すべてのWordPressサイトの管理者またはweb担当者は、可能な限り「ロックダウン」としてのWordPressのセキュリティを強固にする必要があります。

ユーザビリティとセキュリティの両面を維持しながらWordPressのセキュリティを強化する方法は、意外に知られていません。

セキュリティを強化するあまり制限を持ち過ぎるとユーザビリティを失ってしまいます。ですので管理者は第一に、ユーザーがコミュニケーションを安全に行えるため、管理者が常によりよいWordPressのセキュリティのために、追求することが重要です。

security for wordpress

1.アクセス権の時間を制限することでWordPressのセキュリティを強化する


ほとんどの場合、営業時間外(深夜や祝日など)にサイトの所有者はアクセスしないスリープ状態になります。

その時間帯にWordPressの管理アクセス権を他の誰かが持っている必要がありますか?ない場合、アクセスを時間帯で制御しましょう。

幾つかのセキュリティプラグインでは、設定された時間にあなたのワードプレスの管理セクションを閉じて、アクセスできないようにする機能を提供しています。そのほとんどが[設定]ページで、訪問退席中モードセクションを、アクティブにするだけで実行できます。

2. 自分でマルウェアを監視する必要はありません


インターネット上でWordPressセキュリティの専門家とディスカッションする場が提供されています。ただ、世界中の専門家に常にアップデートされる「マルウェアについてディスカッションしてください」という意味ではありません。

評判のある”悪役” ボットもしくはIPブロックアドレスのキュレーションリストを活用しましょう。

iThemesセキュリティは、あなたのWordPressのウェブサイトへのアクセスを「悪役」のリストを簡単に入手し排除することができます。[設定]ページで、訪問禁止ユーザーのセクションをクリックしHackRepair.comのブラックリスト機能を有効にすればいいだけです。

wordpressセキュリティ 管理者

3.悪意のあるユーザーとボットを任意に排除する


WordPressで使用すべきではないログインアカウント名が「admin」です。何年も前からワードプレスインストールのデフォルトでは「admin(管理者)」アカウントを生成してきました。
あなたがログインに「admin」が使っている限りボットもWordPressのサイトに侵入しようと、「admin」名を使用し続けます。
一般的なユーザーと悪意のあるボットかどうかを見極めようとする作業は非常に困難ですが、あなたのサイトを安全にユーザーが訪れるためのヒントがそこにあります。

「admin」ユーザー名を使用してログインしようとするホストを禁止しましょう。

WordPressセキュリティプラグインでは、自動的にホストをブラックリストに掲載する機能があります。「admin」でログインする悪意のあるユーザーとボットをリストに追加し、任意に排除しましょう。

4.ワードプレスの新しいセキュリティホールを閉じる


セキュリティ上の脆弱性のほとんどがWordPressプラグインのXML-RPCプロトコルに存在していたことが発見されました。Jetpackのようなシェアプラグインは、WordPressのサイトと外部ソースと自動通信することを可能にするプロトコルです。

このプラグインが有効になっているときに、誰かがあなたのパスワード総当り攻撃(ブルートフォース)を無限に試みる可能性があります。(これは、「ブルートフォース保護」を持っている場合でも可能です。)

あなたのWordPressサイトのXML-RPCを使用する理由がない場合は、プロトコルを完全に無効化することです。

コンテンツ更新頻度が多く、さらにSNS自動連携をせざる得ない場合を除いては手動でSNSに投稿することをお勧めいたします。

追記


上記のセキュリティ以外に10文字以上の英数字WordPressのパスワードの実装、WordPressの2要素認証や画像認証、適​切な権限を使用して定期的にWordPress、プラグイン、テーマを最新に維持する、WordPressのバックアップをとることも忘れないでください。