Duplicatorの新しいワンクリック・バックアップ・クリーンアップ、自動削除、バージョン・アップデート
WordPressのバックアップをよりきれいに、より整理して、より安全にしたいですか?Duplicatorの新しいバックアップログ管理機能とアップデートされたバージョンについてご紹介します。
Duplicatorの新しいワンクリック・バックアップ・クリーンアップ、自動削除、バージョン・アップデート
ジョエラ・ダン
ジョエラ・ダン
ジョン・ターナー
ジョン・ターナー
WordPressのセキュリティを強化する必要がありますか?
WordPressサイトを保護しなければ、ハッカーに狙われやすくなります。ハッカーは弱い部分を見つけ、コンテンツを変更したり、ユーザー情報を盗んだり、サイトを壊したりするかもしれません。これは、あなたのビジネスや評判に深刻なダメージを与える可能性があります。
このブログでは、WordPressのセキュリティ・チェックリストをご紹介します!セキュリティのベストプラクティスを学んで、あなたのサイトがハッキングされないようにしましょう。
WordPressは基本的に安全です。とはいえ、他のオンラインプラットフォームと同様、リスクと無縁ではありません。
世界中で何百万ものウェブサイトがWordPressに依存していることから、このプラットフォームがセキュリティに真剣に取り組んでいることは間違いない。ソフトウェアの安全性を保つため、定期的にアップデートをリリースしている。
しかし、オープンソースのプラットフォームであるため、誰でもソースコードを調べることができ、悪用できる脆弱性を発見できる可能性がある。
しかし、多くのハッカーは、サイト所有者の怠慢によってWordPressサイトにアクセスしています。WordPressのコアソフトウェアが古かったり、パスワードが弱かったりすると、サイトが非常に脆弱な状態になる可能性があります。
このことは、WordPressのセキュリティが軽視できるものではないことを物語っている。WordPressは強固な基盤を持っていますが、それでもセキュリティを高めるために定期的なメンテナンス作業は必要です。
あなたはブログやeコマースストアに精力的に取り組んできた。ある朝目覚めると、すべてが消えていた。
だからこそ、WordPressのセキュリティはとても重要なのです。優れたセキュリティ対策を使えば、脅威からサイトを守ることができます。これにより、ハッキングやデータ漏洩の被害に遭う可能性を大幅に減らすことができます。
コンテンツを安全に保つだけでなく、安全なサイトは訪問者にとっても魅力的です。安全であることがわかれば、訪問者はより長く滞在する可能性が高くなります。
さらに、検索エンジンはランキングでも安全なサイトを好む傾向がある。WordPressを保護すればするほど、SEOは向上する。
全体として、WordPressのセキュリティに投資することは、家のアラームを買うようなものだ。すべてを立ち上げるのは少し面倒かもしれないが、最終的には間違いなくそれだけの価値がある。
初心者の皆さんは、何から始めればいいのだろうとお考えかもしれない。
幸いなことに、私はあなたのために完全なWordPressのセキュリティチェックリストを作成しました!各ステップを踏むだけで、最後には完全に安全なサイトが完成します。
ウェブホスト選びは、単に値札をチェックするだけではありません。必要なのは、セキュリティに熱心なホストです。
最新のセキュリティプロトコルを提供しているウェブホストを探しましょう。サーバーはメンテナンスされ、最新の状態でなければなりません。また、強力なファイアウォールを備え、SSL証明書を提供しているところも良いでしょう。
そして最後に、ウェブホストが定期的なバックアップとサイトの復元を提供しているかどうかを調べてください。このセーフティネットが必要ないことを望むでしょうが、念のため持っておくに越したことはありません。
現在、共有ホスティングプランをご利用の場合、マネージドWordPressホスティングにアップグレードすることをお勧めします。共有ホストでは、他のサイトとリソースを共有することになります。あなたのサーバーの誰かがセキュリティ侵害をした場合、それはあなたのウェブサイトにも影響を与える可能性があります。
しかし、Bluehost、Hostinger、Sitegroundのような評判の良い共有ホストは、多くの基本的なセキュリティの問題からあなたを保護します。
安全なWordPressホストを見つけたら、新しいサーバーにサイトを移行する方法を説明します。
ウェブサイトを立ち上げたばかりの頃は、新しいブログ記事を書いたり、商品を販売したりすることにワクワクすることでしょう。しかし、定期的にサイトをバックアップする必要もあります。
バックアップはデジタルコンテンツの保険です。万が一、何か問題が発生した場合でも、サイトを元の状態に戻すことができます。
Duplicatorはサイトのコピーを簡単に作成できるバックアッププラグインです。自動バックアップとクラウドストレージをサポートしているので、データを失うことはありません。
バックアップを別のクラウドサーバーに保存し、セキュリティを強化するのが最善です。こうすれば、サーバーに問題が発生してもバックアップが失われることはない。
Duplicatorを使えば、サイトをクラウドにバックアップできます。お好きなクラウドストレージサービスを接続し、バックアップ作成時に選択するだけです。
バックアップに保存するデータをカスタマイズできます。必要であれば、データベース、メディアライブラリ、その他のデータだけを簡単にバックアップすることができます。
ウェブサイトは常に新しいコンテンツで更新されるため、定期的にバックアップを取る必要があります。幸いなことに、Duplicatorはバックアップを自動化することができます。
スケジュールを設定することで、手動でのバックアップを心配する必要がなくなります!問題が発生したらロールバックするだけなので、あなたのサイトはどんな問題からも常に安全です。
Duplicatorの他にも、使えるバックアッププラグインはたくさんある。UpdraftPlus、Jetpack、BlogVaultなどが有名です。
ソフトウェアのアップデートは、WordPressのセキュリティにおいて重要な役割を果たします。単に機能を追加するだけでなく、潜在的な脆弱性にパッチを当てるのです。
WordPressはマイナーアップデートを自動的にインストールします。しかし、メジャーバージョンは手動でインストールする必要があります。
アップデートのページを見つけ、コアソフトウェア、プラグイン、テーマのアップデートを実行します。
セキュリティ・アップデートは常に行われているので、常に目を光らせておく必要がある。便利なことに、アップデートを自動化することもできる。
しかし、新しいバージョンのWordPress、プラグイン、テーマをまずステージングサイトでテストすることをお勧めします。そうすることで、悪いアップデートの後に起こるソフトウェアの衝突を避けることができます。
サイトをきれいにすることで、セキュリティが向上します。積極的に使用していないWordPressのテーマやプラグインはすべて捨ててしまうことをお勧めします。
ハッカーは古いプラグインやテーマを使ってウェブサイトにアクセスすることができるからです。使用されていないソフトウェアを削除することで、WordPressのセキュリティを強化することができます。
経験則が必要ですか?過去6ヶ月間使っていなかったら、さようなら。WordPressサイトを最適化し、セキュリティを強化する簡単な方法です。
良いパスワードとは、ユニークで、予測不可能で、自分だけが知っているものであるべきです。大文字、小文字、数字、記号を組み合わせて使うことをお勧めします。
Password123」は初歩的なミスであることを忘れないでください!家の鍵をドアマットの下に置いておくようなもので、潜在的なサイバー脅威の訪問を招いているようなものです。
総当たり攻撃では、ハッカーやボットがあなたのパスワードを推測しようとします。彼らは侵入するまで、よく使われるオプションを試してみる。ですから、パスワードは複雑であればあるほどよいのです。
それはさておき、あなたを特定できるような情報は使わないようにしましょう。自分の名前や誕生日、ペットの名前(どんなに可愛くても)は使わないこと。
すべてのサイトやユーザーに同じパスワードを使わないようにしましょう。家、車、オフィスで同じ鍵を使わないのと同じように、セキュリティ侵害を避けるために、デジタル・キーもバラバラにしておきましょう。
最後に、パスワードを安全に保存するために、LastPassのようなパスワードマネージャーの利用を検討しましょう。強力なオプションを自動的に生成し、ログインプロセスを簡素化することができます。
WordPressのセキュリティに関しては、管理者権限の更新は必須です。このステップを踏むことで、あなたのサイトは不要な侵入やハッキングを受けにくくなります。
まず、「管理者」ロールを持つユーザーの数を制限する。複数の管理者ユーザーを持つことは、セキュリティ上のリスクになります。信頼できる管理者を数人だけにしましょう。
次に、ユーザーリストを定期的にチェックし、使用しなくなったアカウントを削除する。こうすることで、休眠状態のアカウントがハッカーに悪用されるリスクを減らすことができる。
最後に、ユーザーの役割に必要最小限の権限を割り当てます。すべての人に管理者権限が必要なわけではありません。
ユーザーは自分の仕事をするのに十分な権限を持つべきだが、それ以上は持たない。これにより、そのアカウントがハッキングされた場合の損害の可能性を最小限に抑えることができる。
どのユーザーが特定のアクセス権を取得すべきかわからない場合は、WordPressのユーザーロールとパーミッションに関するガイドをお読みください。
毎日、ログインページを使ってWordPressサイトにサインインします。すべてのWordPressサイトには、wp-adminまたはwp-loginで終わるログインページがあります。そのため、悪意のあるユーザーがあなたのサイトにアクセスし、悪用する可能性があります。
WordPressのログインページを隠すことで、ハッキングの試みからサイトを守ることができます。ハッカーがログインページを見つけられなければ、ブルートフォース攻撃で管理画面のダッシュボードを開くことはできません。
WPS Hide Login のように、これを簡単に実現できるプラグインもあります。ログインURLをカスタマイズするだけで、自分だけがその場所を知ることができます。
あなたのサイトに多くのユーザーがいる場合、1人がハッキングされたり、ログイン認証情報を間違った人と共有したりする可能性があります。そのユーザーアカウントに管理者権限があれば、テーマ、プラグイン、設定が変更される可能性があります。
セキュリティ侵害を特定するには、ユーザーの行動を監視すればよい。どのユーザーが不要な変更を行ったかを特定し、素早くサイトから削除することができます。
WordPressのユーザーを追跡するのに役立つプラグインをいくつかご紹介します:
これらのツールは、WordPressのマルチサイトを管理している場合に特に役立ちます。ウェブサイトの所有者、作成者、編集者、その他のユーザーが多数存在する可能性があります。どのユーザーが脆弱性を引き起こしたのかを正確に知ることは重要です。
セキュリティ・プラグインは、あなたのサイトにセキュリティを追加するものです。潜在的な脆弱性を特定し、対処するように設計されています。例えば、定期的なセキュリティスキャン、ファイアウォール保護、スパムフィルタリングなどがあります。
最高のWordPressセキュリティプラグインの1つがSucuri Securityだ。このツールは、リモートマルウェアスキャン、セキュリティ通知、ハッキング後のソリューションを提供する。
Sucuriを使用すると、簡単にセキュリティを強化できます。セキュリティ強化の設定では、ファイアウォールを有効にしたり、プラグインやテーマのエディタを無効にしたり、WordPressのバージョンを非表示にしたりすることができます。
WordPressのセキュリティを強化する初心者向けの方法です。さらに、WordPress.orgには無料版もあります!
ウェブアプリケーションファイアウォール(WAF)は、ウェブサイトへの受信トラフィックを監視し、フィルタリングするツールです。SQLインジェクションやクロスサイトスクリプティング(XSS)などの脅威からWordPressサイトを保護するのに役立ちます。
ファイアウォールは、多くの一般的なサイバー脅威を阻止することができます。ファイアウォールは、あなたのサイトとすべての受信トラフィックの間の保護バリアとして機能し、悪意のあるリクエストをブロックします。
ファイアウォールの種類を紹介しよう:
Sucuriは、WordPressウェブサイトにファイアウォールを設定する最も簡単な方法を提供します。WPBeginnerがわずか3ヶ月で450,000件のサイバー攻撃をブロックしたほど、効果的なツールです。
Sucuriを利用すれば、マルウェア、DDoS攻撃、ブルートフォース攻撃、その他のセキュリティ上の懸念を回避できます。
ウェブサイトにマルウェアがないか定期的にスキャンすることは、WordPressのセキュリティを維持する上で非常に重要です。WordfenceやSucuriのような人気のあるプラグインは、この作業を手助けしてくれます。
これらのセキュリティツールは、お客様のウェブサイト上の潜在的な脅威を発見し、排除するために特別に設計されています。あなたのウェブサイトを積極的に監視し、不審な動きを素早く警告し、その除去のためのソリューションを提供します。
Sucuriには無料のマルウェアチェッカーもあります。あなたのウェブサイトのURLを入力することで、ウイルスの有無を調べることができる。
SSL(Secure Sockets Layer)は、ユーザーのブラウザとサーバー間のデータを暗号化するプロトコルです。これにより、サイバー攻撃者がデータを傍受したり盗んだりすることが難しくなります。
SSLを有効にすると、サイトのURLはHTTPS(Hypertext Transfer Protocol Secure)を使用します。これは、ブラウザウィンドウのドメインの横にロックアイコンで表示されます。
HTTPSに移行するには、SSL証明書を購入し、サーバーにインストールする必要があります。多くのホスティング・プロバイダーは、Let's Encrypt経由で無料のSSL証明書を提供しています。その後、WordPressサイトの設定とURLでHTTPSが使用されていることを確認してください。
SSL証明書をまだお持ちでない方は、こちらで設定できます!
ユーザー名に "admin "を使うのはよくあることだが、これは避けたいWordPressの重大なセキュリティミスのひとつだ。ログイン情報の半分を攻撃者に渡してしまうことになります。
あなたのウェブサイトを保護するために、ユーザー名を予測しにくく、よりユニークなものに変更することを検討してください。
WordPressのダッシュボードにアクセスし、管理者権限を持つ新しいユーザーを作成します。一度ログアウトし、新しい管理者としてログインし直してください。
次に、古い「admin」ユーザーを削除します。削除したユーザーから新しいユーザーにすべてのコンテンツを移行してください。これだけです。
ファイル・パーミッションは、ファイルの読み取り、書き込み、実行を許可する人を制御します。パーミッションの設定を誤ると、侵入者に開かれたドアを提供することになります。
以下は、私たちが推奨する設定です:
ファイルやフォルダのパーミッションの修正は、技術的な経験がないと複雑になる可能性があることを覚えておいてください。わからない場合は、ホスティングプロバイダーや熟練した開発者に相談するのが一番です。
WordPressのダッシュボードでは、管理者がプラグインやテーマのPHPファイルを変更することができる。これは便利だが危険でもある。
ハッカーがダッシュボードに侵入した場合、ファイル・エディターを悪用してWordPressファイルに有害なコードを書き込む可能性があります。このようなセキュリティ上の脅威を避けるには、wp-config.phpファイルを調整してファイル編集をオフにする必要があります。
これは専門的に聞こえるが、実際には簡単なプロセスである。FTPでWordPressにアクセスし、wp-config.phpファイルを探します。このファイルを開き、以下のコード・スニペットを追加する:
define( 'DISALLOW_FILE_EDIT', true );
ファイルを保存すると、有害なコードから保護するために更新された設定がすぐに機能し始める。
この作業は、ウェブサイトのファイルを変更しても問題ない場合にのみ行ってください。不安な場合は、専門家に助けを求めてください。
WordPressの特定のディレクトリでPHPファイルの実行を無効にすることは、サイトを保護するための重要なステップです。そうしないと、悪意のある攻撃の入り口を開いてしまいます。
ハッカーは、アップロードフォルダや他のディレクトリにphpファイルを配置することによって、この抜け穴を利用することができます。これらのファイルは悪意のあるコードを実行し、あなたのウェブサイトを危険にさらす可能性があります。
この問題を解決するには、PHPを必要としないディレクトリ(/wp-content/uploads/など)でのPHPファイルの実行を無効にします。
テキストエディタを開き、このコーディングを貼り付ける:
<Files *.php>
deny from all
</Files>ファイル名を.htaccessとし、uploadsフォルダに追加します。
先に述べたように、ボットは何度もログインを試みることで、あなたのサイトにアクセスしようとする可能性があります。 サイトを安全に保つために、1つのIPアドレスからログインを試行できる回数に制限を設けましょう。
ログイン試行を制限することで、ブルートフォース攻撃が成功する確率を下げることができます。WordPressは無制限のログインを許可していますが、Limit Login Attempts Reloadedのようなプラグインを使って制限を設定することができます。
Limit Login Attempts Reloadedは、一定回数ログインに失敗するとIPアドレスをブロックします。カスタムロックアウト時間を作成し、新しいロックアウトに関する電子メールを自動的に受け取ることができます。
二要素認証(2FA)は、WordPressサイトに追加の保護レイヤーを追加します。パスワードに加えて、通常は携帯電話に送信される認証コードが必要です。
この二重のチェックシステムによってセキュリティが強化され、ハッカーが侵入するのが難しくなる。たとえパスワードを解読されても、認証コードが必要なのだ。
WP 2FAは、WordPressサイトに二要素認証を素早く設定するプラグインです。Google AuthenticatorやAuthyのような認証アプリ用のログインコードを生成します。ユーザーはパスワードと一緒にコードを入力します。
この機能を使えば、ハッカーやボットがパスワードを入手しても、あなたのサイトに侵入することはできない。ログインのための余分なステップがあり、簡単にアクセスされることはありません。
WordPressはデータベースのテーブルに接頭辞を割り当てます。デフォルトのプレフィックスは wp_ です。
デフォルトのままだと、ハッカーは簡単にテーブル名を推測することができます。そのため、変更することをお勧めする。
しかし、これは初心者にとってはあまり簡単なことではない。また、サイトを壊してしまうことにもなりかねません。どうしてもやり遂げたい場合は、WordPressのデータベース接頭辞を正しく変更する方法について、このガイドに従ってください。
WordPressのログインページを保護するもう一つの方法は、管理ディレクトリにパスワード保護を追加することです。誰かが管理エリアにアクセスしようとすると、ログインページを見る前にパスワードを入力する必要があります。
管理者のパスワード保護を有効にするには、cPanelのディレクトリプライバシーを使用することができます。これにより、コードを使わずに管理者ディレクトリを保護することができます。
ディレクトリの閲覧は、ウェブサイトのセキュリティの弱点となり得ます。この機能が有効になっていると、誰でもウェブサイト上のディレクトリの内容を見ることができます。ハッカーは、脆弱性のあるファイルを見つけたら、これを利用することができます。
この問題を解決するには、.htaccessファイルの一番下に簡単なコードを追加します。
Options -Indexes
これは、あなたのサイトのフォルダを覗かれるのを防ぎ、隠しファイルを保護します。
WordPress 3.5以降、XML-RPCはWordPressのコアAPIです。これにより、開発者はリモートアプリケーションを使用して WordPress を更新することができます。
XML-RPCを使えば、モバイルアプリを使ってブログ記事を公開することができる。また、Zapierのようなサードパーティのサービスとサイトを接続することも可能だ。
このWordPressの機能により、他のアプリがあなたのウェブサイトと会話できるようになる。しかし、ハッカーが利用できるセキュリティの抜け穴を作ることにもなる。
誰かがあなたのログインページをハックしようとすると、彼らは別々にログインを試みます。XML-RPCを使えば、ハッカーはsystem.multicall関数を使って、たった20~50回のリクエストで何千ものパスワードオプションを推測することができる。
そのため、XML-RPCをオフにすることで、起こりうるサイバー脅威を回避することができる。
無人のログインは、不正アクセスの入り口となる可能性がある。セッションが乗っ取られる可能性があるのだ。銀行ウェブサイトが一定時間後にログアウトするのはこのためです。
WordPressサイトでは、ユーザーがアクティブでないときに自動ログアウトさせるのがベストです。これにより、トラブルの可能性を大幅に減らすことができます。
Inactive Logoutのようなプラグインを使えば、このプロセスを自動化できる。この無料プラグインを使えば、アイドルタイムアウト時間を設定することができます。
また、セッションのログアウトメッセージをカスタマイズすることもできます。非アクティブによるログアウトをユーザーに知らせることができます。
セキュリティの質問は、ログインページの安全性を高めます。自分だけが答えられ、他の人が推測しにくい質問を選びましょう。これにより、WordPressログインのセキュリティが強化され、不要なアクセスを防ぐことができます。
Two Factor Authenticationプラグインを使用すると、カスタムセキュリティ質問を作成することができます。
無料版では、選択した2つの質問に対する答えを保存することができます。また、独自の質問と回答を追加することもできます。
そして、ユーザーがログインするときに、あなたが記入した質問のうち2つに答えなければならない。
デフォルトでは、ソースコードにWordPressのバージョンが表示されます。
WordPressの最新バージョンを公開することは無害に思えるかもしれませんが、あなたのサイトを危険にさらす可能性があります。ハッカーはこの情報を利用して、特定のバージョンの既知のセキュリティ脆弱性を悪用します。
WordPressのバージョンを隠す方法はたくさんありますが、WPCodeを使うことをお勧めします。このコードスニペットプラグインには、WordPressのバージョン番号を削除するスニペットがあらかじめ用意されています。
必要なのは、スニペットを検索して使うことだけだ。
そして、新しいスニペットをアクティブにする!
万全を期していても、ハッカーがあなたのウェブサイトに侵入し、損害を与える可能性があります。万が一このような事態が発生した場合に備えて、準備をしておく必要があるだろう。
ハッキングされた後にWordPressサイトを復元するのは大変に思えるかもしれない。しかし、適切なツールを使えば簡単だ。
Duplicator Proは、数秒でサイトを復元するWordPressバックアッププラグインです。ハックした後、エラーのない最新のバックアップを見つけ、その横にある復元ボタンを押してください。
ハッカーの中には、WordPressの管理ダッシュボードからロックアウトする者もいます。このような事態を防ぐために、事前にディザスタリカバリを設定しておきましょう。
サイトのフルバックアップを作成します。次に、その横にある青い家のアイコンをクリックします。
災害復旧を設定すると、Duplicatorは復旧リンクとランチャーファイルを提供します。これらのどちらかを使えば、サイバー攻撃後すぐにサイトを復元することができます。
個人的には、リカバリーリンクの方が好きだ。ブラウザウィンドウを開いて、このリンクを貼り付けるだけです。これでDuplicatorのリカバリーウィザードが開きます(ダッシュボードは必要ありません)。
ウェブサイトを保護するために、リカバリーリンクまたはランチャーファイルを安全な場所に保存してください。万が一ウェブサイトがダウンした場合に備えて、オフサイトである必要があります。
バックドアやその他のセキュリティの脆弱性を確実に取り除きたい場合は、ハッキングされたWordPressサイトを修正する方法についてのチュートリアルをお読みください。
WordPressサイトのセキュリティを確保するには、安全なウェブホストを使用し、バックアップを自動化し、ソフトウェアを常にアップデートし、ユーザーアクセスを監視することです。より複雑なセキュリティ上の問題については、遠慮なく専門家にお尋ねください。
セキュリティ・プラグインは、一般的な脅威からサイトを保護するのに役立ちます。コードに触れることなくセキュリティを強化できるので、初心者の方におすすめです。Sucuri Securityは、始めたばかりであったり、サイトセキュリティに手ぶらで取り組みたい場合に最適なオプションです。
毎年ハッキングされるWordPressサイトの正確な数はわかっていない。しかし、Sucuriは定期的にウェブサイトをクリーンアップしており、2022年に悪用されたサイトの96.2%がWordPressで運営されていることがわかりました。このうち49.8%は、サイバー攻撃を受けた時点で古いものだった。
他のプラットフォームと同様、WordPressにも脆弱性があります。古いソフトウェア、脆弱なパスワード、WordPressのアップデート不足などです。しかし、適切に管理すれば、これらのリスクは大幅に減らすことができます。
システム、プラグイン、テーマを定期的に更新しないと、WordPressサイトのセキュリティが危険にさらされる可能性があります。また、強力なパスワードや二要素認証を設定しないと、サイトが脆弱になる可能性があります。これは、SQL攻撃、クロスサイトスクリプティング、総当たりログインなどの深刻な問題につながる可能性があります。
この時点で、あなたのサイトはセキュリティの脅威を撃退する準備ができている!
ここにいる間、私はあなたがこれらの余分なWordPressガイドを気に入ると思います:
予期せぬハッキングによるデータ損失を避けたいですか?自動クラウドバックアップのためにDuplicator Proをダウンロードしましょう!
情報開示私たちのコンテンツは読者支援型です。つまり、あなたが私たちのリンクをクリックした場合、私たちはコミッションを得る可能性があります。私たちは、読者に付加価値をもたらすと信じる製品のみを推薦します。
