WordPressの管理エリアを保護する方法をお探しですか?
管理エリアを不正アクセスから保護することで、多くの一般的なセキュリティ脅威をブロックすることができます。WordPressサイトへの攻撃が多い場合に役立ちます。
このチュートリアルでは、WordPress管理エリアを保護するための重要なヒントとハックを紹介します。
多くのヒントを取り上げますので、以下のクイックリンクから各ヒントにジャンプしてください:
- Use a Website Application Firewall
- Password Protect WordPress Admin Directory
- Always Use Strong Passwords
- Use Two Step Verification on WordPress Login Screen
- Limit Login Attempts
- Limit Login Access to IP Addresses
- Disable Login Hints
- Require Users to Use Strong Passwords
- Reset Password for All Users
- Keep WordPress Updated
- Create Custom Login and Registration Pages
- Learn About WordPress User Roles and Permissions
- Limit Dashboard Access
- Log out Idle Users
1.ファイアウォールを使う
ファイアウォールはサイトのトラフィックを監視し、不審なリクエストをブロックします。
WordPressのファイアウォールプラグインはWordfenceなどいくつかありますが、Sucuriの使用をお勧めします。Sucuriは、クラウドベースのファイアウォールでサイトを保護する、ウェブサイトのセキュリティとモニタリングサービスです。
お客様のサイトのトラフィックはすべて最初にSucuriのクラウドプロキシを通過し、各リクエストを分析し、不審なものがお客様のサイトに到達しないようにブロックします。これにより、ハッキング、フィッシング、マルウェア、その他の悪意のある行為を防ぐことができます。
もう一つの素晴らしいオプションはCloudflareで、これは現在WPBeginnerで使用しているものです。詳しくは、SucuriからCloudflareに乗り換えた理由の投稿をご覧ください。
2.WordPress管理ディレクトリのパスワード保護
WordPressの管理エリアはすでにWordPressのパスワードで保護されています。しかし、WordPress管理ディレクトリにパスワード保護を追加することで、ログインページのセキュリティがさらに強化されます。
まず、WordPressウェブホスティングcPanelダッシュボードにログインし、’パスワード保護ディレクトリ’または’ディレクトリのプライバシー’アイコンをクリックする必要があります。
次に、通常/public_html/ディレクトリ内にあるwp-adminフォルダーを選択する必要があります。
次の画面では、’Password protect this directory’(このディレクトリをパスワードで保護する)オプションの隣にあるボックスにチェックを入れ、保護するディレクトリの名前を指定する必要があります。
その後、「保存」ボタンをクリックして権限を設定する。
次に、戻るボタンを押して、ユーザーを作成する必要があります。ユーザー名とパスワードを入力し、「保存」ボタンをクリックしてください。
これで、誰かがあなたのサイトのWordPress管理ディレクトリまたはwp-adminディレクトリにアクセスしようとすると、ユーザー名とパスワードの入力を求められます。
より詳細な手順については、WordPress管理(wp-admin)ディレクトリをパスワードで保護する方法のガイドを参照してください。
3.常に強力なパスワードを使用する
WordPressサイトを含むすべてのオンラインアカウントには、常に強力なパスワードを使用してください。パスワードには、文字、数字、特殊文字を組み合わせて使用することをお勧めします。こうすることで、ハッカーにパスワードを推測されにくくなります。
初心者の方から、パスワードをすべて覚えるにはどうしたらいいかという質問をよく受けます。最も簡単な答えは、その必要はないということです。コンピューターや携帯電話にインストールできる素晴らしいパスワード管理アプリがあります。
このトピックの詳細については、WordPress初心者に最適なパスワード管理方法のガイドをご覧ください。
4.WordPressログイン画面で二段階認証を使う
2 要素認証、2 要素認証、または 2FA とも呼ばれる 2 段階認証は、パスワードにもう 1 つのセキュリティ層を追加します。パスワードだけを使用する代わりに、携帯電話のGoogle Authenticatorアプリで生成された確認コードを入力するよう求められます。
WordPress パスワードを推測されても、Google 認証コードを入力する必要があります。
詳しい手順については、Google Authenticator を使用して WordPress で 2 段階認証を設定する方法をご覧ください。
5.ログイン試行を制限する。
WordPressの初期設定では、ユーザーは何度でもパスワードを入力することができます。これは、誰かが異なる組み合わせを入力することで、WordPressのパスワードを推測し続けることができることを意味します。また、ハッカーが自動スクリプトを使ってパスワードをクラックすることも可能です。
この問題を解決するには、Limit Login Attempts Reloadedプラグインをインストールして有効化する必要があります。有効化したら、Settings ” Login Lockdownページにアクセスしてプラグイン設定を行います。
詳しい説明は、なぜ WordPress でログイン試行を制限する必要があるのかについてのガイドをご覧ください。さらに詳しくプラグインについて知りたい方は、Limit Login Attempts の詳細なレビューをご覧ください。
6.IPアドレスへのログインアクセスを制限する。
WordPressログインを安全にするもう一つの素晴らしい方法は、特定のIPアドレスへのアクセスを制限することです。このヒントは、あなたや信頼できる少数のユーザーだけが管理エリアにアクセスする必要がある場合に特に役立ちます。
このコードを.htaccessファイルに追加するだけです:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>
xxの値を自分のIPアドレスに置き換えることをお忘れなく。インターネットにアクセスするために複数のIPアドレスを使用している場合は、それらのIPアドレスも追加してください。
詳しい手順は、.htaccessを使ってWordPress管理画面へのアクセスを制限する方法をご覧ください。
7.ログインヒントの無効化
ログインに失敗すると、WordPressはユーザー名やパスワードが間違っているかどうかを示すエラーを表示します。これらのログインヒントは、ブルートフォース攻撃のような悪意のある試みに使われる可能性があります。
テーマのfunctions.phpファイルに以下のコードを追加するか、WPCodeのようなコードスニペットプラグイン(推奨)を使用することで、これらのログインヒントを簡単に非表示にすることができます:
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
詳しくは、WordPressでサイトを壊さずにカスタムコードを追加する方法をご覧ください。
8.ユーザーに強力なパスワードの使用を必須とする。
複数の投稿者でWordPressサイトを運営している場合、それらのユーザーがユーザーアカウントを編集し、弱いパスワードを使用することができます。これらのパスワードはクラックすることができ、WordPressの管理エリアにアクセスすることができます。
これを解決するには、SolidWP プラグインをインストールして有効化します。その後、WordPress でユーザーに強力なパスワードを強制する方法の完全ガイドの手順に従ってください。
9.すべてのユーザーのパスワードリセット
マルチユーザーWordPressサイトのパスワードのセキュリティが心配ですか?すべてのユーザーにパスワードのリセットを簡単に依頼できます。
まず、Emergency Password Resetプラグインをインストールして有効化する必要があります。有効化したら、ユーザー ” 緊急パスワードリセットページに行き、’すべてのパスワードをリセット’ボタンをクリックします。
詳しい手順については、WordPressですべてのユーザーのパスワードをリセットする方法をご覧ください。
10.WordPressを更新し続ける
WordPressは頻繁に新しいバージョンをリリースします。WordPressコアの各新リリースには、重要なバグ修正、新機能、セキュリティ修正が含まれています。
古いバージョンのWordPressをサイトで使用すると、既知のエクスプロイトや潜在的な脆弱性にさらされる可能性があります。これを解決するには、WordPressの最新バージョンを使用していることを本当に〜してもよいですか?
このトピックについては、WordPressの最新バージョンを常に使用すべき理由をご覧ください。
同様に、WordPressプラグインも新機能の導入やセキュリティやその他の問題の修正のために頻繁に更新されます。WordPressのプラグインも最新のものにしておきましょう。
注: WordPressのメンテナンスはプロに任せたいですか?WPBeginnerのメンテナンスサービスでは、更新からマルウェアの駆除まですべてお任せいただけますので、サイト運営に専念していただけます。
11.カスタムログインと登録ページの作成
WordPressサイトの多くは、ユーザー登録が必須です。例えば、会員制サイト、学習管理サイト、オンラインショップなどでは、ユーザーがアカウントを作成する必要があります。
しかし、これらのユーザーは、WordPress管理エリアにログインするためにアカウントを使用することができます。これは大きな問題ではなく、ユーザーの権限グループによって許可されたことしかできないからです。
しかし、ログインページや登録ページへのアクセスを適切に制限することはできません。ログインページや登録ページは、ユーザーがサインアップしたり、プロフィールを管理したり、ログインするために必要だからです。
これを解決する簡単な方法は、カスタマイザーでログインや登録ページを作成し、ユーザーがあなたのサイトから直接サインアップやログインができるようにすることです。
ステップバイステップの詳しい説明は、WordPressでカスタマイザーログインと登録ページを作成する方法をご覧ください。
12.WordPressのユーザーグループと権限について学ぶ
WordPressには、さまざまなユーザー権限と機能を備えた強力なユーザー管理システムが搭載されています。WordPressサイトに新しいユーザーを追加する際、そのユーザーの権限グループを選択することができます。このユーザー権限グループによって、WordPressサイトでできることが定義されます。
間違ったユーザー権限を割り当てると、必要以上の権限を与えてしまう可能性があります。これを避けるためには、WordPressのさまざまなユーザー権限グループにどのような機能がついているかを理解する必要があります。
このトピックの詳細については、WordPressユーザー権限グループの初心者ガイドを参照してください。
13.WordPressダッシュボードへのアクセスを制限する
WordPressサイトによっては、ダッシュボードへのアクセスが必要なユーザーとそうでないユーザーがいます。しかし、初期設定ではすべて管理エリアにアクセスできます。
これを解決するには、Remove Dashboard Accessプラグインをインストールして有効化する必要があります。有効化したら、設定 ” ダッシュボードアクセスページに行き、どのユーザーグループがあなたのサイトの管理エリアにアクセスできるかを選択します。
より詳細な手順については、WordPressでダッシュボードへのアクセスを制限する方法をご覧ください。
14.アイドルユーザーのログアウト中
WordPressは、ユーザーが明示的にログアウトするか、ブラウザーウィンドウを閉じるまで、自動的にログアウトしません。これは、機密情報を扱うWordPressサイトにとっては懸念事項です。そのため、金融機関のサイトやアプリでは、ユーザーが有効化していない場合、自動的にログアウトするようになっている。
これを解決するには、Inactive Logoutプラグインをインストールして有効化します。有効化したら、Settings ” Inactive Logoutページに行き、ユーザーを自動的にログアウトさせたい時間を入力してください。
詳しくは、WordPressでアイドルユーザーを自動的にログアウトする方法の投稿をご覧ください。
この投稿が、WordPress管理エリアを保護するための新しいヒントやハックを学ぶのに役立てば幸いです。初心者のための究極のステップバイステップWordPressセキュリティガイドや、専門家が選ぶ最高のWordPressセキュリティプラグインもご覧ください。
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Danang Sukma
Thanks for your post.
Im using password protect for my wp-admin folder in cpanel, is it enough?
mby
uh what a useful info guys, it can help surely!!
thanks for posting! ^_^
anthony
This is great information which I will be implementing ASAP!I have already experienced having my blog hacked so have been worried about these issues.Many thanks!!
shoaib hussain
man m moving from one post to the other in your blog and m loving it it.thnx a lot.guess i’ll have to subscribe now.
tzutzu
AWESOME post!! Thank you for this info
Marlin
Thanks Nice list this will surely help to secure wordpress admin panel.
Abhilash Thekkel
Very useful tips. Thank you
Jessica
I’m currently learning wp development. I want to make a ecommerce site with wordpress using the WP e-Commerce plugin. Does anyone know if these tips will keep my ecommerce site secure.
Editorial Staff
Make sure that you have SSL Protection on your e-commerce site for all transactions. These are only to protect your admin area.
管理者
Ursula Comeau
Wow – this is an AWESOME post! Thank you so much for sharing all this information – and some great plugins as well!
In a world where security has become top priority, these are very important things to be aware of with a WordPress installation. Really appreciate your transparency and willingness to share this information! I’ll be tweeting this one.
Lilia
The problem with plugins is that they’re not always compatible with every version, and they aren’t always updated.
Editorial Staff
Most plugins are compatible with newer versions, and if the developer decides to leave development of the plugin, others often pick up and create a plugin with fixes for the future releases. You just have to stay active in the community.
管理者
Smashing Themes
Seriously guys, change your site name to WP ROCKER, you guys rock hard. I installed three plugins to protect my admin panel after reading this great post.
Dagmar
There are also some paid plugins – i.e. “WP Secure” which also claims it is going to make your WP secure from hackers. It also works on the summary of couple of the principles above – i.e. custom made login page, one IP confirmation etc.
Is it worthy to purchase? = anybody knows if it is easier to use for non-techie than some of the above mentioned?
Editorial Staff
If you can do the work for free then what is the point in paying?
管理者
iHacks
Link to WordPress Firewall Plugin?
Editorial Staff
It is working now.
管理者
Kjetil
Hi
Thanks a lot for your tips.
Regarding tip 8, I wonder how to insert the code
`add_filter(’login_errors’,create_function(’$a’, “return null;”));`
What is the complete function to use?
I’d like to try since I already use AskApache Password Protect and that plugin is incompatible with Secure Wordpress.
Thanks,
Kjetil
– http://www.dolcevita.no
Editorial Staff
You go to functions.php and insert that code. Thats all if we understand your question clearly. If this has not answered it, then please reply to the comment and we will surely take a look at it.
管理者
Robinoz
Thanks for this invaluable information. I’ve just suffered a malware attack that put my blog off line for a day or two while I had my Wordpress programmer sort it out. Ver inconvenient.
I’ll be implementing some of the suggestions you’ve made in the next day or so.
Robinoz
http://www.e1jobs-blog.com (All About Jobs blog”
secure server
good tips for securing wordpress. as time goes we are going to see hosts either become more stringent and secure or cms packages need to implement on install a few more security initiatives.
abbie
Hi. You’ve written a very good post.
I’ve rewrote this great post in Indonesian language.
I really hope you dont mind.
Editorial Staff
We have sent you an email regarding this. We do not allow full article translation. Please summarize it and link to our article if your users want to read the full tips.
管理者
abbie
Thanks for your response.
I’ll revise my post.
Arie
Hi there..
I want to ask something for you.
Besides i has to use askimet, captcha word, storng psswrd, is any other way for hacker to sabotage our web.
Thats my question, please repp to my mail
Regards,
Arie
Editorial Staff
Yes, if your host has vulnerabilities, then the hacker can get you down as well.
John Macpherson
It took me a few minutes to work this one out but you have the wrong kind of quotes around this function
add_filter(’login_errors’,create_function(’$a’, “return null;”));
It should be:
add_filter(‘login_errors’,create_function(‘$a’, “return null;”));
Other than that, great post.
jakesjohn
What you can from Wp-PreventCopyBlogs Wordpress Plugin
1.Track the visitors who try to copy your content.
2.Record the ip of the user who tries to do fraudulent copy with their landing url of your site and referral url.This can help you to do necessary measures if you notice something bad.
3.Enable Message displayed to your user upon user’s choice.
4.Disable Selection of you text and Right Click for users depending on the option.
Srecko Bradic
I must congratulate with this excellent article!!! To be honest I know for some tips but some very important info was unknown for me until now!
Keep on good work
Soxialize
Excellent post! Will be testing several of the security tips you provided. Thanks for putting all this together!
Heather
Brilliant post, I think I’ll sleep better tonight!
Henry
Regarding #6, if you use the following .htaccess file you will be able to login from other locations in a two-step process. This requires you to add a htpasswd file (read your server documentation).
AuthUserFile ‘some htpasswd file’
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic
order deny,allow
deny from all
Require valid-user
# whitelist Syed’s IP address
allow from xx.xx.xx.xxx
# whitelist David’s IP address
allow from xx.xx.xx.xxx
# whitelist Amanda’s IP address
allow from xx.xx.xx.xxx
# whitelist Muhammad’s IP address
allow from xx.xx.xx.xxx
# whitelist Work IP address
allow from xx.xx.xx.xxx
Satisfy Any
The “require valid user” and “satisfy any” lines will force the Apache Server to request a Username and Password before you can access the WordPress Login screen. Please DO NOT use the same Username and Password in the htpasswd file that you use for your WordPress access, or you will defeat the purpose of the extra level of security.
Editorial Staff
Thanks for the suggestion. Post updated with a link to this way as well
管理者
Laura
Thanks for the great article. I’m looking forward to making my own blog more secure.
A.rnaud
I just made a French translation of your article on my blog (http://bit.ly/19V6YU)
thanks for the tips !
Editorial Staff
Thanks for the translation
管理者
Constantine
Hi, I have been blogging for 3 years. My blog got hacked in June 2009 and google banned for 30 days, my pageviews immediately slide from 800 a day to less than 100 a day.
I highly recommend installing wordpress firewall plugin. The plugin will send your an email every time someone tries to hack your blog together with the hackers IP address. The plugin detects and blocks strange requests, redirecting the attack to the homepage.
On monday i got an email of six attempted hack attempts over the weekend. The hacker tried the admin page three times when that failed he tried searching wordspew plugin which i dont use.
To all newbies good luck
Editorial Staff
Thanks for suggesting this one. Its now added in the post
管理者
Renee Fischer
Once a hack is successful the bot or human hacker will keep your data and keep retrying your website files looking for a way back in. they will continue to be relentless. if they have happened to hack your email or computer or server they will keep going until they have hacked everything you touch. they are like cockroaches that found crumbs that led to your house.
Dirk
In reality 2., 7. and 11. (if not hardened) are the most important things. The other things are nearly unnecessary
Typhoon
Real a very useful article. I tweeted it.
By the way I want to ask one thing; How does Stealth Login works for guest authors?
Editorial Staff
You give them the special URL that you created if you trust them enough. For the most part, guest authors should not even be allowed in the admin panel unless they are authors of your site. If someone has written multiple posts for your site then they can be trustable so you can give them the special url /login or /googlogin or whatever you created.
Most top blogs take guest posts via email and if those guest authors become regular authors, only then they are allowed in the admin panel.
管理者
Misao
Thank you! Very helpful article. I will try your tips and hacks on some of my blogs.
sriganesh
very useful.
:geek: thanks for sharing. i will spred this surely
Yves
Hi
Nice list! You may want to add the nice “One time Password” plugin for Wordpress:
http://wordpress.org/extend/plugins/one-time-password/
quicoto
Thanks for the tips
Tim
Great tips.
For the involved readers there is an inaccuracy in #6.
“The downside to this hack is that if you ever want to access the admin panel from some other place, you won’t be able to do so unless you add that extra IP in your .htaccess file.”
If the ip-address you allow is a box you can can SSH into, you can SSH tunnel through it (I use foxyproxy, because it makes the switch very easy). Also, if you are using nginx instead of apache you can evaluate the URI w/ regular expressions to block everything from wp-app.php to wp-trackback.php (or selectively choose which ones you do not want to block). I cover this @ http://www.phrison.com/securing-arbitrary-uris/ but it is not for the unexperienced.
I have a large collection of tin-foil hats.
Editorial Staff
You are correct.
Warning: New users don’t try this at all. This is for experienced users only.
管理者
SaigonNezumi(Kevin)
Thanks for this piece. I have been waiting for an article like this. Adding a couple of your tips will help secure my WP sites.
Thanks again.
Editorial Staff
You are welcome
Let us know which one you use and your thoughts on the process of implementing it.
管理者
Dana DeFazio
I’m wondering if there is something comparable for my blog because it is a WordPress.com site and also I have a new blog at danaddiamond.BlogSpot.com
Editorial Staff
WordPress.com does not allow you to have a lot of privileges but with their server, you are safe for the most part.
管理者
Tinh
Excellent tips and hacks, I only applied 6 of 11 tips you suggested, let me try the rest
Jo
This site is a happy new find for me (FYI,thanks to @Problogger on Twitter), and I’m looking forward to further exploration. This article is the kind of tight, clear writing that is too rare these days. Thanks for some genuinely helpful information.
Editorial Staff
We are glad that you like our site, and we are also very glad that Darren found the article useful enough to tweet it. We hope you follow us on twitter so you can stay up to date with all the nice tutorials.
管理者
Marc
Wow – I’m fairly new to WP and had no idea there were so many gateways for hackers. I’m sure they won’t find their way in after adding a few of these.
Thanks.
Roger Duck
WordPress security is a growing issue and these steps are critical for securing a WordPress site. Beefing up security helps the entire community as well as your own site to take time to implement these ideas. Well done.
Rob
And to protect all your hard work / security features from your clients….
http://wordpress.org/extend/plugins/hide-admin-panels/
James Morrison
A good list of vital tips to secure your site. I particularly like #8 I’ve never done this before but will from now on!
Regarding #7 – Remove ‘admin’ username:
I don’t remove the admin username, I create a new admin account then change the ‘admin’ users account type to subscriber.
That way, even if someone does crack the password it’s a useless account. If you remove it, someone can register that username…
Kathlene
Qwerstion for James Morrison. Can you explain a bit more what you are saying and how to do it?
For the staff, I have tried a number of times to get a number for the akisnet plugin and cannot seem to come by one. How is one obtained.
Very nice post. I will be implementing these directly. I had one of my blogs hacked twice in 30 days once.
Thanks for the great info.
James Morrison
Follow these steps:
1.) Create a new user account with admin access (eg ‘James’)
2.) Sign in with new account to WP Admin
3.) Edit ‘admin’ users’ account and change access to subscriber
That way if someone tries to compromise the admin account and succeeds they still can’t do anything bad to your site.
To get an akismet key you need to sign up for one at http://www.wordpress.com
Hope this helps!
Mathdelane
You can always change the default “admin” username to anything you wish via phpMyadmin database. Here’s my post about it as well as my experience about blog hacking and security:
http://softwarecritics.info/open-source/blogosphere-alert-prevent-your-wordpress-blogs-from-being-hacked/
Cheap Sites
Thank you for all the suggestions, I’m working on a few big projects and this will certainly help once the blogs are up and running.
First time here and I’m loving the blog, good job!
Dan
Editorial Staff
Glad that you like it here. Feel free to make any suggestions if you ever have a question, or would like some specific topic covered at WPBeginner.
管理者
Flow Interactive
Good tips. You can also move your wp_config.php file outside of the web root to provide an extra layer of security.
Editorial Staff
Yes you can do that, but in this article we were only talking about WordPress Admin Panel not the entire site in general. There are many other ways to protect your site entire WordPress blog.
管理者
Shabayek
But what if you allow your blog visitors to register, and force them to log on before posting comments?
Editorial Staff
Then you cannot use the IP protect and others, but you should still use limit lockdown, not use admin username, and semisecure login.
管理者
Gerald Weber
I use the limit loggin requests to my ip address. This mean that anyone that attempts to access http://www.domainname.com/wp-admin that is not making the request from my ip address will simply get a 404 page.
Blogspot to wordpress
Hey very useful post.
MOst INteresting IDeas blog
Useful post for my blog.
Dreyer
A helpful list. Will be giving these a go. Better paranoid than sorry.
Rafi
Hey this is a wonderful collection of tips and hacks, very useful. I recommend every WP blogger to go through the list and follow the steps as well as any other useful resources available elsewhere. After all we have NOT set up our blogs so someone shall take control of our lives. Damn.
Thanks for sharing, WPBeginner.
Sergej Müller
Link to WordPress AntiVirus Protection?
Editorial Staff
No matter how much you proofread, some thing are always missed. Glad we have users like you. Link added. Thanks again.
管理者
Lolic
What about aksimet and captcha systems?