WordPressサイトをハッカーから保護するためのヒントとコツがいくつかありますが、最も重要でよく使われる5つのヒントは次のとおりです。
すべてをデフォルトから変更する
ハッカーは、通常、最初に、デフォルトのオプションがオンになっていると思ってWebサイトを攻撃するため、次のようなすべてを変更する必要があります。
- デフォルトのユーザー名はadminで、より適切な名前はプライベートな個人的なニックネームである必要があります.
- 通常ルートにあるインストールフォルダーはランダムなフォルダーである必要があり、小さなphpコードを使用して、インストールフォルダーが通常のものではない場合でも、通常どおりWebサイトにアクセスできます。 WordPressインデックスを配置したルートのindex.phpからphpコードを変更できますが、インストールフォルダーは次で始まる行から変更します。
require(dirname(__FILE__)。 ‘/ wp-blog-header.php’);
に
require(dirname(__FILE__)。 ‘/ random_folder_name / wp-blog-header.php’);
- 次のようなユーザーデータのより良い暗号化に使用されるwp-config.php構成ファイルからのWordPressキー:
define( ‘AUTH_KEY’、 ‘ここにあなたのユニークなフレーズを置く’);
define( ‘SECURE_AUTH_KEY’、 ‘ここにあなたのユニークなフレーズを置く’);
define( ‘LOGGED_IN_KEY’、 ‘ここに独自のフレーズを置く’);
define( ‘NONCE_KEY’、 ‘ここにあなたのユニークなフレーズを置く’);
- WordPress用のデータベースを作成するときの_wpという名前のデフォルトのテーブルプレフィックス.
- 自動入力フォームを削除して、フォームがプライベートデータで自動的かつ即座に入力されないようにする必要があります.
- 右クリックを無効にすると、ハッカーは簡単にソースコードを見ることができず、テンプレート名、WordPressバージョン、プラグインなどの個人情報を検索できません.
- wp-admin、wp-includes、wp-content / plugins /、wp-content / cache /、wp-content / themesなどの管理セクションのインデックス作成から検索エンジンスパイダーをブロックし、ロボットを使用してフィード、トラックバック、カテゴリページでのアクセスを許可しない以下の例のようにルートディレクトリに配置された.txtファイル:
#
ユーザーエージェント: *
許可しない:/ cgi-bin
禁止:/ wp-admin
禁止:/ wp-includes
禁止:/ wp-content / plugins /
禁止:/ wp-content / cache /
禁止:/ wp-content / themes /
許可しない:* / trackback /
許可しない:* / feed /
禁止:/ * / feed / rss / $
禁止:/ category / *
- .htaccessファイルを変更して保護し、次のようにルート.htaccessファイルのコードを使用してWordPressのハッキングを防止します。
#強力なHTACCESS保護
注文を許可、拒否
すべてを否定する
すべてを満たす
- .htaccessに記述された追加コードを使用してwp-config.phpを保護します。
#wp-config.phpを保護
注文拒否、許可
すべてから拒否
- .htaccess追加コードを追加して、wp-contentディレクトリへのアクセスを制限します。
注文拒否、許可
すべてから拒否
すべてから許可
- .htaccessで記述されたコードを使用してディレクトリの参照を無効にします。
オプションすべて–インデックス
- 別の.htaccessコードによるスクリプトインジェクションを防止します。
#SQLインジェクションから保護する
オプション+ FollowSymLinks
RewriteEngine On
RewriteCond%{QUERY_STRING}(\<|%3C)。* script。*(\>|%3E)[NC、OR]
RewriteCond%{QUERY_STRING} GLOBALS(= | \ [| \%[0-9A-Z] {0,2})[OR]
RewriteCond%{QUERY_STRING} _REQUEST(= | \ [| \%[0-9A-Z] {0,2})
RewriteRule ^(。*)$ index.php [F、L]
すべてを更新する
WordPressサイトを保護するもう1つの方法は、新しい更新について通知するWP Updates Notifierプラグインを使用して、各プラグイン、テーマ、またはWordPressコアを調査して、更新しても安全かどうかを確認することです.
この場合、すべて問題ありません。最後のバージョンでできるだけ早く更新する必要があります。そうしないと、Webサイトが古くなり、エクスプロイトが表示される可能性があります。安全でない場合は、更新せずに、プラグインまたはテーマを非アクティブ化して削除し、代わりに新しいより優れたプラグインを使用してください。.
改善されたセキュリティ技術の使用
クレジットカード番号などの個人情報が専用IPを提供するハッカーまたは優れたWebホスト会社に転送されるのを防ぐ暗号化されたSSL証明書などの改善されたセキュリティ技術を使用する場合、DDoSおよびスパム保護もまたあなたのウェブサイトのセキュリティになります安全になる.
強化されたセキュリティソフトウェアの使用
WP Security Scanなどのさまざまなセキュリティプラグインをインストールすることもできます。これは、脆弱性の後にアンチウイルススキャンのように機能し、不正なコードが見つかった場合に通知します。このプラグインは、XSSの脆弱性、侵入、ロックアウト、不正なログイン試行のログに非常に適していますが、BitDefenderアンチウイルスやESET Nod32アンチウイルスなどの通常のウイルス対策を使用して、FTPまたはWordPressメディアライブラリ経由でアップロードしたファイルをスキャンできます.
さらに、クラウドベースのプラグアンドプレイサービスであるWebアプリケーションファイアウォール(WAF)をインストールして、すべての着信トラフィックまたは他のセキュリティアプリケーション(Acunetlx WP Securityなど)のゲートウェイとして機能させ、WebサイトのCMSのIDを隠すことができます。.
定期的にあなたのウェブサイトをバックアップ
また、毎日定期的に、または少なくとも毎週手動で、または可能であれば自動的に、 WordPressプラグイン またはホスティング会社が提供するR1-Softのようなソフトウェア.
電子メール、ftpファイルだけでなく、データベースもバックアップする必要があります。特にWordPressは機能、コンテンツ、デザインの側面でデータベースを使用するためです。.
確かに、すべてのバックアップを ドロップボックス, お持ちのスペースに応じてOneDriveまたはMediaFire.
結局のところ、必要な予防策をすべて講じていても、次のような常識的なルールを守らないと、簡単にハッキングされたり騙されたりする可能性があります。
- WordPressダッシュボードまたは他のコンピューターや職場/学校からWebサイトに関連する他のダッシュボードにログインしないでください。ログインしたことを忘れて、誰かが後でWebサイトにアクセスできる可能性があります。.
- cPanel、FTP、データベース、WordPress、またはホスティング認証情報は絶対に与えないでください。間違っているかどうかにかかわらず、人々は本当に悪いことをすることができます.
- ログインには常にウェブサイトのリンクを使用し、類似している場合でも別のウェブサイトを使用しないでください。簡単に詐欺され、認証情報をプライベートサーバーに保存したり、メールで送信したりできます.
- 特定の理由でWebサイトにユーザーを追加する必要がある場合は、常に適切に定義されたロールとユーザー権限を使用してください.
- ウェブサイトへのログインには、一般的なものではなく、常にプライベートなメールアドレス、ユーザー名、パスワードを使用してください.
- WebデザイナーやWebプログラマーなどの誰かにFTPまたはその他の資格情報を与えた場合、彼が仕事を終えた後にそれらを変更する必要があり、彼に管理者に付与するような悪用スクリプトを使用していないかどうかを確認する必要がありますマウスを1回クリックするだけで、WordPress Webサイトに対する権限.
あなたのウェブサイトは保護されていますか? WordPressサイトを保護し、ハッカーから保護するためにどのような対策を講じていますか?コメント欄で教えてください!
