ハッカーからウェブサイトを保護する方法（専門家による16のヒント）

ハッカーは毎日、世界中のWordPressサイトに対して数千件の攻撃を仕掛けています。

あなたのサイトも標的になる可能性があります。あなたが特別に狙われているからではなく、自動化されたボットが常にインターネット上で脆弱なウェブサイトをスキャンしているからです。

ウェブサイトが侵害されると、収益の損失、評判の低下、そして復旧に費やされる無数の時間を意味します。中小企業の経営者にとっては、壊滅的な事態になりかねません。

しかし、ほとんどの成功した攻撃は、驚くほど簡単に修正できる既知の脆弱性を悪用しています。適切なアプローチをとれば、WordPressサイトを強化し、ハッカーをより簡単な標的を探すように仕向けることができます。

サイバー脅威からWordPressサイトを保護するための実績ある戦略を説明します。

あなたは以下を学びます：

• ハッカーはWordPressサイトをどのように標的にし、何がそれらを脆弱にするのか
• ウェブサイトを保護するための専門家がテストした16のセキュリティ戦略
• 不可欠なバックアップと復旧方法
• 安全なホスティングの選択方法と保護プラグインのインストール方法
• ファイアウォールや二要素認証などの高度なセキュリティ対策

クイックサマリー：ハッカーからウェブサイトを保護する方法

ハッカーからウェブサイトを保護する最善の方法は、自動バックアップを設定することです。Duplicatorのようなバックアッププラグインを使用すると、データはクラウドに一貫して保存されます。サイト全体が破損した場合でも復旧できるように、必ず災害復旧ポイントを設定してください。

セキュリティを強化するために、定期的なメンテナンスタスクも実行する必要があります。アップデート、マルウェアスキャン、データベースのクリーンアップは、しばしばハッカーをウェブサイトから遠ざけることができます。

目次

どのウェブサイトもサイバー攻撃に対して脆弱になる可能性があります。WordPressは最も人気のあるコンテンツ管理システム（CMS）であり、悪意のある活動の標的になりやすいです。

詳細については、WordPressは安全ですか？という質問に答える投稿をお読みください。

ハッカーがあなたのウェブサイトにアクセスする最も一般的な理由は次のとおりです。

• 弱いパスワード
• ファイル権限の誤り
• 安全でないウェブホスティング
• WordPress、プラグイン、またはテーマの古いバージョン

これらのセキュリティ上の脆弱性を修正しない場合、ブルートフォース攻撃、SQLインジェクション、ソーシャルエンジニアリング、クロスサイトスクリプティング（XSS）、ランサムウェア、その他のハッキングの被害に遭う可能性があります。

適切な予防措置を講じないと、マルウェア、悪意のあるコード、機密情報を漏洩するデータ侵害などのセキュリティ問題が発生する可能性があります。 

優れたセキュリティプラクティスを使用することで、侵害の可能性を最小限に抑え、ウェブサイト全体のセキュリティを強化できます。ハッカーにとってあなたのウェブサイトは非常に困難なターゲットになります。 

ウェブサイトをハッカーから保護する方法（専門家による16のヒント） 

ウェブサイトの所有者として、ハッカーからウェブサイトを保護したいと思うでしょう。しかし、その方法がわからないかもしれません。機密データが漏洩するのを防ぐために、役立つセキュリティのヒントをいくつか集めました！

これらのセキュリティのヒントがカバーする内容の簡単な概要を以下に示します。

• あらゆる攻撃から復旧するためのバックアップと復元戦略
• 一般的な脆弱性をブロックするためのセキュリティ強化技術
• パスワードと認証のベストプラクティス
• ホスティングとプラグインのセキュリティに関する推奨事項
• ファイアウォールやSSL暗号化などの高度な保護方法
• 脅威の一歩先を行くための監視とメンテナンスタスク

1. WordPressウェブサイトのバックアップを取る

ウェブサイトをハッカーから保護する最善の方法の1つは、定期的にバックアップすることです。これには、WordPressファイルとデータベースの機能的なコピーを保存することが含まれます。 

ウェブサイトを頻繁にバックアップすれば、サイバー攻撃後にデータを復元できます。サイトはハッキング前の状態に戻るため、マルウェアを削除することを心配する必要はありません。

始めるにあたっては、WordPressのバックアッププラグインをインストールすることをお勧めします。Duplicatorのようなツールを使用すると、サイト全体のバックアップを簡単に作成し、必要に応じて復元できます。

ウェブデザインエージェンシーがDuplicatorを使用して3分未満でクライアントのウェブサイトを復元する方法をご覧ください！

新しいバックアップを作成するだけです。一意の名前を付け、すべてのファイルとデータベーステーブルが含まれていることを確認してください。

次に、バックアップをダウンロードできます。バックアップファイルを常に手元に置いておくために、安全な場所に保存してください。

手動バックアップを心配したくない場合は、自動バックアップを設定できます。新しいスケジュールを作成することで、ウェブサイトが1時間ごと、毎日、毎週、または毎月バックアップされることを保証します。

2. 災害復旧計画を設定する

万が一ハッキングされた場合に備えて、災害復旧計画を立てておくことをお勧めします。インシデントが発生する前に、最近のバックアップを災害復旧ポイントとして設定できます。

Duplicatorのバックアップログで、青い災害復旧アイコンをクリックします。

次に、災害復旧を設定します。

これにより、バックアップを復元する方法が2つになります。1つは、災害復旧リンクをコピーして保存することです。これをブラウザウィンドウに貼り付けると、すぐに復旧ウィザードが起動します。

復旧ランチャーをダウンロードすることもできます。このHTMLファイルを保存し、サイトを復元する必要があるときにいつでも開いてください。

災害復旧は、ハッキングを解決するための良い選択肢となります。特にWordPressダッシュボードにロックアウトされている場合はそうです。復旧リンクを貼り付けるか、復旧ランチャーを使用するだけで、すぐにアクセスを回復できます。

WordPressにまだログインできる場合は、ワンクリックで元のサイトを復元できます。バックアップページに移動し、クリーンなバックアップを見つけて、復元をクリックします。

バックアップを復元すると、バックアップ作成後に発生した悪意のあるアクティビティが自動的に削除されます。ただし、セキュリティを強化し、将来のハッキング試行を回避するために、このガイドを引き続きお読みください。

サイトがハッキングされましたが、災害復旧を設定するのを忘れました！バックアップがない場合、どうすればよいですか？ここでは、バックアップなしでサイトを復元する方法を説明します。

3. アップデートを忘れない

ウェブサイトのソフトウェアを更新すること（テーマ、プラグイン、WordPressコアを含む）は、ウェブサイトのセキュリティにとって重要な部分です。ハッカーは、古いソフトウェアの既知の脆弱性を悪用することがよくあります。

すべてを最新の状態に保つことで、サイバー攻撃の潜在的な侵入口を排除できます。ソフトウェアの更新にはセキュリティパッチが含まれていることが多く、ウェブサイトに追加の保護が追加されます。

WordPressダッシュボードのアップデートページでソフトウェアのアップデートを管理できます。WordPressコア、プラグイン、テーマの新しいバージョンが表示されます。

アップデートによってサイトがクラッシュするのではないかと心配ですか？悪いアップデートの後でWordPressのバージョンをダウングレードすることができるので、そのまま実行してください。

4. 非アクティブまたは未使用のソフトウェアを削除する

ソフトウェアを最新の状態に保つことに加えて、積極的に使用していないプラグインやテーマを削除することも重要です。

古いプラグインの脆弱性は、ウェブサイトのセキュリティを侵害するために悪用される可能性があります。これにより、データ侵害、不正アクセス、さらにはマルウェアの配布につながる可能性があります。

未使用のプラグインを削除することで、潜在的なセキュリティリスクを最小限に抑え、サイバーセキュリティの脅威に対する防御を強化できます。

5. 強力なパスワードを使用する

ハッカーに対する最初の防御策は、強力なパスワードです。覚えやすいように単純で短いパスワードを選択したくなるかもしれませんが、これによりサイトが脆弱になる可能性があります。

WordPressでは、強力な管理者パスワードを簡単に使用できます。パスワードを変更すると、WordPressは文字、数字、特殊文字のユニークな組み合わせで自動的に生成します。

パスワードマネージャーを使用してパスワードを安全に保存するのが好きです。他の誰もあなたの管理者資格情報を知らないことを確認するために、チームメンバーにも独自のユーザーロールと権限を与える必要があります。

ホスティングコントロールパネル、FTPアカウント、メールアドレスにも強力なパスワードが必要になることを忘れないでください。これにより、ハッカーはあなたのアカウントに侵入して悪用することができなくなります。 

6. 管理者ユーザー名を変更する

以前は、WordPressはデフォルトのユーザー名として「admin」を自動的に割り当てていました。幸いなことに、現在はカスタムユーザー名を選択できます。

あなたのサイトがしばらく存在している場合、まだユーザー名として「admin」でログインしている可能性があります。「admin」はハッカーが最初に推測するものの1つになるため、これはあなたのウェブサイトが悪用されるのを容易にする可能性があります。

ウェブホストのワンクリックインストール機能を使用した場合は、「admin」というユーザー名になっていることもあります。この場合、ウェブサイトを保護するためにWordPressのユーザー名を変更する必要があります。 

7. 安全なWordPressホスティングプロバイダーを選択する

ウェブホスティングプロバイダーは、あなたのウェブサイトを成功させることも、失敗させることもあります。間違った選択をすると、ハッカーからウェブサイトを保護するための十分なセキュリティ対策が施されていない可能性があります。

WordPressホスティングプランで提供されるべき、いくつかの重要なセキュリティ機能をご紹介します。

• 疑わしいアクティビティに対する継続的なネットワーク監視
• DDoS攻撃を防ぐためのツール
• 最新のウェブサーバーソフトウェア、PHPバージョン、およびハードウェア
• 災害復旧計画

小さなブログを始めたばかりの場合、手頃な価格のために共有ホスティングプランを選んだかもしれません。しかし、あなたは多くの他のウェブサイトとリソースを共有することになります。これは、サーバー上の別のサイトがハッキングされた場合、あなたのデータが危険にさらされる可能性があることを意味します。

セキュリティを強化するために、新しいウェブホストへの移行をお勧めします。Bluehost、SiteGround、Hostingerのようなオプションはすべて、ハッキングやその他のサイバー攻撃を防ぐための高品質なセキュリティ機能を備えています。

WP Engineのようなマネージドホスティングプロバイダーも検討する価値があるかもしれません。これは、ファイアウォール、SSL証明書、自動バックアップ、自動更新を備えた、より安全なプラットフォームを提供することがよくあります。 

より安全なホスティングプロバイダーへの移行準備はできましたか？WordPressウェブサイトを新しいホストに移行する方法のチュートリアルをお読みください！

8. セキュリティプラグインをインストールする

優れたウェブホストに加えて、WordPressセキュリティプラグインをインストールする必要があります。これらのウェブサイトセキュリティツールは、悪意のあるアクティビティを検出し、阻止し、ファイアウォール保護を提供し、マルウェアスキャンを実行することさえできます。

現在利用可能な最高のセキュリティプラグインの1つはSucuri Securityです。マルウェアスキャン、ブロックリスト監視、セキュリティ強化、およびサイトがハッキングされた後のアクションを提供する無料バージョンがあります。

Sucuriをインストールしたら、設定を開き、「Hardening」オプションを見つけるだけです。ここでは、セキュリティ機能のリストを確認し、それぞれに「Apply Hardening」をクリックします。

これにより、一般的なハッキング手法からウェブサイトが保護されます。ただし、Web Application Firewall（WAF）にアクセスするにはプレミアムバージョンにアップグレードする必要があることに注意してください。  

9. Webアプリケーションファイアウォールを設置する

Web Application Firewall（WAF）は、さまざまなサイバー脅威や攻撃からウェブサイトを保護するために設計された強力なセキュリティツールです。ファイアウォールは、送受信トラフィックをフィルタリングし、悪意のあるリクエスト、不正アクセス試行、および疑わしいアクティビティをブロックします。 

前述したように、Sucuriはファイアウォールを備えた包括的なセキュリティプラグインです。このセキュリティ機能は非常に役立ち、WPBeginnerがわずか3か月で450,000件のハッキングをブロックするのに役立ちました。

今すぐSucuriのファイアウォールでWordPressのセキュリティを強化しましょう！

10. SSL暗号化を使用する

SSL（Secure Sockets Layer）は、ウェブサイトとウェブブラウザ間のデータ転送を保護する暗号化の一種です。これにより、これら2つの間の交換データは機密性が保たれ、ハッカーのような不正な当事者から保護されます。 

WordPressウェブサイトにとって、SSL暗号化は贅沢ではなく、必要不可欠です。

このセキュリティ対策により、ハッカーがパスワード、クレジットカードの詳細、個人データなどの機密情報を傍受することはほぼ不可能になります。ユーザー登録、ログイン認証情報、またはeコマーストランザクションを処理するウェブサイトにとって重要です。

SSL暗号化を有効にすると、ウェブサイトはHTTPではなくHTTPSを使用するようになります。ウェブアドレスの横に南京錠が表示され、サイトが安全であることを訪問者に伝えます。

SSL証明書の価格は、年間80ドルから数百ドルまで様々でした。しかし、Let's Encryptという非営利団体が無料オプションの提供を開始しました。これにより、ウェブホスティング会社がSSL証明書をプランに含めるようになりました。

もしSSLの使用を開始する必要がある場合は、ホストが無料で提供しているかどうかを確認してください。提供していない場合は、Domain.comから購入できます。

11. マルウェアのスキャンを行う

セキュリティプラグインをインストールすると、ウェブサイトを定期的にマルウェアのスキャンし、見つかった場合は通知が送信されます。しかし、オーガニックトラフィックやSEOランキングの低下に気づき、自分でマルウェアをチェックしたい場合があります。

通常、セキュリティプラグインで新しいマルウェアスキャンを開始できます。または、オンラインマルウェアスキャナーを使用することもできます。 

Sucuriのマルウェアスキャナーのようなツールを使用すると、ウェブサイトのURLを入力できます。その後、マルウェアが検出されたかどうか、または検索エンジンによってブラックリストに登録されたかどうかを通知してくれます。

これにより、いつでも無料でWordPressのセキュリティを確認できます。Sucuriがマルウェアを検出した場合は、サイトのクリーンアップを開始するか、エラーのないバックアップを復元できます。 

12. ログイン試行回数を制限する

ハッカーからウェブサイトを保護するためにできるもう1つのことは、ログイン試行回数を制限することです。このセキュリティ対策は、ボットがパスワードを推測してサイトが侵害されるまで試行するハッキングの一種であるブルートフォース攻撃を防ぎます。

デフォルトでは、WordPressは無制限のログイン試行を許可します。しかし、Limit Login Attempts Reloadedプラグインを使用すると、簡単に制限を設定できます。この無料ツールは、ウェブサイトに何度もログインしようとするIPアドレスをブロックします。

このプロセスに関する詳細については、WordPress でのログイン試行を制限する方法に関するこの役立つガイドをご覧ください。 

13. 二要素認証を追加する

二要素認証（2FA）は、WordPress のログインにセキュリティの追加レイヤーを設けます。ユーザーは、パスワードに加えて、携帯電話に送信されたコードなどの 2 番目の情報を提供する必要があります。

2FA を設定する最も簡単な方法は、WP 2FA のようなプラグインをインストールすることです。これを使用して、WordPress サイトにアクセスしようとするすべてのユーザーに対して二要素認証を有効にすることができます。

ステップバイステップの説明を確認するには、WordPress サイトに二要素認証を追加する方法に関するこのチュートリアルをご覧ください！

14. ログインページを非表示にする

ほとんどの WordPress ウェブサイトでは、wp-admin または wp-login で終わるログイン URL を使用しています。WordPress は最も人気のある CMS であるため、ハッカーはログインページを表示する方法を知っており、サイトへの侵入を試みることができます。

セキュリティの追加レイヤーを設けるために、WordPress ログインページを非表示にすることができます。これには、デフォルトのオプションの代わりにカスタムログイン URL を使用することが含まれます。

WPS Hide Login プラグインを使用すると、ログイン URL を簡単に更新できます。これにより、wp-login.php ページがアクセスできなくなり、代わりにカスタムログイン URL にリダイレクトされます。

ログインページを非表示にするのに役立ちますか？ WordPress でカスタムログイン URL を追加する方法はこちらです。

15. ファイル編集を無効にする

WordPress ダッシュボードでは、テーマやプラグインファイルを編集するための組み込みコードエディターが表示されます。ハッカーが管理領域にアクセスした場合、これらのエディターを使用してウェブサイトに損害を与える可能性があります。

これを防ぐために、この機能をオフにすることを検討してください。必要なのは、このコードを wp-config.php ファイルに追加することだけです。

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Sucuri をインストールした場合は、セキュリティ強化設定でファイル編集をオフにすることもできます。これにより、不正なユーザーがサイトファイルを編集できなくなります！

16. PHPファイル実行を無効にする

ハッカーがウェブサイトを悪用する可能性のある方法の 1 つは、ディレクトリにファイルを追加して PHP を実行することです。WordPress は一部のディレクトリを書き込み可能にしているため、この機能は悪意のあるユーザーによって悪用される可能性があります。

幸いなことに、必要のないディレクトリの PHP ファイル実行を無効にすることができます。これにより、これらの特定のディレクトリで PHP ファイルが実行されるのを防ぐことができます。

これを行うには、テキストエディターを開き、このコードを追加します。

<Files *.php>
deny from all
</Files>

このファイルを .htaccess として保存し、uploads フォルダにアップロードします。

このプロセスに関する完全なステップバイステップガイドについては、WordPress の特定のディレクトリで PHP 実行を無効にする方法に関するこの記事が役立つかもしれません。

Sucuri は、ワンクリックで WordPress ファイルエディターを無効にするのに役立つことに注意してください。これは初心者にとって良い代替手段となる可能性があります。

ハッカーからウェブサイトを保護するその他の方法

この記事では、サイバー攻撃からサイトを安全に保つための多くのヒントをリストしました。すでにこのリストを確認した場合は、実行できる追加の手順を次に示します。

• 疑わしいメールやリンクを開かないでください
• 訪問者がサイトにアップロードできるデータを制限する
• セキュリティ会社にウェブサイトの監査を依頼する
• サイトのユーザーにサイバーセキュリティについて教育し、不審なアクティビティを報告できるようにしましょう。
• ファイル権限を制限する
• 一定期間経過後にユーザーセッションをタイムアウトさせる

ウェブサイトをハッカーから保護するためのFAQ

ハッキングされる前に復旧ポイントを設定しなかった場合でも、心配しないでください！コンピュータにダウンロードした、またはクラウドに保存した最新のバックアップファイルを見つけます。次に、FTPクライアントまたはファイルマネージャーを使用して、これらのファイルをサイトに再アップロードします。

結論

これで、ハッカーからウェブサイトを保護する方法を完全に理解できたはずです！

せっかくなので、これらの追加のWordPressチュートリアルもご覧ください。

• WordPressは安全か？真実を明らかにします
• ハッキングされたWordPressサイトを復旧する方法
• ウェブサイトのダウンタイムを防ぐ方法
• WordPressセキュリティチェックリスト：サイトを保護するためのステップバイステップガイド
• WordPressバックアップのためのベストクラウドストレージサービス11選（専門家ピック）
• WordPressデバッグマスターガイド：基本から応用テクニックまで

将来のハッキング試行からウェブサイトを保護する準備はできましたか？ Duplicator Proをダウンロードして定期的なバックアップを保存し、必要なときにいつでも簡単にサイトをロールバックしましょう！