あなたのサイトは安全ですか?徹底的なセキュリティ監査を行い、その結果を知りたいとお考えですか?
WordPressは箱から出してすぐはとても安全です。しかし、何かおかしいと思ったら、セキュリティ監査を受けることで、対処すべき問題を特定することができます。
この投稿では、サイトをダウンさせることなくWordPressのセキュリティ監査を簡単に行う方法を紹介します。
WordPressのセキュリティ監査とは?
WordPressサイトのセキュリティ監査とは、サイトにセキュリティ侵害の兆候がないかチェックすることです。WordPressのチェックを行うことで、不審なアクティビティ、悪意のあるコード、パフォーマンスの異常なドロップを探すことができます。
手動で実行できる簡単な手順に従って、基本的なセキュリティ監査を実行する方法を紹介します。また、WordPressのセキュリティ監査ツールやサービスを使って自動的にセキュリティチェックを行う方法も紹介します。
不審な点が見つかったら、それを切り分け、削除し、修正することができる。
WordPressのセキュリティ監査を行うタイミング
WordPressのセキュリティ監査は、少なくとも四半期に一度は実施すべきです。そうすることで、すべてを把握し、セキュリティの抜け穴がトラブルを引き起こす前に塞ぐことができます。
しかし、次のような不審な点に気づいたら、すぐにセキュリティ監査を行うべきである:
- あなたのサイトが突然遅くなった。
- サイトのトラフィックがドロップした。
- サイトに不審な新規アカウント、パスワード忘れ、ログイン試行がある。
- あなたのサイトに不審なリンクが表示されています。
それでは、WordPressのセキュリティ監査を簡単に行う方法を見ていきましょう。
WordPressの基本的な手動セキュリティ監査の実施
ここでは、WordPressの基本的な手動セキュリティ監査をサイトで実施するために必要な手順をチェックリスト形式でご紹介します。
1.WordPressコア、プラグイン、テーマの更新
WordPressの更新は、サイトのセキュリティと安定性のために本当に重要です。セキュリティの脆弱性を修正し、新機能を追加し、パフォーマンスを向上させます。
WordPressのコアソフトウェア、すべてのプラグイン、テーマが最新であることを確認してください。WordPressの管理エリア内のダッシュボード ” 更新ページにアクセスすることで簡単に行うことができます。
WordPressは、利用可能な更新があるかどうかを調べ、インストーラの一覧を表示します。さらにヘルプが必要な場合は、WordPressの適切な更新方法と WordPressプラグインの適切な更新方法のガイドをご覧ください。
2.ユーザーアカウントとパスワードの確認
次に、Users ” All UsersページにアクセスしてWordPressのユーザーアカウントを確認する必要があります。そこにあるはずのない不審なユーザーアカウントを探します。
オンラインショップや 会員制サイトを運営したり、オンラインコースを販売している場合、カスタマイザー用のユーザーアカウントを持っているかもしれません。
ただし、ブログやビジネスサイトを運営している場合は、自分自身や手動で追加したユーザーのアカウントしか表示されません。
不審なユーザーアカウントを見つけたら、削除する必要がある。
あなたのサイトがユーザーによるアカウント作成を必須としていない場合、設定 ” 一般ページにアクセスし、’誰でも登録可能’オプションの隣にあるボックスのチェックが外れていることを確認する必要があります。
さらに念のため、WordPressの管理者パスワードを変更する必要があります。サイトのパスワードセキュリティを強化するために、2要素認証を追加することを強くお勧めします。
3.WordPressのセキュリティスキャンを実行する。
次のステップは、サイトにセキュリティの脆弱性がないかチェックすることです。幸いなことに、マルウェアのチェックに使えるオンライン・セキュリティ・スキャナーがいくつかあります。
IsItWPセキュリティスキャナを使用することをお勧めします。このスキャナは、あなたのサイトにマルウェアやその他のセキュリティ上の脆弱性がないかをチェックします。
これらのツールは良いものですが、サイトの公開ページしかスキャンできません。より深い監査を行う方法は、この投稿の後半で紹介する。
4.サイト分析をチェックする
サイト分析は、ウェブサイトのトラフィックを追跡するのに役立ちます。また、サイトの健全性の指標にもなります。
あなたのサイトが検索エンジンのブラックリストに登録されている場合、ウェブサイトのトラフィックが急激にドロップします。もしあなたのサイトが遅かったり、反応が悪かったりすれば、ページビューは全体的にドロップします。
MonsterInsightsを使ってサイトのトラフィックをトラッキングすることをお勧めします。全体のページビューを表示するだけでなく、登録ユーザー、WooCommerceカスタマー、フォームコンバージョンなどをトラッキングすることもできます。
5.WordPressバックアップの設定と確認
もしまだそうしていないのであれば、すぐにWordPressのバックアッププラグインを設定する必要がある。これにより、何か問題が発生した場合に備えてサイトのバックアップを常に確保することができる。
多くの初心者は、WordPressのバックアッププラグインを設定した後、そのことを忘れてしまう。時には、バックアッププラグインは予告なしに動作しなくなることがあります。バックアッププラグインがまだ動作し、バックアップを保存していることを確認することをお勧めします.
WordPressの自動セキュリティ監査の実行
上記のチェックリストで、セキュリティ監査の最も重要な側面を確認することができます。しかし、これはあまり徹底したプロセスではないため、あなたのサイトはまだ脆弱である可能性があります。
例えば、ユーザーのアクティビティ、ファイルの差分、不審なコードなどをすべて手作業で記録するのは困難です。そこで、セキュリティ監査を自動化し、すべての記録を残すプラグインが必要になる。
WordPressのセキュリティ・プラグインを使えば、このプロセスを自動化できる。
1.WPアクティビティログによるセキュリティ監査の有効化
WP Activity Logは、市場で最高のWordPressアクティビティ監視プラグインです。
あなたのサイト上のすべてのユーザーのアクティビティを追跡することができます。ユーザーのログイン、IPアドレス、サイト上での行動をすべて表示できます。
サイトにアカウントを持つWooCommerceユーザー、エディター、投稿者、その他のメンバーをトラッキングできます。
また、追跡したいイベントをオンにし、監視したくないイベントをオフにすることもできる。
プラグインはまた、あなたのサイトにログイン中のすべてのユーザーのライブビューを表示します。不審なアカウントを見つけたら、すぐにセッションを終了し、ロックアウトすることができます。
さらに詳しくは、WP Activity Logを使用してWordPressのユーザーアクティビティを監視する方法をご覧ください。
2.Sucuriでセキュリティ監査を自動実行する
Sucuriは、市場で最高のWordPressファイアウォールプラグインであり、あなたのサイトのために取得することができるオールインワンのWordPressセキュリティソリューションでもあります。
DDoS攻撃がサイトに到達する前に、疑わしい活動をブロックすることで、DDoS攻撃からリアルタイムに保護します。これにより、サーバーの負荷が軽減され、サイトのスピード/パフォーマンスが向上します。
WordPressのファイルに不審なコードがないかチェックするセキュリティプラグインがビルトインされています。また、サイト全体のユーザーアクティビティを詳細に見ることができます。
最も重要なのは、Sucuriがすべての有料プランでマルウェア除去を無料で提供していることです。つまり、すでに被害を受けているサイトであっても、セキュリティ専門家が駆除してくれるのです。
ボーナス:WordPressメンテナンスサービスの利用
サイトのセキュリティを自分で管理するのは、特に技術に詳しくないユーザーにとっては時間がかかり、複雑です。そこで、24時間365日のセキュリティ監視を提供するWordPressメンテナンスサービスに依頼することで、時間の節約と作業負荷の軽減を図ることができます。
WPBeginnerプロサービスは、信頼性の高いWordPressメンテナンスサービスを手頃な価格で提供しています。セキュリティ監視、定期的なバックアップ、更新、アップタイム監視などが含まれます。
毎月のメンテナンスパッケージをお選びいただくだけで、サイトのセキュリティは専門家にお任せいただけます。
WordPressのセキュリティに関するエキスパートガイド
WordPressのセキュリティ監査の方法はお分かりいただけたと思いますが、WordPressのセキュリティに関する他のガイドもご覧ください:
- WordPressでユーザーに強力なパスワードを強制する方法
- ブルートフォース攻撃からWordPressサイトを守る方法
- WordPressサイトがハッキングされるトップ理由(とその防止策)
- あなたのWordPressサイトがハッキングされている兆候(専門家のヒント)
- WordPressサイトの潜在的な悪意のあるコードをスキャンする方法
- ハッキングされたWordPressサイトのバックドアを見つけて修正する方法
この投稿が、あなたのサイトでWordPressのセキュリティ監査を行う方法を学ぶのにお役に立てば幸いです。また、WordPressのSEOを改善する方法についてのガイド、またはWordPressのランディングページのプラグインを専門家が選んだ記事もご覧ください。
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Eva says
1st step to fight daily brute force attacks attempts is to change the default login url.
WPBeginner Support says
Instead of changing the login url we would normally recommend using a plugin like limit login attempts as changing the login URL has a higher chance of causing problems for beginners.
管理者
Eva says
Well, I do both! And many more. Security is my number one priority. I see what you mean, but most words are as easy to memorize as /wp-admin or /wp-login especially for beginners in my opinion.
WPBeginner Support says
It is less about remembering the login URL and more about if there are any errors when trying to change the URL, most beginners don’t have the tools to fix the login address.
Eva says
I see, good point! In many cases, just renaming the plugin directory by FTP is enough to disable it and access again through /wp-login. But I get it, it is not beginner-friendly!
DW says
Yeah, doing the login URI really doesn’t do much. It’s a technique known as “security by obscurity” – basically security by “hiding”.
If someone is determined to get into your website, using these “Security by obscurity” techniques would at best slow them down by a few minutes. It’s not really a substitute for properly securing your website.
You’re far better off securing your website properly. Techniques like plugins to prevent brute force attacks, enforcing strong passwords, enforcing multi-factor authentication for at the very least admin accounts, and if you have the luxury of having a Static IP address creating an .htaccess file that only allows access to the admin page from your IP address are all far better solutions.