デュプリケーターの新しい移行サービス:指一本触れずにウェブサイトを移動
WordPressの移行に貴重な時間を奪われていませんか?Duplicatorの新しいマイグレーションサービスは、最初から最後まで3...
デュプリケーターの新しい移行サービス:指一本触れずにウェブサイトを移動
ジョエラ・ダン
ジョエラ・ダン
ジョン・ターナー
ジョン・ターナー
ワードプレスサイトのログをチェックしたことがある人なら、真実はわかっているはずだ。
今、自動化されたボットがインターネットをスキャンし、何百万ものWordPressサイトの弱点を探っている。彼らは、あなたが中小企業であろうと個人ブロガーであろうと関係なく、悪用できるあらゆる脆弱性を探している。
WordPressサイトを運営していると、単純明快にターゲットにされます。WordPressは全ウェブサイトの40%以上を動かしているため、攻撃者は最も見返りの大きいところに力を注ぐ。
あなたが気づいていようがいまいが、あなたのサイトは彼らに狙われているのだ。
これこそが、WordPress用のファイアウォールがオプションでない理由なのです。それは、あなたのデジタル用心棒であり、ドアの前に立ち、彼らが問題を引き起こす前に不審な訪問者を追い払うのです。
このガイドでは、WordPressのファイアウォールが実際に何をするのか、どのように設定するのかを説明します。
ファイアウォールは、あなたのウェブサイトの警備員だと考えてください。あなたのWordPressサイトとインターネットの他の部分との間に立ち、侵入しようとするすべての人をチェックします。
Webサイトファイアウォールの核心は、フィルタリングシステムです。サイトに到達しようとするデータを検査し、瞬時に判断を下します:「これは正当なトラフィックなのか、それとも潜在的な脅威なのか?
誰か(または何か)があなたのサイトにアクセスしようとするたびに、彼らはHTTPリクエストと呼ばれるものを送信します。これらのリクエストには、彼らが誰で、何を欲していて、どのようにそれを求めているのかという情報を含むデータパケットが含まれています。
ファイアウォールはこれらのパケットを検査し、疑わしいパターンを探す。
ファイアウォールは、通常とは異なる手段で管理領域にアクセスしようとするリクエスト、同じ送信元から繰り返されるログイン試行、既知の攻撃シグネチャに一致するトラフィックなど、何か疑わしいものを見つけると、それがWordPressサイトに到達する前にブロックします。
あなたのコンピューターにもファイアウォールが付いているだろうし、家庭用ルーターにも付いているだろうし、大きな組織ではシステム全体を保護するためにネットワーク・ファイアウォールを使っている。原理は同じで、悪いものが害を及ぼす前にフィルタリングするのです。
簡単な答えいいえ、WordPressにはファイアウォールは内蔵されていません。
WordPressのコアには基本的なセキュリティ対策が施されており、安全な認証プロセスやデータのサニタイズにより、特定の種類の攻撃を防ぐことができます。また、WordPressチームは脆弱性が発見された場合、迅速にパッチを適用するよう努めています。
しかし、悪意のあるトラフィックがあなたのサイトに到達する前に、積極的にフィルタリングするとなると?それは箱の外に含まれていません。
このギャップは設計上存在する。WordPressはコンテンツ管理システムであり、セキュリティ・スイートではありません。可能な限りの機能をコアソフトウェアにバンドルするのではなく、必要な機能を正確に拡張できるように構築されています。
そこで、プラグインとサーバー設定の出番となる。WAF(ウェブ・アプリケーション・ファイアウォール)機能を含むセキュリティ・プラグイン、またはサーバーレベルの保護機能によって、WordPressサイトにファイアウォール機能を追加する必要があります。
ボットやクローラーは、WordPressの脆弱なインストールを探すためにインターネットを常にスキャンしています。ファイアウォールは、WordPressのログインページを攻撃したり、セキュリティホールのある古いプラグインを探したりするのを防ぎます。
ブルートフォース(総当たり)攻撃だけでなく、優れたファイアウォールは既知の悪意のあるIPアドレスからのトラフィックをブロックします。また、SQLインジェクションやクロスサイトスクリプティング(XSS)のような一般的なWordPressの攻撃も認識します。
これらの攻撃は、データを盗んだり、訪問者をリダイレクトしたり、ウェブサイトを完全に乗っ取ったりするような有害なコードをサイトに注入しようとする。
パフォーマンス上のメリットもあります。悪質なトラフィックがWordPressのインストールを完全に処理する前にフィルタリングされると、サーバーのリソースは正当な訪問者に集中します。その結果、実際のユーザーのスピードと応答性が向上することがよくあります。
この保護をスキップすると、深刻な結果を招く可能性があります。侵害されたWordPressサイトは、改ざんされたり、マルウェアが注入されたり、他のサイトへの攻撃に使われたりする可能性があります。そうなれば、ダウンタイム、データ損失、マルウェアの除去という骨の折れる作業が待ち受けています。
あなたの評判も打撃を受けます。訪問者は、あなたのサイトが安全ではないというブラウザの警告を見るかもしれませんし、Googleはフラグを立てたり、検索結果からあなたのサイトを削除するかもしれません。ホスティング会社によっては、他の顧客にとってセキュリティ上のリスクとなるアカウントを停止することさえあります。
すべてのWordPressファイアウォールが同じように機能するわけではありません。違いを理解することで、あなたのサイトに適した保護を選ぶことができます。
これらはWordPress、Joomla、Drupalのようなウェブアプリケーションを保護するために特別に設計されているため、WordPressユーザーにとって最も関連性の高いものです。
WAFは、HTTPトラフィック(ウェブサイトに来るリクエスト)をフィルタリングし、疑わしいパターンや既知の攻撃シグネチャーを探す。2つの異なるタイプがある。
エンドポイントWAFは、通常はWordPressのプラグインとして、サーバー上で直接実行される。エンドポイントWAFは、トラフィックがサーバーに到達した後、WordPressがそれを完全に処理する前にトラフィックをチェックする。
設定が簡単で、WordPressのダッシュボードに詳細なログが表示されることが多いからだ。しかし、これらはすでにサーバーに到達しているトラフィックを調査しているため、大規模な攻撃によるサーバーの過負荷を防ぐことはできない。
クラウドベースのWAFは仕組みが異なる。WAFは、訪問者とあなたのウェブサイトの間のプロキシとして機能し、すべてのトラフィックは、サーバーに到達する前にWAFのネットワークを通過します。
この利点は、大規模な攻撃がサーバーを攻撃する前にブロックすることができ、パフォーマンスの問題を防ぐことができることだ。トレードオフは、通常DNSの変更が必要であり、わずかな遅延が発生する可能性があることだ(通常は目立たないが)。
これらはウェブサーバーのオペレーティングシステムレベルで動作します。IPアドレス、ポート、プロトコルに基づいたフィルタリングを行います。
共有ホスティングを利用している場合、プロバイダーにはサーバーレベルのファイアウォールが設置されていると思いますが、自分で設定することはできないでしょう。
サーバーファイアウォールはより広範な保護を提供するが、WAFほどWordPressに特化したものではない。不審な接続をブロックするのには優れているが、アプリケーション固有の攻撃を特定する機能はあまりない。
これらはネットワーク境界に存在し、通常、個々のウェブサイトではなくネットワーク全体を保護する。
WordPressサイトのオーナーとして、エンタープライズレベルのセットアップを実行していない限り、一般的にこれらを直接管理することはありません。ホスティング会社がインフラストラクチャの一部として使用しているのは、ほぼ間違いないでしょう。
ほとんどのサイトオーナーにとって、最もシンプルなアプローチは、WAF機能を含むセキュリティプラグインを使用することです。WordPressのファイアウォール・プラグインには、以下のようなものがある:
予算が限られている場合は、まず無料のWordPressファイアウォール・ソリューションを検討し、サイトの成長に合わせてアップグレードしてください。
プラグインベースの(エンドポイント)WAFの場合、コンフィギュレーションには通常、以下が含まれる:
最後のステップは重要で、ファイアウォールのコードをページ読み込みプロセスの早い段階で、WordPress自体が読み込まれる前に実行できるようにします。これにより、特定の攻撃に対してより効果的になります。
SucuriのようなクラウドベースのWAFの場合、以下のことが必要になる:
初めてファイアウォールを設定したときは、自分のサイトが壊れるのではないかと不安だった。しかし、このプロセスは年々ユーザーフレンドリーになってきている。ほとんどのプラグインのインターフェイスは、各ステップを順を追って説明してくれる。
これらの変更を自分で行うのが不安な場合は、開発者を1、2時間雇って適切に設定することを検討してください。その投資は、あなたが受ける保護に十分見合うものです。
ファイアウォールは必要不可欠ですが、課題がないわけではありません。これらの潜在的な落とし穴を認識しておくことで、問題が発生した場合に迅速に対処することができます。
ファイアウォールが誤って正当なトラフィックをブロックしてしまうのだ。
よくあるシナリオは以下の通り:
ほとんどのファイアウォール・プラグインには、このためのホワイトリスト機能がある。特定のサービスやユーザーが間違ってブロックされているのを見つけたら、このセーフリストに追加することができます。
ファイアウォールはすべてのリクエストを検査するため、処理のオーバーヘッドを追加する。通常は最小ですが、これは増大する可能性があります。
エンドポイント(プラグイン)ファイアウォールはサーバーのリソースを使用するため、最適化されていないとページの読み込みが遅くなる可能性があります。クラウドベースのファイアウォールは、トラフィックが最初にサーバーを経由するため、若干の遅延が生じます。
ファイアウォールをインストールした後、サイトが遅く感じる場合は、設定を調整するか、より効率的なソリューションにアップグレードする必要があるかもしれません。
他のプラグインと同様に、セキュリティツールもWordPressの他の部分と衝突することがあります。
こうなる可能性がある:
ファイアウォールをインストールした後に奇妙な動作に気づいた場合は、他のプラグインを一時的に1つずつ無効にして競合を確認してみてください。
設定を適切にするのは難しい。ルールを厳しく設定しすぎると、正当なユーザーをブロックすることになる。緩すぎると脆弱性を残すことになる。
特に、このようなカスタム・セットアップがある場合はそうだ:
まずはデフォルトの設定から始め、徐々に調整しながら、あなたのサイトに合ったものを見つけてください。
無料のオプションもありますが、追加の保護には有料のサブスクリプションが必要になることがよくあります。これらの機能を利用するにはアップグレードが必要な場合があります:
これらのコストはセキュリティへの投資であるが、ウェブサイトの予算に組み入れるべきである。
おそらく最大の問題は、ファイアウォールが与えるかもしれない誤った安心感だ。ファイアウォールは重要なレイヤーではあるが、唯一の防御策ではない。
ファイアウォールは次のような場合には役に立たない:
信頼性の高いWordPressのバックアップを含む)多層的なアプローチが不可欠である理由はここにある。
ファイアウォールが機能していないと、危険な誤った安心感を与えてしまいます。ここでは、あなたの保護が損なわれているかもしれない警告サインを示します。
ほとんどのファイアウォール・プラグインは、ブロックした内容を示すアクティビティ・ログを提供します。これを定期的なサイトメンテナンスの一環としてください。
以下の質問に答えてください:
私はこれらのログを毎週スキャンする習慣をつけている。自分のサイトの正常なパターンがわかれば、異常を発見するのは容易になる。
ブロックされていないログイン試行が急増するのは、大きな赤信号だ。さらに悪いのは、見慣れない場所や変な時間帯からのログインに成功した場合だ。
ファイアウォールやセキュリティプラグインにこの機能があれば、ログイン通知を設定しましょう。誰かがログインしたときにメールを受け取ることで、早期の警告システムを提供します。
正当なトラフィックが増加することなく、サイトが突然遅くなった場合、ファイアウォールが機能していないか、攻撃トラフィックを通過させてサーバーを停滞させている可能性があります。
ホスティングの指標をファイアウォールの統計と一緒にチェックしてください。パフォーマンスの低下とリソースの使用量の増加は、あなたのサイトがファイアウォールでブロックされているはずの攻撃を処理していることを示している可能性があります。
ホスティング会社は多くの場合、追加の監視システムを持っています。あなたのサイトから発信された不審な活動について連絡があった場合は、真摯に受け止めてください。
このような通知は通常、何かがすでにセキュリティを迂回し、サイトに侵入していることを意味する。
ファイアウォール障害の最も明白な兆候は、あなたのサイトに予期せぬ変更を見つけることである:
この時点では、予防というより後始末に終始している。
外部のセキュリティ・スキャンを時折実行することで、内部ツールが見逃している問題を発見することができる。優れた脆弱性スキャナーは、潜在的な弱点が悪用される前に特定することができる。
Sucuri SiteCheckやSearch ConsoleのGoogleのSecurity Issuesレポートのようなサービスは、ファイアウォールで防げるはずの脆弱性やアクティブな感染を特定することができます。
定期的なマルウェアスキャンは、あなたのセキュリティルーチンの一部であるべきです。
ファイアウォールが故障している場合、設定をいじって最善を望むだけではいけません。別のファイアウォール・サービスに切り替えることを検討してください。
そして、これこそが、Duplicatorのようなツールで定期的に安全なバックアップを取ることが、WordPressサイトオーナーにとって譲れない理由であることを忘れないでください。もしハッカーがファイアウォールを破って侵入してきたら、すぐにサイトをクリーンな状態に戻したいでしょう。
そう、WordPressのウェブサイトを持っているなら、ファイアウォールを導入すべきだ。サイトの規模や人気に関わらず、あなたのサイトは常に自動化された攻撃によって探られています。ファイアウォールは、ドアに鍵をつけるのと同じくらい基本的で必要なものです。
Wordfence Securityは、強固なファイアウォール保護を備えた無料のセキュリティ・プラグインだ。低価格のセキュリティツールをお探しなら、ぜひお勧めしたい。
WordPressのコアには、定期的なアップデートのようないくつかのセキュリティ機能が含まれています。しかし、悪意のあるトラフィックを積極的にフィルタリングしてブロックするファイアウォールは内蔵されていません。この重要なセキュリティレイヤーは、プラグインやサーバーの設定によって別途追加する必要がある。
WordPressサイトは非常に安全ですが、WordPressだからといって自動的に安全というわけではありません。そのセキュリティは、あなたがどのようにメンテナンスするかによって大きく左右されます。
セキュアなWordPressサイトには通常、以下のものが含まれる:
セキュリティ侵害の多くは、WordPressそのものが安全でないからではなく、古いソフトウェア、脆弱なパスワード、セキュリティレイヤーの欠落が原因である。
セキュリティには多層的なアプローチが必要です。ここでは、WordPressサイトを保護する方法をいくつかご紹介します:
単一の対策では完全な保護は不可能であり、だからこそこのレイヤーアプローチが重要なのである。
適切なファイアウォール・プロテクションを設定するのは、最初は少し時間がかかるかもしれないが、ハッキングから回復するよりははるかに簡単だ。
あなたのサイトと絶え間ない攻撃の嵐との間に重要なフィルターがあることを知ることは、安心感だけでも価値があります。さらに、安全なWordPressサイトは、訪問者や顧客との信頼関係の構築にも役立ちます。
しかし、忘れてはならないのは、セキュリティは1回きりの作業ではないということだ。脅威が進化するにつれて、注意を払い、アップデートを必要とする継続的なプロセスなのだ。車のオイル交換や健康診断のようなものです。
そして決定的なのは、どんなに優れたファイアウォールでも失敗する可能性があるということです。そのため、信頼性が高く、テスト済みのバックアップがWordPressサイトの究極のセーフティネットとなります。Duplicator を使えば、サイトの完全なバックアップを作成し、セキュリティ事故からの復旧を簡単かつ確実に行うことができます。
プロフェッショナルグレードのバックアップ保護の価値を理解するために、侵害の後まで待つ必要はありません。新しいファイアウォールとDuplicator Proを組み合わせて、究極のWordPressセキュリティソリューションを実現しましょう!
ここにいる間に、他のWordPressガイドも気に入ると思う:
情報開示私たちのコンテンツは読者支援型です。つまり、あなたが私たちのリンクをクリックした場合、私たちはコミッションを得る可能性があります。私たちは、読者に付加価値をもたらすと信じる製品のみを推薦します。
