2026年にWordPressサイトをハッカーから保護する方法(17ステップガイド)
John Turner
ジョン・ターナー
WordPressサイトは6秒ごとに侵害されています。
それは比喩ではありません。Sophosによると、毎日約13,000のWordPressサイトがハッキングされています。
2025年、脆弱性が公に開示されてからボットが悪用し始めるまでの平均時間はわずか5時間でした。受信トレイで更新通知を読む頃には、ボットがアクセス可能なすべてのWordPressサイトに対してすでにテストしている可能性は十分にあります。
サイト所有者が準備不足だった場合に何が起こるか見てきました。クライアントは長年のコンテンツを失い、商品ページはゼロから再構築する必要があり、マルウェアのブラックリスト登録後、Googleのランキングが回復するのに数ヶ月かかりました。
彼らの誰もが同じステップをスキップしていました。つまり、実際の復旧計画を備えた動作するバックアップを持っていなかったのです。
このガイドはそこから始まります。ファイアウォールからではなく、パスワードからではなく、バックアップからです。なぜなら、正直な現実は、サイトをハッキング不可能にすることはできないからです。目標は、攻撃がサイトを終了させないようにすることです。
このガイドの終わりまでには、災害復旧ポイントと、サイトの侵害を困難にするための強化レイヤーが用意されているはずです。
主なポイントは次のとおりです:
- バックアップから始めましょう。他のすべてのステップは、復元ポイントがあることを前提としています。
- すべてを更新してください。プラグインの脆弱性は、開示から数時間以内に悪用されます。
- 「admin」ユーザー名を削除してください。これは、すべてのブルートフォース攻撃における最初の推測です。
- 2FAを追加してください。2番目の要素は、盗まれたパスワードが侵入になるのを防ぎます。
- ファイアウォールをインストールしてください。悪意のあるトラフィックがサイトに到達する前にフィルタリングします。
- サイトのアクティビティを追跡してください。WordPressはデフォルトでは何もログに記録しません。
クイックサマリー:ハッカーからウェブサイトを保護する方法
ハッカーからウェブサイトを保護する最善の方法は、自動バックアップを設定することです。Duplicatorのようなバックアッププラグインを使用すると、データはクラウドに一貫して保存されます。サイト全体が破損した場合でも復旧できるように、必ず災害復旧ポイントを設定してください。
セキュリティを強化するために、定期的なメンテナンスタスクも実行する必要があります。アップデート、マルウェアスキャン、データベースのクリーンアップは、しばしばハッカーをウェブサイトから遠ざけることができます。
目次
- ほとんどのウェブサイトはどのようにハッキングされるのか?
- ウェブサイトはハッキング不可能にできるか?
- ウェブサイトをハッカーから保護する方法
- 1. WordPressウェブサイトのバックアップを取る
- 2. 災害復旧計画を設定する
- 3. アップデートを忘れない
- 4. 非アクティブまたは未使用のソフトウェアを削除する
- 5. 強力なパスワードを使用する
- 6. 管理者ユーザー名を変更する
- 7. 安全なWordPressホスティングプロバイダーを選択する
- 8. セキュリティプラグインをインストールする
- 9. Webアプリケーションファイアウォールを設置する
- 10. SSL暗号化を使用する
- 11. マルウェアのスキャンを行う
- 12. ログイン試行回数を制限する
- 13. 二要素認証を追加する
- 14. ログインページを非表示にする
- 15. ファイル編集を無効にする
- 16. PHPファイル実行を無効にする
- 17.監査ログでサイト上のすべての操作を追跡する
- ハッカーからウェブサイトを保護するその他の方法
- ウェブサイトをハッカーから保護するためのFAQ
- あなたのサイトはハッキング不可能にはなりません。労力がかかるものにしましょう。
ほとんどのウェブサイトはどのようにハッキングされるのか?
ウェブサイトの保護を開始する前に、敵の戦術を理解する必要があります。ウェブサイトは、古いソフトウェア、弱いパスワード、パッチが適用されていない脆弱性、および不十分なセキュリティプラクティスが原因でハッキングされることがよくあります。
どのウェブサイトもサイバー攻撃に対して脆弱になる可能性があります。WordPressは最も人気のあるコンテンツ管理システム(CMS)であり、悪意のある活動の標的になりやすいです。
ハッカーがあなたのウェブサイトにアクセスする最も一般的な理由は次のとおりです。
- 弱いパスワード
- ファイル権限の誤り
- 安全でないウェブホスティング
- WordPress、プラグイン、またはテーマの古いバージョン
これらのセキュリティ上の脆弱性を修正しない場合、ブルートフォース攻撃、SQLインジェクション、ソーシャルエンジニアリング、クロスサイトスクリプティング(XSS)、ランサムウェア、その他のハッキングの被害に遭う可能性があります。
適切な予防措置を講じないと、マルウェア、悪意のあるコード、機密情報を漏洩するデータ侵害などのセキュリティ問題が発生する可能性があります。
ウェブサイトはハッキング不可能にできるか?
あなたのウェブサイトがハッキングされないことを保証する方法はありません。しかし、多くの脆弱性に対処し、サイバー攻撃の成功のリスクを大幅に減らすことができます。
優れたセキュリティプラクティスを使用することで、侵害の可能性を最小限に抑え、ウェブサイト全体のセキュリティを強化できます。ハッカーにとってあなたのウェブサイトは非常に困難なターゲットになります。
ウェブサイトをハッカーから保護する方法
ウェブサイトの所有者として、ハッカーからウェブサイトを保護したいと思うでしょう。しかし、その方法がわからないかもしれません。機密データが漏洩するのを防ぐために、役立つセキュリティのヒントをいくつか集めました!
これらのセキュリティのヒントがカバーする内容の簡単な概要を以下に示します。
- あらゆる攻撃から復旧するためのバックアップと復元戦略
- 一般的な脆弱性をブロックするためのセキュリティ強化技術
- パスワードと認証のベストプラクティス
- ホスティングとプラグインのセキュリティに関する推奨事項
- ファイアウォールやSSL暗号化などの高度な保護方法
- 脅威の一歩先を行くための監視とメンテナンスタスク
1. WordPressウェブサイトのバックアップを取る
ウェブサイトをハッカーから保護する最善の方法の1つは、定期的にバックアップすることです。これには、WordPressファイルとデータベースの機能的なコピーを保存することが含まれます。
ウェブサイトを頻繁にバックアップすれば、サイバー攻撃後にデータを復元できます。サイトはハッキング前の状態に戻るため、マルウェアを削除することを心配する必要はありません。
始めるにあたっては、WordPressのバックアッププラグインをインストールすることをお勧めします。Duplicatorのようなツールを使用すると、サイト全体のバックアップを簡単に作成し、必要に応じて復元できます。

新しいバックアップを作成するだけです。一意の名前を付け、すべてのファイルとデータベーステーブルが含まれていることを確認してください。

次に、バックアップをダウンロードできます。バックアップファイルを常に手元に置いておくために、安全な場所に保存してください。
手動バックアップを心配したくない場合は、自動バックアップを設定できます。新しいスケジュールを作成することで、ウェブサイトが1時間ごと、毎日、毎週、または毎月バックアップされることを保証します。

サイトと同じサーバーにバックアップを保存すると、その目的が無効になります。サーバーが侵害された場合、バックアップも一緒に失われます。
Duplicator Proで、クラウドストレージプロバイダーを接続してください。これらすべてのオプションをサポートしています。
- Duplicator Cloud
- Google Drive
- Dropbox
- Amazon S3
- Wasabi
- Google Cloud
- DreamObjects
- Vultr
- DigitalOcean Spaces
- Cloudflare R2
- Backblaze B2
WordPressバックアップストレージ用に実際に構築されているため、Duplicator Cloudの使用をお勧めします。単にデータを保存するだけでなく、必要に応じてバックアップを復元できます。サイトが利用できなくても、オフサイトダッシュボードは利用可能です。

承認プロンプトに従ってアカウントを接続してください。接続したら、バックアップ設定に戻り、そのクラウドの場所をバックアップ先として設定してください。

Duplicatorはスケジュールでデータをオフサイトに送信できるため、ハッキングによるデータ損失を防ぐことができます。
2. 災害復旧計画を設定する
万が一ハッキングされた場合に備えて、災害復旧計画を立てておくことをお勧めします。インシデントが発生する前に、最近のバックアップを災害復旧ポイントとして設定できます。
Duplicatorのバックアップログで、青い災害復旧アイコンをクリックします。

次に、災害復旧を設定します。

これにより、バックアップを復元する方法が2つになります。1つは、災害復旧リンクをコピーして保存することです。これをブラウザウィンドウに貼り付けると、すぐに復旧ウィザードが起動します。

復旧ランチャーをダウンロードすることもできます。このHTMLファイルを保存し、サイトを復元する必要があるときにいつでも開いてください。

災害復旧は、ハッキングを解決するための良い選択肢となります。特にWordPressダッシュボードにロックアウトされている場合はそうです。復旧リンクを貼り付けるか、復旧ランチャーを使用するだけで、すぐにアクセスを回復できます。
WordPressにまだログインできる場合は、ワンクリックで元のサイトを復元できます。バックアップページに移動し、クリーンなバックアップを見つけて、復元をクリックします。

バックアップを復元すると、バックアップ作成後に発生した悪意のあるアクティビティが自動的に削除されます。ただし、セキュリティを強化し、将来のハッキング試行を回避するために、このガイドを引き続きお読みください。
3. アップデートを忘れない
ウェブサイトのソフトウェア(テーマ、プラグイン、WordPressコアを含む)を更新することは、ウェブサイトのセキュリティの重要な部分です。ハッカーは、古いソフトウェアの既知の脆弱性を悪用することがよくあります。
すべてを最新の状態に保つことで、サイバー攻撃の潜在的な侵入口を排除できます。ソフトウェアの更新にはセキュリティパッチが含まれていることが多く、ウェブサイトに追加の保護が追加されます。
WordPressダッシュボードのアップデートページでソフトウェアのアップデートを管理できます。WordPressコア、プラグイン、テーマの新しいバージョンが表示されます。

4. 非アクティブまたは未使用のソフトウェアを削除する
ソフトウェアを最新の状態に保つことに加えて、積極的に使用していないプラグインやテーマを削除することも重要です。
古いプラグインの脆弱性は、ウェブサイトのセキュリティを侵害するために悪用される可能性があります。これにより、データ侵害、不正アクセス、さらにはマルウェアの配布につながる可能性があります。
未使用のプラグインを削除することで、潜在的なセキュリティリスクを最小限に抑え、サイバーセキュリティの脅威に対する防御を強化できます。
プラグインに移動し、非アクティブでフィルタリングします。実際に使用していないものは、単に非アクティブ化するのではなく、削除をクリックしてください。
非アクティブ化するとファイルがサーバーに残ります。削除するとファイルが削除されます。

テーマについても同様に行ってください。外観に移動し、テーマに移動します。非アクティブなテーマをクリックし、右下隅の削除をクリックします。

WordPressには有効なテーマが1つ必要であり、フォールバックとしてデフォルトのテーマを1つ保持しておくことを推奨します。それ以外は削除しても構いません。
この手順は5分で完了し、直ちに攻撃対象領域を縮小します。
5. 強力なパスワードを使用する
ハッカーに対する最初の防御策は、強力なパスワードです。覚えやすいように単純で短いパスワードを選択したくなるかもしれませんが、これによりサイトが脆弱になる可能性があります。
WordPressでは、強力な管理者パスワードを簡単に使用できます。パスワードを変更すると、WordPressは文字、数字、特殊文字のユニークな組み合わせで自動的に生成します。

パスワードマネージャーを使用してパスワードを安全に保存するのが好きです。他の誰もあなたの管理者資格情報を知らないことを確認するために、チームメンバーにも独自のユーザーロールと権限を与える必要があります。
ホスティングコントロールパネル、FTPアカウント、メールアドレスにも強力なパスワードが必要になることを忘れないでください。これにより、ハッカーはあなたのアカウントに侵入して悪用することができなくなります。
6. 管理者ユーザー名を変更する
あなたのサイトがしばらく存在している場合、まだユーザー名として「admin」でログインしている可能性があります。「admin」はハッカーが最初に推測するものの1つになるため、これはあなたのウェブサイトが悪用されるのを容易にする可能性があります。
ウェブホストのワンクリックインストール機能を使用した場合は、「admin」というユーザー名になっていることもあります。この場合、ウェブサイトを保護するためにWordPressのユーザー名を変更する必要があります。
WordPressでは既存のユーザー名を変更できないため、代わりに新しい管理者アカウントを作成します。「ユーザー」に移動し、「新規ユーザーを追加」を選択してください。
新しいユーザー名を入力し、ロールを「管理者」に設定します。強力でユニークなパスワードを使用してください。少なくとも20文字で、大文字、小文字、数字、記号を混在させてください。
新しいアカウントを保存し、ログアウトしてから新しい管理者ユーザーとして再度ログインします。「ユーザー」に戻り、古い「admin」アカウントを見つけて削除してください。

WordPressは、そのユーザーに帰属するコンテンツをどうするか尋ねます。新しいユーザー名を選択して確認してください。
7. 安全なWordPressホスティングプロバイダーを選択する
ウェブホスティングプロバイダーは、あなたのウェブサイトを成功させることも、失敗させることもあります。間違った選択をすると、ハッカーからウェブサイトを保護するための十分なセキュリティ対策が施されていない可能性があります。
WordPressホスティングプランで提供されるべき、いくつかの重要なセキュリティ機能をご紹介します。
- 疑わしいアクティビティに対する継続的なネットワーク監視
- DDoS攻撃を防ぐためのツール
- 最新のウェブサーバーソフトウェア、PHPバージョン、およびハードウェア
- 災害復旧計画
小さなブログを始めたばかりの場合、手頃な価格のために共有ホスティングプランを選んだかもしれません。しかし、あなたは多くの他のウェブサイトとリソースを共有することになります。これは、サーバー上の別のサイトがハッキングされた場合、あなたのデータが危険にさらされる可能性があることを意味します。
セキュリティを強化するために、新しいウェブホストへの移行をお勧めします。Bluehost、SiteGround、Hostingerのようなオプションはすべて、ハッキングやその他のサイバー攻撃を防ぐための高品質なセキュリティ機能を備えています。
WP Engineのようなマネージドホスティングプロバイダーも検討する価値があるかもしれません。これは、ファイアウォール、SSL証明書、自動バックアップ、自動更新を備えた、より安全なプラットフォームを提供することがよくあります。
8. セキュリティプラグインをインストールする
優れたウェブホストに加えて、WordPressセキュリティプラグインをインストールする必要があります。これらのウェブサイトセキュリティツールは、悪意のあるアクティビティを検出し、阻止し、ファイアウォール保護を提供し、マルウェアスキャンを実行することさえできます。
現在利用可能な最高のセキュリティプラグインの1つはSucuri Securityです。マルウェアスキャン、ブロックリスト監視、セキュリティ強化、およびサイトがハッキングされた後のアクションを提供する無料バージョンがあります。

Sucuriをインストールしたら、設定を開き、「Hardening」オプションを見つけるだけです。ここでは、セキュリティ機能のリストを確認し、それぞれに「Apply Hardening」をクリックします。

これにより、一般的なハッキング手法からウェブサイトが保護されます。ただし、Web Application Firewall(WAF)にアクセスするにはプレミアムバージョンにアップグレードする必要があることに注意してください。
9. Webアプリケーションファイアウォールを設置する
Web Application Firewall(WAF)は、さまざまなサイバー脅威や攻撃からウェブサイトを保護するために設計された強力なセキュリティツールです。ファイアウォールは、送受信トラフィックをフィルタリングし、悪意のあるリクエスト、不正アクセス試行、および疑わしいアクティビティをブロックします。
前述したように、Sucuriはファイアウォールを備えた包括的なセキュリティプラグインです。このセキュリティ機能は非常に役立ち、WPBeginnerがわずか3か月で450,000件のハッキングをブロックするのに役立ちました。
今すぐSucuriのファイアウォールでWordPressのセキュリティを強化しましょう!
10. SSL暗号化を使用する
SSL(Secure Sockets Layer)は、ウェブサイトとウェブブラウザ間のデータ転送を保護する暗号化の一種です。これにより、これら2つの間の交換データは機密性が保たれ、ハッカーのような不正な当事者から保護されます。
WordPressウェブサイトにとって、SSL暗号化は贅沢ではなく、必要不可欠です。
このセキュリティ対策により、ハッカーがパスワード、クレジットカードの詳細、個人データなどの機密情報を傍受することはほぼ不可能になります。ユーザー登録、ログイン認証情報、またはeコマーストランザクションを処理するウェブサイトにとって重要です。
SSL暗号化を有効にすると、ウェブサイトはHTTPではなくHTTPSを使用するようになります。ウェブアドレスの横に南京錠が表示され、サイトが安全であることを訪問者に伝えます。
SSL証明書の価格は、年間80ドルから数百ドルまで様々でした。しかし、Let's Encryptという非営利団体が無料オプションの提供を開始しました。これにより、ウェブホスティング会社がSSL証明書をプランに含めるようになりました。
もしSSLの使用を開始する必要がある場合は、ホストが無料で提供しているかどうかを確認してください。提供していない場合は、Domain.comから購入できます。
11. マルウェアのスキャンを行う
セキュリティプラグインをインストールすると、ウェブサイトを定期的にマルウェアのスキャンし、見つかった場合は通知が送信されます。しかし、オーガニックトラフィックやSEOランキングの低下に気づき、自分でマルウェアをチェックしたい場合があります。
通常、セキュリティプラグインで新しいマルウェアスキャンを開始できます。または、オンラインマルウェアスキャナーを使用することもできます。
Sucuriのマルウェアスキャナーのようなツールを使用すると、ウェブサイトのURLを入力できます。その後、マルウェアが検出されたかどうか、または検索エンジンによってブラックリストに登録されたかどうかを通知してくれます。

これにより、いつでも無料でWordPressのセキュリティを確認できます。Sucuriがマルウェアを検出した場合は、サイトのクリーンアップを開始するか、エラーのないバックアップを復元できます。
12. ログイン試行回数を制限する
ハッカーからウェブサイトを保護するためにできるもう1つのことは、ログイン試行回数を制限することです。このセキュリティ対策は、ボットがパスワードを推測してサイトが侵害されるまで試行するハッキングの一種であるブルートフォース攻撃を防ぎます。
デフォルトでは、WordPressは無制限のログイン試行を許可します。しかし、Limit Login Attempts Reloadedプラグインを使用すると、簡単に制限を設定できます。この無料ツールは、ウェブサイトに何度もログインしようとするIPアドレスをブロックします。

13. 二要素認証を追加する
二要素認証(2FA)は、WordPress のログインにセキュリティの追加レイヤーを設けます。ユーザーは、パスワードに加えて、携帯電話に送信されたコードなどの 2 番目の情報を提供する必要があります。
2FA を設定する最も簡単な方法は、WP 2FA のようなプラグインをインストールすることです。これを使用して、WordPress サイトにアクセスしようとするすべてのユーザーに対して二要素認証を有効にすることができます。

14. ログインページを非表示にする
ほとんどの WordPress ウェブサイトでは、wp-admin または wp-login で終わるログイン URL を使用しています。WordPress は最も人気のある CMS であるため、ハッカーはログインページを表示する方法を知っており、サイトへの侵入を試みることができます。
セキュリティの追加レイヤーを設けるために、WordPress ログインページを非表示にすることができます。これには、デフォルトのオプションの代わりにカスタムログイン URL を使用することが含まれます。
WPS Hide Login プラグインを使用すると、ログイン URL を簡単に更新できます。これにより、wp-login.php ページがアクセスできなくなり、代わりにカスタムログイン URL にリダイレクトされます。

15. ファイル編集を無効にする
WordPress ダッシュボードでは、テーマやプラグインファイルを編集するための組み込みコードエディターが表示されます。ハッカーが管理領域にアクセスした場合、これらのエディターを使用してウェブサイトに損害を与える可能性があります。
これを防ぐために、この機能をオフにすることを検討してください。必要なのは、このコードを wp-config.php ファイルに追加することだけです。
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Sucuri をインストールした場合は、セキュリティ強化設定でファイル編集をオフにすることもできます。これにより、不正なユーザーがサイトファイルを編集できなくなります!
16. PHPファイル実行を無効にする
ハッカーがウェブサイトを悪用する可能性のある方法の 1 つは、ディレクトリにファイルを追加して PHP を実行することです。WordPress は一部のディレクトリを書き込み可能にしているため、この機能は悪意のあるユーザーによって悪用される可能性があります。
幸いなことに、必要のないディレクトリの PHP ファイル実行を無効にすることができます。これにより、これらの特定のディレクトリで PHP ファイルが実行されるのを防ぐことができます。
これを行うには、テキストエディターを開き、このコードを追加します。
<Files *.php>
deny from all
</Files>
このファイルを .htaccess として保存し、uploads フォルダにアップロードします。
このプロセスに関する完全なステップバイステップガイドについては、WordPress の特定のディレクトリで PHP 実行を無効にする方法に関するこの記事が役立つかもしれません。
17.監査ログでサイト上のすべての操作を追跡する
WordPressはユーザーのアクティビティを記録しません。これまで一度もありません。
デフォルトでは、誰かがサイトにログインしたり、プラグインをインストールしたり、設定を変更したり、新しい管理者アカウントを作成したりしても、どこにも記録は残りません。何か発生したことを知るのは、被害に気づいたときだけです。
これにより、セキュリティインシデントの調査がはるかに困難になります。さらに、複数のユーザーがいるサイトでは、説明責任のメカニズムがまったくありません。
Duplicatorのアクティビティログがこれを解決します。サイト全体で60以上のイベントタイプを追跡します。各エントリにはタイムスタンプとアクションに関連付けられたIPアドレスが含まれます。

アクティビティログは、スタンドアロンプラグインとして年間29ドルから利用できます。また、Duplicator ProとWP Media Cleanupとともに、Duplicator Eliteプランに無料で含まれています。
有効化したら、WordPressのサイドバーにあるアクティビティログに移動して、イベントフィードを表示します。イベントは重大度別にタグ付けされています:クリティカル、高、中、低、情報。

すべてのエントリを読む必要はありません。重大度タグとフィルターにより、実際に重要なものを特定できます。

プラグイン設定で、クリティカルおよび高重大度のイベントのメール通知を有効にします。これにより、誰かが新しい管理者アカウントを作成したり、承認されていないプラグインをインストールしたり、一連のログイン試行失敗をトリガーしたりした場合でも、数日後ではなくすぐに知ることができます。

アクティビティログとDuplicator Proの組み合わせにより、セキュリティスタックが完成します。ログは、何がいつ起こったかを示します。バックアップにより、それが起こる前の状態にサイトを復元できます。
ハッカーからウェブサイトを保護するその他の方法
この記事では、サイバー攻撃からサイトを安全に保つための多くのヒントをリストしました。すでにこのリストを確認した場合は、実行できる追加の手順を次に示します。
- 疑わしいメールやリンクを開かないでください
- 訪問者がサイトにアップロードできるデータを制限する
- セキュリティ会社にウェブサイトの監査を依頼する
- サイトのユーザーにサイバーセキュリティについて教育し、不審なアクティビティを報告できるようにしましょう。
- ファイル権限を制限する
- 一定期間経過後にユーザーセッションをタイムアウトさせる
ウェブサイトをハッカーから保護するためのFAQ
ウェブサイトをより安全にするにはどうすればよいですか?
定期的なバックアップの作成、アップデートの実行、強力なパスワードの使用、セキュリティプラグインのインストールによって、ウェブサイトをより安全にすることができます。これにより、ウェブサイトの安全性は大幅に向上します。
ハッキングされたウェブサイトは復旧できますか?
はい、ハッキングされたウェブサイトは復旧できます。Duplicator Proのようなバックアッププラグインをインストールし、定期的にサイトのバックアップを作成してください。最新のエラーのないバックアップを復旧ポイントとして設定した後、復旧ポイントのURLをブラウザウィンドウに貼り付けます。その後、Duplicatorの復旧ウィザードを使用してサイトをロールバックできます。
自分のウェブサイトがハッキングされたかどうかはどうすればわかりますか?
新しいページ、見慣れないコード、予期しないリダイレクト、不要な広告など、異常または不正な変更が見られる場合は、ウェブサイトがハッキングされた可能性があります。ホスティングプロバイダー、セキュリティプラグイン、またはGoogleからアラートを受け取ることもあります。
ウェブサイトのセキュリティを確認するにはどうすればよいですか?
WordPressセキュリティプラグインでスキャンを実行することで、ウェブサイトのセキュリティを確認できます。または、サードパーティのマルウェアスキャナーを使用して、サイバーセキュリティの脅威を特定することもできます。
ホスティングプロバイダーはハッカーから私を守ってくれますか?
部分的に。優れたホストは、ファイアウォール、DDoS軽減、アカウント分離、インフラストラクチャレベルでのマルウェアスキャンなどのサーバーレベルの保護を提供します。彼らが保護できないのは、WordPressのインストール自体です。プラグインの脆弱性、ログイン認証情報、ファイル権限、構成の選択などです。ホスティングセキュリティとWordPressセキュリティは、どちらも注意が必要な2つの別個のレイヤーと考えてください。
あなたのサイトはハッキング不可能にはなりません。ハッカーにとって労力に見合わないようにしましょう。
ハッカーは、更新されていないサイト、デフォルトのユーザー名を使用しているサイト、ファイアウォールがないサイト、またはプレーンテキストで認証情報を保存しているサイトをスキャンするために、何百万ものサイトをスキャンする自動スクリプトを実行しています。
サイトに最新のバックアップ、更新されたソフトウェア、二要素認証、ファイアウォール、監査ログがある場合、スクリプトは次に進みます。より簡単な標的があります。
あなたが構築したのは多層防御です。ダッシュボードがロックされていても到達できるクリーンな復元ポイント、最も一般的な攻撃ベクトルをブロックする強化されたアクセス制御、そして何かが変更された場合に数分以内に通知するアクティブな監視です。
その組み合わせはあなたを免責するものではありません。侵害を生き延びさせ、調査を可能にします。
これを一度限りのプロジェクトではなく、メンテナンスとして扱ってください。プラグインの更新を確認したり、アクティビティログを調べて異常がないか確認したり、スケジュールされたバックアップが正常に完了していることを確認したりするために、毎月カレンダーのリマインダーを設定してください。
将来のハッキング試行からウェブサイトを保護する準備はできましたか? Duplicator Proをダウンロードして定期的なバックアップを保存し、必要なときにいつでも簡単にサイトをロールバックしましょう!
せっかくなので、これらの追加のWordPressチュートリアルもご覧ください。