【eコマース管理者必見!】reCAPTCHAでWordPressをセキュリティ強化する方法

【eコマース管理者必見!】reCAPTCHAでWordPressをセキュリティ強化する方法

あなたのサイトからユーザーが安全に注文(取り引き)ができるために、wordpress・セキュリティプラグインにはEコマースを不正アクセスから守る便利な新機能がいくつか含まれています。今回は「登録・ログイン時の画像認識(以下 reCAPTCHA)の導入」です。 1.GoogleのreCAPTCHAを導入してセキュリティを強化する方法WordPressのeコマースサイトを保護するために、reCAPTCHAがあります。 reCAPTCHAとは、ウェブサイトにアクセスを試みるボットを遮断するために設置されている、画像で表示される文字を入力することでボットでないことを証明できる機能。 reCAPTCHAは多くのサイトで導入されていますが、いちいち文字入力するのは手間で、スマートフォンなどのモバイル端末ではめんどくさい作業でした。しかし、Googleが新たにクリック・タップだけでサクッとボットでないことを証明できるように進化させました。by Gigazine セキュリティアドオンを有効にすると、ユーザーログインと登録フォームの画像認証機能を実装することができます。このreCAPTCHAのを追加すると、スパムや悪性ボットを不正なアクセスからあなたのサイトを保護することが可能です。 2.reCAPTCHAが実装できるWordPressプラグインGoogle reCAPTCHAhttps://wordpress.org/plugins/google-captcha/ 登録フォーム、ログインフォーム、パスワードフォームとコメントフォームをリセット:標準のWordPressのフォームをサポートします。 BestWebSoft、contact form(PRO ver)でのお問い合わせフォームに対応。 特定のユーザーだけにGoogleのキャプチャ(reCAPTCHAのを)表示することが可能。 バージョン1とバージョン2のGoogleのキャプチャ(reCAPTCHAの)をサポートしています。 標準のGoogleキャプチャ(reCAPTCHAの)テーマをサポートします。 no CAPTCHA reCAPTCHAhttps://ja.wordpress.org/plugins/wp-recaptcha/ ログイン、登録、コメントとユーザー登録のフォームにCAPTCHAをアクティブにするためのオプション。 CAPTCHAのテーマを選択。 ユーザーの言語を自動的に検出。 WooCommerceにも対応。 WP reCAPTCHAhttps://ja.wordpress.org/plugins/wp-recaptcha/ WP reCAPTCHAはスパム、悪質な登録およびロボットが偽装しようとする攻撃に対して、あなたのサイトを保護する無料のCAPTCHAサービスです。 ログイン、登録、コメントとユーザー登録のフォームにCAPTCHAをアクティブにするためのオプション。 3.reCAPTCHAをWordPressへ設定するGoogle reCAPTCHA Keysを取得するreCAPTCHAのをアクティブにするためにキーをgoogle.com/recaptcha~~Vから取得します。Googleアカウントでログイン>新しいサイト(任意名)を登録します。 登録ボタンをクリックした後、reCAPTCHAのセクションにコピーすることができるサイト秘密キーコードが表示されます。 セキュリティプラグインに設定する あなたが導入したWordPressセキュリティ・プラグインの設定箇所にGoogleから取得したSite keyとScret keyを貼り付けます。 ログイン、登録、またはコメントフォームから任意の組み合わせを選択します。 一旦ログアウトしてテストを行う。 【対策6項目!!】サイト保護とWordPressの脆弱性を理解するRead More 【WEB担当者向け】よりよいWordPressのセキュリティ対策4つの方法Read More eコマースを構築するためのワードプレス機能とプロセスガイドRead More 【eコマース管理者必見!】reCAPTCHAでWordPressをセキュリティ強化する方法Read More 決済代行サービスの徹底比較 WordPress+ECサイトeコマース [2016年版]Read More eコマースのための最も人気のある決済会社を比較Read More 123


【WEB担当者向け】よりよいWordPressのセキュリティ対策4つの方法

すべてのWordPressサイトの管理者またはweb担当者は、可能な限り「ロックダウン」としてのWordPressのセキュリティを強固にする必要があります。 ユーザビリティとセキュリティの両面を維持しながらWordPressのセキュリティを強化する方法は、意外に知られていません。 セキュリティを強化するあまり制限を持ち過ぎるとユーザビリティを失ってしまいます。ですので管理者は第一に、ユーザーがコミュニケーションを安全に行えるため、管理者が常によりよいWordPressのセキュリティのために、追求することが重要です。 1.アクセス権の時間を制限することでWordPressのセキュリティを強化するほとんどの場合、営業時間外(深夜や祝日など)にサイトの所有者はアクセスしないスリープ状態になります。 その時間帯にWordPressの管理アクセス権を他の誰かが持っている必要がありますか?ない場合、アクセスを時間帯で制御しましょう。 幾つかのセキュリティプラグインでは、設定された時間にあなたのワードプレスの管理セクションを閉じて、アクセスできないようにする機能を提供しています。そのほとんどが[設定]ページで、訪問退席中モードセクションを、アクティブにするだけで実行できます。 2. 自分でマルウェアを監視する必要はありませんインターネット上でWordPressセキュリティの専門家とディスカッションする場が提供されています。ただ、世界中の専門家に常にアップデートされる「マルウェアについてディスカッションしてください」という意味ではありません。 評判のある”悪役” ボットもしくはIPブロックアドレスのキュレーションリストを活用しましょう。 iThemesセキュリティは、あなたのWordPressのウェブサイトへのアクセスを「悪役」のリストを簡単に入手し排除することができます。[設定]ページで、訪問禁止ユーザーのセクションをクリックしHackRepair.comのブラックリスト機能を有効にすればいいだけです。 3.悪意のあるユーザーとボットを任意に排除するWordPressで使用すべきではないログインアカウント名が「admin」です。何年も前からワードプレスインストールのデフォルトでは「admin(管理者)」アカウントを生成してきました。 あなたがログインに「admin」が使っている限りボットもWordPressのサイトに侵入しようと、「admin」名を使用し続けます。 一般的なユーザーと悪意のあるボットかどうかを見極めようとする作業は非常に困難ですが、あなたのサイトを安全にユーザーが訪れるためのヒントがそこにあります。 「admin」ユーザー名を使用してログインしようとするホストを禁止しましょう。 WordPressセキュリティプラグインでは、自動的にホストをブラックリストに掲載する機能があります。「admin」でログインする悪意のあるユーザーとボットをリストに追加し、任意に排除しましょう。 4.ワードプレスの新しいセキュリティホールを閉じるセキュリティ上の脆弱性のほとんどがWordPressプラグインのXML-RPCプロトコルに存在していたことが発見されました。Jetpackのようなシェアプラグインは、WordPressのサイトと外部ソースと自動通信することを可能にするプロトコルです。 このプラグインが有効になっているときに、誰かがあなたのパスワード総当り攻撃(ブルートフォース)を無限に試みる可能性があります。(これは、「ブルートフォース保護」を持っている場合でも可能です。) あなたのWordPressサイトのXML-RPCを使用する理由がない場合は、プロトコルを完全に無効化することです。 コンテンツ更新頻度が多く、さらにSNS自動連携をせざる得ない場合を除いては手動でSNSに投稿することをお勧めいたします。 追記上記のセキュリティ以外に10文字以上の英数字WordPressのパスワードの実装、WordPressの2要素認証や画像認証、適​切な権限を使用して定期的にWordPress、プラグイン、テーマを最新に維持する、WordPressのバックアップをとることも忘れないでください。 セキュリティについて相談してみる 【対策6項目!!】サイト保護とWordPressの脆弱性を理解する2016-03-24Topicwordpress,セキュリティ,ツール 【WEB担当者向け】よりよいWordPressのセキュリティ対策4つの方法2016-03-30Topicwordpress,セキュリティ,ツール 【eコマース管理者必見!】reCAPTCHAでWordPressをセキュリティ強化する方法2016-04-11TopicEコマース,wordpress,セキュリティ


wordpressセキュリティ

【対策6項目!!】サイト保護とWordpressの脆弱性を理解する

こんにちわ。プロデューサーの八木澤です。今回は「Wordpressのセキュリティ」ネタです。WordPressは、ウェブサイトを制作する上で世界で最も使用されているCMSです。しかしその人気は、WordPressのサイトがハッカーの対象になります。 Wordpressのセキュリティの脆弱性を理解する&あなたがワードプレスを保護する。あなた自身でウェブサイトを保護する方法を理解するためには、WordPressのセキュリティの脆弱性の種類を理解する必要があります。この記事では、ワードプレスをロックダウンし、一般的な脅威か見ていきます。 Wordpressのセキュリティの脆弱性 52%は、Wordpressのプラグインから侵入。 37%が、コアワードプレスから侵入。 11%がWordpressのテーマから侵入。   出典:WPScan.orgからの統計 39%クロスサイトスクリプティング(XSS)XSSは、他のユーザーが閲覧中のウェブページにクライアント側のスクリプトを挿入します。アクセス制御と他の偽装攻撃を回避するために使用します。インターネット上すべてのセキュリティ脆弱性の84%がXSSによる攻撃です。 その他の攻撃ベクトル 11% – FTPから。(アップロード侵入) 7% – CSRF(クロスサイトリクエストフォージェリ。コメント欄や問い合わせフォームから侵入) 5% – SQLI(データベースの改ざん) 3% – LFI(ローカルファイルインクルード。ローカル上のファイルを読み込んでしまう脆弱性) 2% – RFI(リモートファイルインクルージョン。スクリプト言語の脆弱性を狙った攻撃) 2% – 認証バイパス 1% – リダイレクト 1% – XXE(XML外部エンティティ攻撃) 6% – 不明 ファイルインクルージョンの脆弱性ウェブサイトは、URLの中に置かれた引数に応答し動いています。あなたのPCに、もし脆弱性が含まれていた場合を想像してみてください。誰かがこの脆弱性を発見した場合、それが悪用される可能性があり。そして、これは出力(設定適切な権限のない)UNIXサーバーのパスワードファイルを盗み攻撃するでしょう。 これが発生する可能性がわずか害例です。または誰かが同様にこの方法を介してサーバー上に自分のファイルをアップロードすることができます。 あなたがワードプレスを保護する方法 弱いログインを削除します。強力なパスワードを強制&2要素認証(reCAPTCHA)を使用する。 マルウェア防止。 脆弱なサーバーを変更する。 適切な許可を設定する。 正しいワードプレスをセットアップする。 すべてのテーマ、プラグインを最新に保つ。 セキュリティについて相談してみる 【eコマース管理者必見!】reCAPTCHAでWordPressをセキュリティ強化する方法2016-04-11TopicEコマース,wordpress,セキュリティ 【WEB担当者向け】よりよいWordPressのセキュリティ対策4つの方法2016-03-30Topicwordpress,セキュリティ,ツール 【対策6項目!!】サイト保護とWordPressの脆弱性を理解する2016-03-24Topicwordpress,セキュリティ,ツール