WordPress攻撃には一般的なセキュリティ対策への注意が必要

Impe が最近発表したレポートによると、過去 1 年間でハッカー攻撃に対して最も脆弱だったのは、医療業界の Web サイトと WodPess を使用しているホスティング Web サイトでした。

これらのデータから、各 Web アプリケーションにはすべての攻撃タイプの少なくとも 75% が含まれていることがわかります。これは、ハッカーが過去 1 年間で攻撃タイプの面で投資ポートフォリオを多様化していることを示しています。その中でも、XSS (クロスサイト スクリプティング) と SQLI (SQL インジェクション) は 205 年に最も大きな増加を示し、SQLI (SQL インジェクション) 攻撃の数は前年同期比で 3 倍に増加しました。

205 年、WodPess でホストされている Web サイトは、CMS 以外の Web サイトよりも 250 倍頻繁に攻撃を受け、7 倍以上のスパムを受信しました。さらに、2015 年の WodPess ウェブサイトへの RFI (リモート ファイル攻撃) 攻撃の件数は、前年同期の 7 倍に増加しました。

WodPess は、誰でもウェブサイトを構築できるオープンソース ソフトウェアです。同様に、誰でもこのソフトウェアの脆弱性を研究できます。上記の WodPess ウェブサイト攻撃データを知った後、WodPess ウェブサイトの所有者として、WodPess ウェブサイトのセキュリティを保護するために複数の対策を講じることが非常に重要です。次のエディターは、いくつかの方法を共有します。

最初に確認すべきことは、ウェブサイトにセキュリティ上のリスクがないかどうかです。主要な主流プラットフォームが提供する検出ツールを使用して、定期的にウェブサイトをチェックし、抜け穴やセキュリティ上のリスクがないか確認してください。

2. ジャンクプラグインの使用はできるだけ少なくします。評価が 3 つ星未満のプラグインには脆弱性やバックドアが含まれている可能性があります。注意してインストールしてください。原則として、できるだけプラグインではなくコードを使用してください。プラグインの使用を減らすと、Web サイトのアクセス速度も向上します。

3. WodPess のバージョンを適時に更新します。WodPess を使用したことがある友人は、そのバージョンが頻繁に更新されることを知っています。トラブルを恐れないでください。適時に最新バージョンに更新するのが最善です。さらに、使用している多くのプラグインやテーマも更新する必要があり、少なくとも公式に知られている脆弱性が修正されていることを確認できます。

4. 複雑なユーザー名とパスワードを使用します。多くのウェブマスターは毎日何百もの IP アドレスを持っていますが、それでも dmin アカウントを使用しています。これに注意する必要があります。そうしないと、苦労して構築した Web サイトが一瞬で破壊されてしまいます。したがって、WodPess を構築するときは、より複雑なパスワードを設定し、デフォルトの dmin ユーザー名を使用しないことをお勧めします。

5. .htccess ファイルを有効に活用します。.htccess ファイルはルート ディレクトリにある構成ファイルです。特定のユーザーやディレクトリへのアクセスの許可/ブロック、ディレクトリ リストの禁止など、さまざまな機能を実装するのに役立ちます。一般的なセキュリティ構成には次の 2 つがあります。

.htccessに次の設定を追加します。Allow fom xx.xx.xx.xx/xx。たとえば、パブリックネットワークIP 23.23.23.0/24のすべてのIPのみにアクセスを許可する場合は、Allow fom 23.23.23.0/24を設定します。詳細については、 .htcccess 関数のアプリケーションの詳細については、Webmaster Encyclopedia Wiki エントリで詳しく説明されています。

b. ディレクトリリストの共有表示機能をオフにします。これは非常に重要で、多くの人が見落としがちです。設定されていない場合は、現在のディレクトリ内のすべてのプラグインフォルダーがリストされ、Webサイトのディレクトリ構造が一目でわかります。これはもちろん非常に危険なので、.htccessにOptions -Indexesを追加する必要があります。

6. サイトが独自のオペレーティングシステムを搭載したサーバー、仮想サーバーなどを使用している場合は、オペレーティングシステムのセキュリティをさらに強化する必要があります。レンタルホストの場合は、HostEse、RAKSmtなどの正規のホストプロバイダーを選択してください。非正規のホスティング プロバイダーを選択した場合、コンピューター ルームが DDOS 攻撃を受けた場合、WodPess Web サイトのセキュリティは確実に影響を受けます。

7. セキュリティ保護プラグインをインストールします。一般的なプラグインには、Acunetix WP Secuity、Wodpess Secuity Scn などがあり、WodPess をさらに強化できます。セキュリティ プラグインを検索できます。WodPess の公式 Web サイトからダウンロードするのが最適です。

上記の方法は、WodPess サイトのセキュリティをさらに保護できます。セキュリティ強化をしっかり行うと同時に、サイトを定期的にバックアップする習慣も身に付ける必要があります。現在、多くのプラグインやホスト コントロール パネルには自動バックアップ機能があり、それほど面倒ではありません。慣れていれば、数分で解決できます。さらに、現在の WodPess ウェブサイト攻撃は種類が多く、頻度も高いため、ウェブサイトのセキュリティを確保することは、すべてのウェブマスターが長期的に解決する必要がある課題です。