-blogs-from-being-hacked/
安いサイト
すべてのご提案ありがとうございます。いくつか大きなプロジェクトに取り組んでおり、ブログが稼働したらきっと役立つでしょう。
初めて来ましたが、このブログは素晴らしいです。よくできています!
ダン
編集スタッフ
ここに来ていただけて嬉しいです。WPBeginnerで取り上げてほしい特定のトピックがある場合や、質問がある場合は、いつでもお気軽にご提案ください。
管理者
フロー・インタラクティブ
良いヒントです。セキュリティを強化するために、wp_config.phpファイルをウェブルートの外に移動することもできます。
編集スタッフ
はい、できますが、この記事では WordPress 管理パネルについてのみ説明しており、サイト全体については一般的に説明していません。サイト全体を保護するための他の多くの方法があります WordPress ブログ。
管理者
シャバエック
しかし、ブログ訪問者に登録を許可し、コメント投稿前にログインを強制する場合はどうでしょうか?
編集スタッフ
その場合、IP保護などは使用できませんが、制限ロックダウンを使用し、管理者ユーザー名を使用せず、半保護ログインを使用する必要があります。
管理者
ジェラルド・ウェーバー
ログインリクエストを私のIPアドレスに制限しています。これは、私のIPアドレスからリクエストを行っていない人がhttp://www.domainname.com/wp-adminにアクセスしようとすると、単に404ページが表示されることを意味します。
BlogspotからWordPressへ
とても役立つ投稿です。
最も興味深いアイデアのブログ
私のブログに役立つ投稿です。
ドレイヤー
役立つリストです。これらを試してみます。用心するに越したことはありません。
ラフィ
これは素晴らしいヒントとハックのコレクションで、非常に役立ちます。すべてのWPブロガーに、リストを確認し、手順に従うこと、およびその他どこでも利用可能な有用なリソースを活用することを強くお勧めします。結局のところ、私たちは誰かに私たちの人生をコントロールさせるためにブログを始めたわけではありません。くそったれ。
シェアしてくれてありがとう、WPBeginner。
Sergej Müller
WordPressアンチウイルス保護へのリンク?
編集スタッフ
どれだけ校正しても、いくつかのことは見落とされるものです。あなたのようなユーザーがいてくれて嬉しいです。リンクを追加しました。改めて感謝します。
管理者
ロリ
AkismetやCAPTCHAシステムについてはどうですか?