WPBeginner - 初心者のためのWordPressチュートリアル

Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPBカップ
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

究極のWordPressセキュリティガイド-ステップバイステップ (2024)

最終更新日 by

シェア WhatsApp

WordPressウェブサイトを安全かつセキュアに保つことは、すべてのウェブサイトオーナーにとって重要です。自宅や会社を守るように、ウェブサイトもオンラインの脅威から守る必要があります。

ウェブサイトを保護するための適切な措置を講じなければ、ウェブサイトが危険にさらされる可能性があります。Googleは毎日、マルウェアやその他のセキュリティ問題を理由に、何千ものウェブサイトをブロックしています。

私たちは長年にわたり、度重なる攻撃からWPBeginnerを安全に保つことに成功してきました。最高のセキュリティプラグインを使用し、WordPressのセキュリティベストプラクティスに従っています。

このガイドでは、ハッカーやマルウェアからあなたのウェブサイトを守るために役立つ、WordPressセキュリティのチェックリストとヒントをご紹介します。

The Ultimate WordPress Security Guide - Step by Step

WordPressのコアソフトウェアは非常に安全で、何百人もの開発者によって定期的に監査されていますが、サイトの安全性を保つために必要なことはまだたくさんあります。

WPBeginnerでは、セキュリティとは単にリスクを排除することではないと考えています。リスクを減らすことでもあります。サイトオーナーとして、たとえ技術に精通していなくても、WordPressのセキュリティを向上させるためにできることはたくさんあります。

そこで、セキュリティの脆弱性からウェブサイトを保護するために、実行可能な手順をまとめたWordPressセキュリティチェックリストをご用意しました。

究極のWordPressセキュリティガイドを簡単にご覧いただけるよう、目次を作成しました。

目次

WordPressセキュリティの基本

WordPressのセキュリティを簡単なステップで(コーディングなし)

DIYユーザーのためのWordPressセキュリティ

準備はいいかい?始めよう

ウェブサイトのセキュリティが重要な理由

WordPressサイトがハッキングされると、ビジネスの収益や評判に深刻なダメージを与える可能性があります。ハッカーはユーザー情報やパスワードを盗んだり、悪意のあるソフトウェアをインストールしたり、マルウェアをユーザーに配布したりすることもあります。

最悪の場合、サイトへのアクセスを取り戻すためだけにハッカーにランサムウェアを支払うことになるかもしれない。

Ransomware Attack

Googleは毎日1,200万〜1,400万人のユーザーに対して、アクセスしようとしているサイトにマルウェアが含まれていたり、情報が盗まれている可能性があることを警告している。

さらに、Googleは毎日約10,000以上のウェブサイトをマルウェアやフィッシングでブラックリストに載せている。

物理的な場所を持つビジネスオーナーが財産を守る責任があるように、オンラインビジネスのオーナーはWordPressのセキュリティに細心の注意を払う必要があります。

[トップに戻る ↑]

WordPressの更新

Easily update WordPress

WordPressはオープンソースのソフトウェアであり、定期的にメンテナンスと更新が行われています。初期設定では、WordPressはマイナーアップデートを自動的にインストールします。

メジャーリリースの場合は、手動で更新を開始する必要があります。

WordPressには、サイトにインストールできる何千ものプラグインやテーマも用意されている。これらのプラグインやテーマはサードパーティの開発者によって管理されており、定期的に更新もリリースされています。

これらのWordPressの更新は、WordPressサイトのセキュリティと安定性のために非常に重要です。WordPressのコア、プラグイン、テーマが最新であることを確認する必要があります。

[トップに戻る ↑]

強力なパスワードとユーザー権限の使用

Manage strong passwords

WordPressのハッキングで最も一般的なのは、盗まれたパスワードを使用することです。サイト独自の強力なパスワードを使用することで、これを困難にすることができます。

WordPressの管理エリアだけの話ではありません。FTPアカウント、データベース、WordPressホスティングサービスアカウント、サイトのドメイン名を使用するカスタマイメールアドレスにも、強力なパスワードを作成することを忘れないでください。

多くの初心者は、強力なパスワードは覚えにくいので使いたがらない。パスワード・マネージャーを使えば、もうパスワードを覚える必要はない。

詳しくはWordPressのパスワード管理方法をご覧ください。

リスクを減らすもう一つの方法は、どうしても必要な場合を除き、WordPressの管理者アカウントへのアクセス権を誰にも与えないことだ。

大規模なチームやゲスト投稿者がいる場合は、WordPressサイトに新しいユーザーアカウントや投稿者を追加する前に、WordPressのユーザー権限グループと機能を理解していることを確認してください。

[トップに戻る ↑]

WordPressホスティングサービスの権限グループを理解する

SiteGround

WordPressホスティングサービスは、WordPressサイトのセキュリティにおいて最も重要な権限グループを果たします。HostingerBluehost、またはSiteGroundのような優れた共有ホスティングサービスは、一般的な脅威からサーバーを保護するために特別な対策を講じています。

ここでは、優れたホスティングサービス会社がお客様のサイトやデータを保護するためにバックグラウンドで行っているいくつかの方法をご紹介します:

  • 彼らは不審な動きがないか、継続的にネットワークを監視している。
  • 優れたホスティングサービス会社はすべて、大規模なDDoS攻撃を防ぐためのツールを備えています。
  • ハッカーが古いバージョンの既知のセキュリティ脆弱性を悪用するのを防ぐため、サーバーソフトウェア、PHPのバージョン、ハードウェアを常に最新に保っている。
  • ディザスターリカバリーとアクシデントプランをすぐに導入でき、万が一の大事故の際にもデータを守ることができる。

共有ホスティングプランでは、他の多くのお客様とサーバーリソースを共有します。ハッカーがあなたのサイトを攻撃するために隣のサイトを使用することができるクロスサイト汚染のリスクがあります。

対照的に、マネージドWordPressホスティングサービスを使用すると、サイトのより安全なプラットフォームを提供します。マネージドWordPressホスティングサービスは、自動バックアップ、WordPressの自動更新、より高度なセキュリティ設定を提供し、お客様のサイトを保護します。

私たちはSitegroundをWordPressホスティングプロバイダーとして推奨しています。彼らは、応答性の高いサポート、高速サーバー、優れた信頼性を持っています。

Sitegroundの特別クーポンを利用して、お得にお買い物をお楽しみください。

[トップに戻る ↑]

WordPressのセキュリティを簡単なステップで(コーディングなし)

WordPressのセキュリティを向上させることは、初心者の方、特に技術に疎い方にとって恐ろしいフィードバックかもしれません。あなたは一人ではありません。

私たちは、WordPressのセキュリティを強化するために何千人ものWordPressユーザーを支援してきました。

数クリックでWordPressのセキュリティを向上させる方法をご紹介します(コーディングは必須ではありません)。

ポイント・アンド・クリックができれば、これはできる!

1.WordPressバックアップソリューションのインストール

WordPress Backup

バックアップはWordPressの攻撃に対する最初の防御策です。覚えておいてほしいのは、100%安全なものなどないということだ。政府のサイトがハッキングされる可能性があるのなら、あなたのサイトもハッキングされる可能性があります。

バックアップによって、万が一の場合にWordPressサイトを素早く復元することができます。

WordPressのバックアッププラグインは、無料・有料を問わず数多くあります。バックアップに関して最も重要なことは、定期的にフルサイトのバックアップをリモートロケーション(ホスティングサービスアカウントではない)に保存する必要があるということです。

AmazonやDropboxなどのクラウドサービス、あるいはStashのようなプライベートクラウドに保存することをお勧めする。

サイトの更新頻度に応じて、1日1回またはリアルタイムのバックアップが理想的です。

ありがたいことに、これはDuplicatorUpdraftPlusBlogVaultのようなプラグインを使えば簡単にできる。どちらも信頼性が高く、何より使いやすい(コーディング不要)。

詳しくは、WordPressサイトのバックアップ方法をご覧ください。

[トップに戻る ↑]

信頼できるWordPressセキュリティプラグインのインストール

バックアップの次に必要なことは、監査と監視システムをセットアップして、サイトで起こるすべてのことを追跡することです。

これには、ファイルの完全性の監視、ログインの失敗、マルウェアのスキャンなどが含まれます。

ありがたいことに、Sucuriのような最高のWordPressセキュリティ・プラグインをインストーラすることで、簡単に対処することができる。

無料のSucuri Securityプラグインをインストールして有効化する必要があります。詳しくは、WordPressプラグインのインストール方法のステップバイステップガイドをご覧ください。

Sucuri Security ” ダッシュボードにアクセスして、プラグインがWordPressコードに直ちに問題を検出したかどうかを確認できます。

Setting up the Sucuri WordPress security plugin

次に必要なことは、Sucuri Security ” Settingsページに移動し、’Hardening’ タブをクリックすることです。

初期設定はほとんどのサイトで有効なので、各オプションの「Apply Hardening」ボタンをクリックして有効化してください。

Hardening your WordPress blog or website

これにより、ハッカーが攻撃によく使う主要エリアをロックダウンすることができる。

ヒント:この投稿の後半で、データベースの接頭辞や管理者ユーザー名を変更するなど、サイトを強固にするさらなる方法を取り上げます。しかし、これらはより技術的で、コーディングの知識が必須かもしれません。

ハードニングの後、プラグインの他の初期設定はほとんどのサイトにとって十分であり、変更の必要はない。

唯一カスタマイズをお勧めするのはメールアラートで、これは設定ページの「アラート」タブにあります。

Customizing your website's security alerts

初期設定では、受信トレイが散らかるほどのメールアラートを受信することになります。

プラグインの変更や新規ユーザー登録など、通知を希望する重要なアクションのみアラートを有効化することをお勧めします。

Customizing your WordPress security notifications

このWordPressセキュリティプラグインは非常に強力なので、マルウェアスキャン、監査ログ記録、ログイン試行失敗のトラッキングなど、すべてのタブと設定を参照してください。

詳しくは、Sucuriの詳細レビューをご覧ください。

ウェブアプリケーションファイアウォール(WAF)の有効化

サイトを保護し、WordPressのセキュリティに自信を持つ最も簡単な方法は、Webアプリケーションファイアウォール(WAF)を使用することです。

ウェブサイトファイアウォールは、悪意のあるトラフィックがサイトに到達する前にすべてブロックします。

  • DNSレベルのウェブサイトファイアウォールは、クラウドプロキシサーバーを経由してあなたのウェブサイトのトラフィックをルーティングします。これにより、本物のトラフィックのみをWebサーバーに送信することができます。
  • アプリケーションレベルのファイアウォールは、トラフィックがサーバーに到達した後、ほとんどのWordPressスクリプトをロードする前にトラフィックを検査します。この方法はDNSレベルのファイアウォールほど効率的ではありませんが、サーバーの負荷を軽減することができます。

さらに詳しく知りたい方は、最高のWordPressファイアウォールプラグインのリストをご覧ください。

How website firewall blocks attacks

私たちは長年WPBeginnerでSucuriを使用しており、WordPressのための最高のWebアプリケーションファイアウォールの1つとして今でも推奨しています。最近SucuriからCloudflareに乗り換えたのは、よりエンタープライズクライアントに特化した機能を持つ、より大規模なCDNネットワークが必要になったからです。

Sucuriのおかげで、1ヶ月で450,000件のWordPress攻撃をブロックできたことについては、こちらをご覧ください。

Attacks blocked by Sucuri

Sucuriのファイアウォールの最も優れた点は、マルウェアのクリーンアップとブラックリストの削除保証が付いていることです。つまり、Sucuriの監視下でハッキングされた場合、ページ数に関係なく、サイトの修復を保証してくれるのだ。

ハッキングされたサイトの修復には費用がかかるため、これはかなり強力な保証だ。セキュリティの専門家は通常、1時間あたり250ドル以上を請求するが、Sucuriのセキュリティスタック全体は1年間199ドルで利用できる。

Sucuri FirewallでWordPressのセキュリティを向上させる

とはいえ、DNSレベルのファイアウォール・プロバイダーはSucuriだけではない。他の人気のある競合はCloudflareです。SucuriとCloudflareの比較(長所と短所)をご覧ください。

[トップに戻る ↑]

WordPressサイトをSSL/HTTPSに移行する

SSL(SecureSockets Layer)は、サイトとユーザーのブラウザー間のデータ転送を暗号化するプロトコルです。この暗号化により、誰かが情報を盗み見ることが難しくなります。

How SSL Works

SSLを有効化すると、サイトアドレスはHTTPではなくHTTPSを使用するようになります。また、ブラウザーでサイトアドレスの横に南京錠のようなアイコンが表示されます。

SSL証明書は通常、投稿者によって発行され、その価格は毎年80ドルから数百ドルです。コストがかさむため、これまでほとんどのサイトオーナーは安全でないプロトコルを使い続けることを選択していました。

この問題を解決するために、Let’s Encryptという非営利団体がサイト所有者に無料のSSL証明書を提供することにした。彼らのプロジェクトは、Google Chrome、Facebook、Mozilla、その他多くの企業によってサポートされている。

WordPressサイトのすべてでSSLを使用することは、これまで以上に簡単です。現在、多くのホスティングサービス会社がWordPressサイトに無料のSSL証明書を提供しています。

ホスティングサービス会社がSSL証明書を提供していない場合は、Domain.comから購入することができます。Domain.comは、市場で最も信頼できるSSL証明書を提供しています。証明書には10,000ドルのセキュリティ保証とTrustLogoセキュリティシールが付いています。

DIYユーザーのためのWordPressセキュリティ

ここまで述べてきたことをすべて実行すれば、かなりいい状態だ。

しかし、いつものように、WordPressのセキュリティを強化するためにできることは他にもあります。

これらのステップの中には、コーディングの知識が必須となるものもあることを覚えておいてください。

初期設定の管理者ユーザー名を変更する

昔、WordPressの管理者ユーザー名の初期設定は「admin」だった。ユーザー名はログイン情報の半分を占めるので、これではハッカーがブルートフォース攻撃をするのが簡単になってしまいます。

ありがたいことに、WordPressはこれを変更し、現在ではWordPressインストール時にカスタマイザーユーザー名を選択する必要があります。

しかし、1クリックWordPressインストーラの中には、初期設定の管理者ユーザー名を「admin」に設定しているものもあります。そのような場合は、ホスティングサービスを変更することをお勧めします。

WordPressは初期設定ではユーザー名を変更できないので、ユーザー名を変更するには3つの方法があります。

  1. 新しい管理者ユーザー名を作成し、古いユーザー名を削除します。
  2. Username Changerプラグインを使う
  3. phpMyAdminからユーザー名を更新する

WordPressのユーザー名を正しく変更する方法の詳細ガイドでは、これら3つをすべて取り上げています。

注:はっきりさせておきたいのは、「admin」と呼ばれるユーザー名を変更するということであって、「admin」と呼ばれることもある管理者ユーザー権限グループを変更するということではありません。

[トップに戻る ↑]

ファイル編集の無効化

WordPressにはコードエディターがビルトインされており、WordPressの管理エリアからテーマやプラグインファイルを編集することができます。

悪用されれば、この機能はセキュリティ上のリスクとなる可能性があるため、オフにすることをお勧めする。

Adding custom CSS in a child theme's stylesheet in the theme file editor

wp-config.phpファイルに以下のコードを追加するか、WPCodeのようなコード・スニペット・プラグイン(推奨)を使えば、簡単にできます:

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Hosted with ❤️ by WPCode
1-click Use in WordPress

WordPressの管理画面からテーマやプラグインのエディターを無効化する方法をステップごとにご紹介します。

または、前述のSucuriプラグイン(無料)のHardening機能を使って、1クリックで行うこともできます。

[トップに戻る ↑]

特定のWordPressディレクトリでのPHPファイル実行無効化

WordPressのセキュリティを強化するもう一つの方法は、/wp-content/uploads/のような不要なディレクトリでのPHPファイルの実行を無効化することです。

メモ帳のようなテキストエディターを開き、このコードを貼り付ければできる:

<Files *.php>
deny from all
</Files>
Hosted with ❤️ by WPCode
1-click Use in WordPress

次に、このファイルを.htaccessとして保存し、FTPクライアントを使用してサイトの/wp-content/uploads/フォルダにアップロードする必要があります。

より詳細な説明については、WordPressの特定のディレクトリでPHPの実行を無効化する方法のガイドを参照してください。

または、上記で紹介した無料のSucuriプラグインのHardening機能を使って、1クリックでこれを行うこともできます。

[トップに戻る ↑]

ログイン試行を制限する

WordPressの初期設定では、ユーザーは何度でもログインを試みることができます。このため、WordPressサイトはブルートフォース攻撃に対して脆弱な状態になります。これは、ハッカーが異なる組み合わせでログインを試みることで、パスワードを解読しようとするものです。

この問題は、ユーザーがログインに失敗する回数を制限することで簡単に解決できます。前述のウェブ・アプリケーション・ファイアウォールを使用している場合、これは自動的に処理されます。

ただし、ファイアウォールを設定していない場合は、以下の手順で先に進むことができる。

まず、無料のLimit Login Attempts Reloadedプラグインをインストールして有効化する必要があります。詳しくは、WordPressプラグインのインストール方法のステップバイステップガイドをご覧ください。

有効化した時点で、プラグインはユーザーのログイン試行回数を制限し始めます。

初期設定はほとんどのサイトで有効ですが、設定 ” ログイン試行を制限ページにアクセスし、上部にある ‘設定’ タブをクリックすることで、カスタマイズすることができます。例えば、GDPR法に準拠するには、’GDPR compliance’チェックボックスをクリックします。

Limit Login Attempts

詳細な手順については、WordPressでログイン試行を制限する方法と理由をご覧ください。

[トップに戻る ↑]

2要素認証(2FA)の追加

2要素認証方式では、ユーザーがログインするために2つの異なるステップが必須です:

  1. 最初のステップはユーザー名とパスワードだ。
  2. 第2のステップでは、ハッカーがアクセスできない端末やアプリ(スマートフォンなど)のコードを使用することが必須となる。

Google、Facebook、Twitterのようなほとんどのトップ・オンライン・サイトでは、自分のアカウントでこの機能を有効化することができる。WordPressサイトにも同じ機能を追加することができます。

まず、WP 2FA – 2要素認証プラグインをインストールして有効化する必要があります。詳しくは、WordPressプラグインのインストール方法のステップバイステップガイドをご覧ください。

ユーザーフレンドリーなウィザードがプラグインのセットアップをサポートし、QRコードが発行されます。

Use Your Authenticator App to Scan the QR Code

Google Authenticator、Authy、LastPass Authenticatorなどの携帯電話の認証アプリを使用してQRコードをスキャンする必要があります。

アカウントをクラウドにバックアップできるLastPass AuthenticatorまたはAuthyのご利用をお勧めします。これは、携帯電話を紛失したり、リセットしたり、新しい携帯電話を購入した場合に非常に便利です。アカウントのログインはすべて簡単に復元できます。

Authyを使用している場合は、認証アプリで「+」または「アカウントを追加」ボタンをクリックするだけです。

Click the + Button to Add an Account

これで、コンピューター上のQRコードを携帯電話のカメラでスキャンできるようになります。まず、アプリにカメラへのアクセス権限を与える必要があるかもしれません。

アカウントに名前をつけたら、保存することができます。

次回サイトにログインする際、パスワード入力後に2要素認証コードの入力を求められます。

Users Must Enter an Authentication Code Before Logging In

携帯電話で認証アプリを開くと、ワンタイムコードが表示されます。

その後、サイトにコードを入力してログインを完了することができます。

Find Your 2FA Token

[トップに戻る ↑]

WordPressデータベースのプレフィックスを変更する

初期設定では、WordPressはWordPressデータベースのすべてのテーブルの接頭辞としてwp_を使用します。

WordPressサイトが初期設定のデータベース接頭辞を使用している場合、ハッカーにテーブル名を推測されやすくなります。そのため、変更することをお勧めします。

WordPressのデータベース接頭辞を変更してセキュリティを向上させる方法のステップバイステップのチュートリアルに従って、データベース接頭辞を変更することができます。

注意:データベース接頭辞の変更は、適切に行わないとサイトを壊してしまう可能性があります。コーディングに自信がある場合のみ行ってください。

[トップに戻る ↑]

WordPress管理画面とログインページのパスワード保護

Password protect WordPress admin example

通常、ハッカーは何の制限もなくあなたのwp-adminフォルダーとログインページを要求することができます。これにより、彼らはハッキングのトリックを試したり、DDoS攻撃を実行することができます。

サーバーサイドレベルでパスワード保護を追加することで、これらのリクエストを効果的にブロックすることができます。

WordPressの管理(wp-admin)ディレクトリをパスワードで保護する方法については、ステップバイステップの指示に従ってください。

[トップに戻る ↑]

ディレクトリのインデックスとブラウジングの無効化

Directory Browsing

ウェブブラウザーにウェブサイトフォルダーのアドレスを入力すると、index.htmlというウェブページが存在すれば、それが表示されます。存在しない場合は、代わりにそのフォルダー内のファイルのリストが表示されます。これはディレクトリ・ブラウジングとして知られています。

ディレクトリの閲覧は、ハッカーが既知の脆弱性を持つファイルがあるかどうかを見つけるために使用することができ、彼らはアクセスするためにこれらのファイルを利用することができます。

ディレクトリの閲覧は、他の人があなたのファイルを覗いたり、画像をコピーしたり、あなたのディレクトリ構造を調べたり、その他の情報を得るのにも使われます。そのため、ディレクトリのインデックスとブラウジングをオフにすることを強くお勧めします。

FTPまたはホスティングサービスのファイルマネージャーを使用してサイトに接続する必要があります。次に、サイトのルートディレクトリにある.htaccessファイルを探します。.htaccessファイルが見つからない場合は、WordPressで.htaccessファイルが見えない理由についてのガイドを参照してください。

その後、.htaccessファイルの最後に以下の行を追加する必要がある:

オプション -インデックス

.htaccessファイルを保存し、サイトにアップロードすることをお忘れなく。

このトピックについては、WordPressでディレクトリ閲覧を無効化する方法の投稿をご覧ください。

[トップに戻る ↑]

WordPressでXML-RPCを無効化する

XML-RPCはWordPressのコアAPIで、WordPressサイトとウェブアプリやモバイルアプリを接続するのに役立ちます。WordPress 3.5 から初期設定で有効化されています。

しかし、XML-RPCはその強力な性質から、ブルートフォース攻撃を大幅に増幅する可能性がある。

例えば、ハッカーが従来からあなたのサイトで500の異なるパスワードを試したいと思っていた場合、彼らは500の別々のログイン試行を行う必要があります。これは、Limit Login Attempts Reloadedプラグインによってキャッチされ、ブロックすることができます。

しかしXML-RPCを使えば、ハッカーはsystem.multicall関数を使い、20回や50回のリクエストで何千ものパスワードを試すことができる。

このため、XML-RPCを使用しない場合は無効化することをお勧めします。

WordPressでXML-RPCを無効化する方法は3つあり、WordPressでXML-RPCを無効化する方法のステップバイステップのチュートリアルですべて取り上げています。

ヒント:.htaccessの方法は、最もリソースを消費しないので最適です。他の方法は初心者には簡単です。

あるいは、先に述べたように、ウェブ・アプリケーション・ファイアウォール(WAF)を使用している場合は、自動的に処理される。

[トップに戻る ↑]

WordPressでアイドルユーザーを自動的にログアウトする

ログイン中のユーザーが画面から離れてしまうことがあり、これはセキュリティ上のリスクとなる。誰かがセッションを乗っ取ったり、パスワードを変更したり、アカウントに変更を加えたりする可能性があります。

このため、多くの銀行や金融のサイトでは、アクティブでないユーザーを自動的にログアウトしています。WordPressサイトでも同様の機能を設定することができます。

Inactive Logoutプラグインをインストールして有効化する必要があります。有効化したら、Settings ” Inactive Logoutページでログアウト設定をカスタマイズしてください。

Logout idle users

単に時間を設定し、ログアウトメッセージを追加します。その後、ページ下部の「変更を保存」ボタンをクリックして、設定を保存することをお忘れなく。

ステップバイステップの手順については、WordPressでアイドルユーザーを自動的にログアウトする方法のガイドを参照してください。

[トップに戻る ↑]

WordPressのログイン画面にセキュリティの質問を追加する

WordPressのログイン画面にセキュリティ質問を追加することで、不正アクセスをさらに難しくすることができます。

2要素認証プラグインをインストールすることでセキュリティ質問を追加することができます。有効化した後、Multi-factor Authentication ” 2要素認証ページにアクセスしてプラグインの設定を行う必要があります。

これにより、セキュリティ質問を含む様々なタイプの2要素認証をサイトに追加することができます。

Adding Security Questions to WordPress Login

より詳細な手順については、WordPressのログイン画面にセキュリティの質問を追加する方法のチュートリアルを参照してください。

[トップに戻る ↑]

WordPressのマルウェアと脆弱性のスキャン

Malware Scan

WordPressのセキュリティプラグインがインストールされていれば、マルウェアやセキュリティ侵害の兆候を定期的にチェックします。

しかし、サイトのトラフィックや検索順位が突然ドロップした場合は、手動でマルウェアをスキャンすることをお勧めします。WordPressのセキュリティ・プラグインや、マルウェアやセキュリティ・スキャナーを使用することができます。

これらのオンライン・スキャンを実行するのは非常に簡単だ。あなたのサイトのURLを入力するだけで、クローラーがあなたのサイトを巡回し、既知のマルウェアや悪質なコードを探します。

ほとんどのWordPressセキュリティ・スキャナーは、サイトにマルウェアが含まれているかどうかを警告するだけであることに留意してください。マルウェアを削除したり、ハッキングされたWordPressサイトをクリーンアップすることはできません。

次のセクションでは、マルウェアやハッキングされたWordPressサイトをクリーンアップする。

[トップに戻る ↑]

ハッキングされたWordPressサイトを修復する

WordPressユーザーの多くは、サイトがハッキングされるまで、バックアップやサイトセキュリティの重要性に気づいていません。

ハッカーは被害を受けたサイトにバックドアをインストールし、これらのバックドアが適切に修正されなければ、ウェブサイトは再びハッキングされる可能性が高い。

冒険好きなユーザーやDIYユーザーのために、ハッキングされたWordPressサイトを修復するためのステップバイステップガイドをまとめました。

しかし、WordPressサイトのクリーンアップは非常に難しく、時間がかかります。私たちのアドバイスとしては、プロに任せることをお勧めします。

前述のSucuriセキュリティ・プラグインを有料で利用している場合、ハッキングされたサイトの修復は料金にビルトインされている。

WPBeginnerプロサービスのハッキングサイト修復サービスを利用することもできます。これには249ドルの一括払いが必須で、プレミアムファイル判定、悪質コード除去、ソフトウェアとセキュリティ更新、クリーンなサイトバックアップが含まれます。

WPBeginner Pro Services Hacked Site Repair

私たちはあなたのサイトを修復するか、お金を返すことを保証します。また、修理後30日間はお客様のサイトをカバーいたしますので、その間に再びハッキングされた場合でも、私たちが修理いたします。

私たちは、10年以上にわたってWordPressサイトのクリーニングとセキュリティ保護を行ってきました。ハッキングされたサイトの修復サービスをご利用になれば、安心です。

[トップに戻る ↑]

ボーナスのヒント:WordPressメンテナンスサービスを依頼する

多忙な中小企業の経営者であれば、サイトのセキュリティを監視し、脆弱性から守る時間がないかもしれません。そこで、24時間365日体制でセキュリティ監視を行うWordPressメンテナンスサービスをご利用ください。

WPBeginnerプロサービスは、包括的なWordPressサイトのメンテナンスを手頃な価格で提供します。セキュリティ監視、定期的なクラウドバックアップ、WordPress更新、稼働時間監視などが含まれます。

WPBeginner WordPress website maintenance service

お客様のニーズに合った月額メンテナンスサービスパッケージをお選びいただくだけで、より安全なWordPressサイトと、ビジネスの他の側面に取り組むための余分な時間を手に入れることができます。

その他のおすすめをご希望の方は、WordPressのベストウェブサイトメンテナンスサービスをご覧ください。

[トップに戻る ↑]

WordPressのセキュリティに関するFAQ

WordPressのセキュリティは非常に重要であるため、定期的に質問を受けます。ここでは、WordPressのウェブサイトを攻撃から安全に保つためのよくある質問にお答えします。

ワードプレスは安全か?

WordPressは、特に定期的に更新していれば安全なように設計されています。しかし、非常に人気があるため、ハッカーはしばしばワードプレスのウェブサイトを狙います。

しかし、ご心配なく。この記事にあるような簡単なセキュリティのヒントに従うことで、誰かがあなたのウェブサイトをハッキングする可能性を大幅に減らすことができます。

何がWordPressウェブサイトを危険にさらすのか?

ハッカーがウェブサイトにアクセスしようとする方法はさまざまです。一般的な脅威には、パスワードの推測、有害なソフトウェア(マルウェア)のインストール、ウェブサイトのコードの弱点を見つけて情報を盗んだりコントロールを奪ったりすることなどがあります。

WordPressウェブサイトの更新頻度は?

WordPressのウェブサイト、テーマ、プラグインを常に最新の状態に保つことは非常に重要です。新規: アップデートには、セキュリティ問題の修正が含まれていることがよくあります。自動アップデートを利用するか、少なくとも週に一度は自分でアップデートをチェックし、素早くインストールするようにしましょう。

セキュリティのために特別なプラグインが必要ですか?

セキュリティプラグインを使用する必要はありませんが、あなたのウェブサイトをより安全にすることができます。セキュリティ・プラグインは、あなたのウェブサイトをハッカーやマルウェアから守る、特別なガードのような役割を果たします。

誰かが私のウェブサイトをハッキングしたかどうかを知るには?

ウェブサイト上で奇妙なことが起こっていることに気づいたら、それはハッキングされたサインかもしれません。新規ユーザーや作成した覚えのないファイルが表示される、ウェブサイトから別のウェブサイトに訪問者が移動する、ウェブサイトの動作が遅くなる、Googleやウェブホスティングプロバイダーから警告が表示されるなどです。

ウェブサイトがハッキングされたらどうすればいいのか?

自分のウェブサイトがハッキングされたと思ったら、慌てずに素早く行動しましょう。ウェブホスティング会社に連絡して助けを求めることができます。また、セキュリティ・プラグインを使用したり、セキュリティの専門家にウェブサイトのクリーニングを依頼することもできます。

ウェブサイトのバックアップがある場合は、そのバックアップから復元してください。WordPressの管理エリア、データベース、FTPを含むすべてのパスワードを変更してください。

この記事で、ウェブサイトを保護するためのベストプラクティスと、おすすめのWordPressセキュリティチェックリストをご理解いただけたでしょうか。また、WordPressサイトがハッキングされる理由のトップリストや、専門家が選ぶ最高のWordPressセキュリティプラグインもご覧ください。

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

アバター

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Reader Interactions

究極のWordPressツールキット

ツールキットへの無料アクセス - すべてのプロフェッショナルが持つべきWordPress関連製品とリソースのコレクション!

今すぐダウンロード

情報開示 私たちのコンテンツは読者支援型です。これは、あなたが私たちのリンクの一部をクリックした場合、私たちはコミッションを得ることができることを意味します。 WPBeginnerの資金源 をご覧ください。3$編集プロセスをご覧ください。

161件のコメント返信を残す

  1. Leanne

    This is one of the best tutorial sites (on any subject matter) I have found. Thank you I will refer wpbeginner to others – awesome site!

    返信

    • WPBeginner Support

      You’re welcome and glad you’ve found our content helpful :)

      返信

      管理者

  2. Daniel

    You know there are guys charging more than $50 or $100 dollars to teach you how to do all of this, and you gave it for free! Thanks heaps guys!

    返信

    • WPBeginner Support

      You’re welcome :)

      返信

      管理者

  3. Power

    Thanks for the article, its really useful

    返信

    • WPBeginner Support

      You’re welcome :)

      返信

      管理者

  4. Mydas

    This was super-useful. I have the coding skills to implement all of it, and now I can take much better care of my and my clients’ Wordpress installations. Thank you for the info, it’s so complete that I can’t believe it’s free xD

    返信

    • WPBeginner Support

      You’re welcome, glad our guide was helpful :)

      返信

      管理者

  5. Splendor Edesiri

    Please do I need a VPN to access my WordPress site from the backend as part of my WordPress site security.

    返信

    • WPBeginner Support

      No, that is not required

      返信

      管理者

  6. Kam

    Thank you for this article. It is essential reading!

    If you have a host like Bluehost, is it essential to have backup with a plugin such as Updraft plus + remote storage? After all, hosting providers should be providing backup?

    返信

    • WPBeginner Support

      While some hosts offer backups, we still recommend creating your own backups for safety

      返信

      管理者

  7. Kyle B.

    Changing the database prefix won’t make any difference. Other than that, not a bad article.

    返信

    • WPBeginner Support

      Thanks for sharing your opinion and glad you liked our article :)

      返信

      管理者

  8. kalmoa

    just an FYI, with Nginx there is no directory-level configuration file like Apache’s .htaccess. All configuration has to be done at the server level by an administrator, and WordPress cannot modify the configuration, like it can with Apache. So the part about ‘Disable PHP File Execution’, cannot be completed by wordpress installs running on Nginx. That includes myself, who is running my wordpress install on Vultr. Their one-click wordpress install gets deployed on Nginx (ubuntu 18.04)

    返信

    • WPBeginner Support

      Thank you for sharing this for the users who specifically are using Nginx for their site.

      返信

      管理者

  9. Tom

    What is the best method to update plugins if I have several that need updating? Update one at a time and see if the updated plugin breaks any of the functionality on the website?

    返信

  10. Kartik Satija

    Amazing article, very well articulated and documented.
    Thank you all so much for this.
    More power to you guys, keep up the good work.

    Cheers,
    Kartik.

    返信

    • WPBeginner Support

      Glad you found our guide helpful :)

      返信

      管理者

  11. MIMIFTAH

    Very Informative content. Thanks

    返信

    • WPBeginner Support

      You’re welcome :)

      返信

      管理者

  12. Liz

    Great article. I have a question about the hardening options. I read that enabling hardening on all options can cause some plugins or the theme to break/not work properly. If this happens, how difficult is it to fix? It seems like there’s more to it than just reverting the hardening option. Any insight you could offer would be greatly appreciated. Thanks!

    返信

    • WPBeginner Support

      It would depend on the specific hardening recommendation, plugin, and error message for the difficulty should an error appear. Otherwise, most plugins shouldn’t have an issue

      返信

      管理者

  13. Gary Starling

    Very helpful suggestions and well explained from the basic to the complex
    Thank you four your explanations

    返信

    • WPBeginner Support

      You’re welcome, glad our article could be helpful :)

      返信

      管理者

  14. Andrei

    Hi guys,

    After the first user enumeration, brute force a security plugin will block that IP address.

    If you password protect the wp-admin directory the plugin can no longer block that IP.

    Is that a correct assessment?

    返信

    • WPBeginner Support

      Correct, there would be a similar load to a blocked IP but if you need many new users to access your site then limiting login attempts would be better than password protecting your wp-admin

      返信

      管理者

      • Andrei

        Ok, I finally understood how this works and sharing here for everyone. Password protecting wp-admin is done at the server (Apache/Nginx) level. If a user enumeration, brute force is unable to bypass the server level, it would not be able to touch PHP/MySQL. Thus, password protecting wp-admin does not put additional load on the database.

        返信

  15. Peter

    Very informative and helpful, I have configured all the hardening procedure you mentioned, Thanks a lot.

    返信

    • WPBeginner Support

      You’re welcome, glad our guide was helpful :)

      返信

      管理者

  16. Aqib khan

    i will always follow you.i will always love you and always share such a fresh and cool content to make us smile.Thank You.

    返信

    • WPBeginner Support

      Thank you, glad you’ve enjoyed our content :)

      返信

      管理者

  17. mahmoud

    I love this site. you’re offering precious information.
    I’m a beginner and this is helpful.
    but can I only have a strong password and disable indexing to do the matter?
    what about all these plugins I think they will affect the site speed or this not installed on the site?

    返信

  18. Krishna

    Hi WP Beginner Team,

    Thanks for such a brief explanation of WordPress security. This article was very useful and let know the value of wp security for the users and website owner.

    THANKS AGAIN…

    返信

    • WPBeginner Support

      You’re welcome, glad our article was helpful :)

      返信

      管理者

  19. Kushal

    I used all plugin that you mentioned sucuri, itheams, wp serber and jetpack. How many plugin can I use on my website.

    返信

  20. Leighann

    This was SO helpful. Thanks for the information and saving me so much time!

    返信

    • WPBeginner Support

      You’re welcome, glad our guide could be helpful :)

      返信

      管理者

  21. Dietrich

    Hi

    Is it okay to use Sucuri and Wordfence at the same time? I installed Wordfence since Sucuri’s free version doesn’t have a firewall feature.

    返信

    • WPBeginner Support

      We would not recommend using both, multiple security tools can conflict with each other and cause issues with your site.

      返信

      管理者

  22. Yiannis Christodoulou

    Very helpful article.
    Thank you for sharing.

    返信

    • WPBeginner Support

      You’re welcome, glad our article could help :)

      返信

      管理者

  23. Steve Schultz

    Your free Sucuri Security plugin link is broken … 404 error.

    返信

    • WPBeginner Support

      Thanks for letting us know, the link should be fixed :)

      返信

      管理者

  24. Monty parihar

    Now my website is secured, after read your post immidiatly we install security plugin. Thank u WP Beginner.

    返信

    • WPBeginner Support

      You’re welcome :)

      返信

      管理者

  25. Melvin Adame

    Amazing read! Security should always be the #1 priority for any website owner, for their sake and their visitors.

    返信

    • WPBeginner Support

      Thank you, glad you like our content :)

      返信

      管理者

  26. Adil

    Thanks for all this info!

    返信

    • WPBeginner Support

      You’re welcome :)

      返信

      管理者

  27. Mark Bunner

    Some good tips here. I have already used a lot of them; but it gives a few other areas to think about.

    返信

    • WPBeginner Support

      Thank you, glad you like our recommendations :)

      返信

      管理者

  28. Chukwuemeka Ebuka

    Am very grateful for this article, all thanks to wpbeginner.com.

    返信

    • WPBeginner Support

      You’re welcome, glad our article could be helpful :)

      返信

      管理者

  29. Heidi

    Great article, thanks! I think I’ve done most of these things now (except ones requiring coding). I did however have a problem setting a password for the admin folder. While I worked out how to do this in cPanel (under ‘directory privacy’), when I went back to my dashboard I found I was locked out. Then I spent over an hour on chat support with Bluehost only to discover what I suspected – that when you log in to WP from Bluehost it takes you straight to the admin area, so there is no opportunity to login to the admin folder, which means you just get locked out. Guess this is a problem with Bluehost and the only solution they gave me was install a plugin :(

    返信

    • WPBeginner Support

      If you’re using their link from the hosting dashboard to log into your site that may be true but if you add /wp-admin to your domain then it should take you to the login page which will bring up the additional login requirement

      返信

      管理者

      • Heidi

        Ok great thanks, I’ll try that.

        返信

  30. Julian Song

    Awesome article on security. Setup WordPress is easy, but to managed it need lots of study & research. Your blog helps the community more than you can imagine. I even share your blog on the recent WordPress meet-up as one of the best guidelines.

    返信

    • WPBeginner Support

      Thank you for your kind words and sharing our articles :)

      返信

      管理者

  31. Malith

    Thank you very much!

    返信

    • WPBeginner Support

      You’re welcome, glad our guide could be helpful :)

      返信

      管理者

  32. Shiva Prasad

    Thanks for being a good mentor and for guiding me on the right path. I will always be thankful to you.

    返信

    • WPBeginner Support

      Glad our guides could help you :)

      返信

      管理者

  33. Majid

    Hi,

    I am new to wordpress, I am using bluehost to host my website, when I cliked on the wordpress button, it automatically took me to cPanel, without asking any password, which passwords are we talking about?

    P.S at the right top corner I could see Howdy, my name…does that mean is that my username?

    I do’t remember installing wordpress on bluehost, neither did I enter any username or password separately for wordpress.

    Please help.

    返信

    • WPBeginner Support

      That is BlueHost’s tool to make setting up your WordPress site easier, our article is talking about the password for your WordPress site. You can change your password for your site under Users>Your Profile. The name next to Howdy should be your username.

      返信

      管理者

  34. Terence Vickers

    You may have a typo in the XML-RPC section which is a bit confusing.
    Presently reads: “This is why if you’re not using XML-RPC, then we recommend that you disable it.”

    If I’m not using i There would likely be no way to disable it.

    返信

    • WPBeginner Support

      Apologies for any confusion, with that statement we mean if you’re not using it for a specific plugin or other need then we would recommend disabling it rather than meaning if it is disabled to disable it. We’ll look into clarifying that :)

      返信

      管理者

  35. Syed Gallani

    I understand keeping wordpress updated is essential for security, but is it really necessary ,from security point of view, to update all the plugins. How outdated plugins can make your website more prone to being hacked?

    返信

    • WPBeginner Support

      It would depend on the plugin for how it could make your site vulnerable but some plugins may have code that could be out of date for a newly discovered issue with a piece of code.

      返信

      管理者

  36. David Anozie

    A big thank you! Your the boss.

    返信

    • WPBeginner Support

      Thank you for being one of our readers :)

      返信

      管理者

  37. Nick

    Would blocking Search Engine Spiders (via robots.txt) from Indexing directories help with security?

    返信

    • WPBeginner Support

      No, it would only mean those search crawlers would not look at your site.

      返信

      管理者

  38. 寒星

    It’s turely helpful to maintaining WP. I love it and thank you so much.

    返信

    • WPBeginner Support

      You’re welcome, glad our article was helpful :)

      返信

      管理者

  39. peg

    i’m learning the hard way! : ) i’m so glad to have found you. i have a hacked 5-year old site hosted on godaddy (can’t get into the admin at all) … they want $300 to fix it, so i’m rebuilding on bluehost and implementing your security suggestions. looking forward to learning much more! thank you so much for this resource.

    返信

    • WPBeginner Support

      You’re welcome, glad our guide can help :)

      返信

      管理者

  40. Jeff Moyer

    Great comprehensive list thank you! Limiting the amount of login attempts I find is a big one since it will discourage a lot of hackers right from the get go. It might be frustrating if you lost or forget your passwords but still well worth it.

    返信

    • WPBeginner Support

      You’re welcome, glad you liked our article :)

      返信

      管理者

  41. Tanmay Kapse

    An awesomely detailed post!! each and every thing is described perfectly. Keep up the good work

    返信

    • WPBeginner Support

      Thank you, glad you liked our content :)

      返信

      管理者

  42. Sunny Chawla

    Much obliged to you for supportive page improve my site

    返信

    • WPBeginner Support

      Glad our guide could be helpful :)

      返信

      管理者

  43. Santhosh Naikar

    What are things I need to worry when it is hosted on a internal network[Has access to only systems with in our office network]?

    返信

    • WPBeginner Support

      Your main concern for an intranet would be to ensure each user has the correct privileges for their role, after that it would be protecting yourself from brute force attacks and similar.

      返信

      管理者

  44. steven suslick

    I find this and many of the posts very helpful. I have a hack related question. Google analytics is reporting strange pages that do not actually existing in my posts. The all seem to have a /?s= for example /?s=dox. I can not seem to locate source any suggestions?

    返信

    • WPBeginner Support

      Those pages are from users using the search on your site, for the second someone searched for the word dox :)

      返信

      管理者

  45. Emmanuel Ikechukwu

    This is the best wordpress online tutor i have come across so far.

    返信

    • WPBeginner Support

      Glad our articles are helpful :)

      返信

      管理者

  46. Bobbie Camp

    Found this article to be very helpful. I am very new and not “techy” and need all the assistance I can get. Appreciate your easy to read instructions.

    返信

    • WPBeginner Support

      Glad our articles could help :)

      返信

      管理者

  47. Jemes

    It is very helpful. Thanks

    返信

    • WPBeginner Support

      You’re welcome :)

      返信

      管理者

  48. NICHOLAS AMOL GOMES

    Thank you for helpful page improve my site

    返信

    • WPBeginner Support

      You’re welcome :)

      返信

      管理者

  49. Brad Vincent

    Hey guys,

    I must agree with your mentions of Sucuri – they have sorted out a couple of hacked sites of mine over the years. Worth every penny!

    I am really loving these extended posts with all the info I need. I have been following your website speed post and that has made a big difference to my sites. After I have finished with that I will be following this one for sure.

    Awesome work and much appreciated.

    返信

    • WPBeginner Support

      Thank you, glad you find our articles helpful :)

      返信

      管理者

  50. Brian

    What are your thoughts on Wordfence and Sucuri on the same WP installation? They seem to have some similar functionality so was wondering how much more I get with both versus just one security tool. Is Wordfence a reasonable alternative?

    返信

    • WPBeginner Support

      We would recommend only one at a time to prevent conflicts between the plugins.

      返信

      管理者

    • Mark

      I use Wordfence and Sucuri for different functions. While they may at first appear to be competitors, they are actually complementary. I’ve had no issues running both … so far … but of course there are incompatibilities among plugins in general.

      返信

返信を残す

コメントありがとうございます。すべてのコメントは私たちのコメントポリシーに従ってモデレートされ、あなたのメールアドレスが公開されることはありませんのでご留意ください。名前欄にキーワードを使用しないでください。個人的で有意義な会話をしましょう。

著作権 © 2009 - 2024 WPBeginner LLC.無断複写・転載を禁じます。WPBeginner®は登録商標です。

Awesome Motiveが管理する|WordPressホスティングSiteGroundが管理する

The WordPress® trademark is the intellectual property of the WordPress Foundation. Uses of the WordPress®, names in this website are for identification purposes only and do not imply an endorsement by WordPress Foundation. WPBeginner is not endorsed or owned by, or affiliated with, the WordPress Foundation.

を手伝ってほしい。…

人気のある検索

ブログの開始 ワードプレス SEO WordPress パフォーマンス WordPress エラー WordPress セキュリティ オンラインストアの構築