Skip to content

WordPressサイトがハッキングされる10の理由(およびそれを防ぐ方法)

最近、私たちの読者の一人が、なぜWordPressサイトがハッキングされるのか尋ねました。あなたのWordPressサイトがハッキングされたことを知るのはいらいらします。この記事では、WordPressサイトがハッキングされる主な理由を説明しますので、これらの間違いを避けてサイトを保護することができます。

なぜWordPressサイトがハッキングされるのですか?

WordPressがハッカーの標的になっているのはなぜですか?
まず、それはWordPressだけではありません。インターネット上のすべてのWebサイトはハッキングの試みに対して脆弱です。

WordPressサイトが共通のターゲットである理由は、WordPressが世界で最も人気のあるWebサイトビルダーであるためです。それは、世界中の何億ものWebサイトを意味する、すべてのWebサイトの31%以上に電力を供給しています。

この非常に人気があるので、ハッカーは安全性が低いWebサイトを簡単に見つけることができるため、悪用される可能性があります。

ハッカーは、Webサイトをハッキングする動機の種類が異なります。安全性の低いサイトを悪用する方法を学んでいる初心者もいます。

マルウェアの配布、他のWebサイトを攻撃するためのサイトの使用、インターネットへのスパムなどの悪意を持ったハッカーもいます。

それでは、WordPressサイトがハッキングされる主な原因と、Webサイトがハッキングされるのを防ぐ方法を見てみましょう。

1.安全でないWebホスティング

すべてのWebサイトと同様に、WordPressサイトはWebサーバーでホストされています。一部のホスティング会社は、ホスティングプラットフォームを適切に保護していません。これにより、自分のサーバーでホストされているすべてのWebサイトがハッキングの試みに対して脆弱になります。

あなたのウェブサイトに最適なWordPressホスティングプロバイダを選ぶことでこれを簡単に避けることができます。それはあなたのサイトが安全なプラットフォームでホストされていることを保証します。適切に安全なサーバーはWordPressサイトへの最も一般的な攻撃の多くをブロックすることができます。

特別な注意を払う必要がある場合は、マネージドWordPressホスティングプロバイダを使用することをお勧めします。

2.弱いパスワードの使用

パスワードはあなたのWordPressサイトへの鍵です。あなたはあなたがあなたのウェブサイトへのハッカーの完全なアクセスを提供することができるのであなたがあなたが次のアカウントの各々に強いユニークなパスワードを使っていることを確かめる必要があります。

あなたのWordPress管理者アカウント
Webホスティングコントロールパネルアカウント
FTPアカウント
あなたのWordPressサイトに使用されているMySQLデータベース
WordPressの管理者またはホスティングアカウントに使用される電子メールアカウント
これらのアカウントはすべてパスワードで保護されています。弱いパスワードを使用すると、ハッカーがいくつかの基本的なハッキングツールを使用してパスワードを簡単に解読できるようになります。

各アカウントに固有の強力なパスワードを使用することで、これを簡単に回避できます。WordPress初心者のためのパスワードを管理する最善の方法については、これらの強力なパスワードをすべて管理する方法についてのガイドを参照してください。

3. WordPress管理者(wp-adminディレクトリ)への保護されていないアクセス

WordPress管理領域は、WordPressサイトでさまざまな操作を実行するためのユーザーアクセス権を与えます。それはまたWordPressサイトの最も一般的に攻撃されている分野です。

無防備のままにしておくと、ハッカーはあなたのウェブサイトをクラックするために様々なアプローチを試すことができます。あなたのWordPress管理ディレクトリに認証の層を追加することで、それらを困難にすることができます。

まずあなたのWordPress管理領域をパスワードで保護する必要があります。これは追加のセキュリティ層を追加し、WordPress管理者にアクセスしようとする人は追加のパスワードを提供しなければならないでしょう。

あなたがマルチオーサーまたはマルチユーザーのWordPressサイトを運営しているなら、あなたはあなたのサイトのすべてのユーザーに強いパスワードを強制することができます。2要素認証を追加して、ハッカーがWordPress管理領域に侵入するのをさらに困難にすることもできます。

4.不正なファイル権限

ファイルのアクセス許可は、Webサーバーで使用されている一連の規則です。これらの許可はあなたのウェブサーバがあなたのサイト上のファイルへのアクセスを制御するのを助けます。不正なファイル許可は、ハッカーにこれらのファイルの書き込みおよび変更のためのアクセス権を与える可能性があります。

あなたのすべてのWordPressファイルはファイル許可として644の値を持つべきです。あなたのWordPressサイト上のすべてのフォルダーは、それらのファイル許可として755を持つべきです。

これらのファイル許可を適用する方法を学ぶためにWordPressの画像アップロード問題を修正する方法に関する我々のガイドを見てください。

5. WordPressをアップデートしない

一部のWordPressユーザーは、自分のWordPressサイトを更新することを恐れています。彼らはそうすることが彼らのウェブサイトを壊すことを恐れている。

WordPressのそれぞれの新しいバージョンはバグとセキュリティの脆弱性を修正します。あなたがWordPressをアップデートしていないのであれば、あなたは故意にあなたのサイトを脆弱なままにしています。

アップデートがあなたのウェブサイトを壊すことを恐れているなら、あなたはアップデートを実行する前に完全なWordPressバックアップを作成することができます。このようにして、何かがうまくいかない場合は、簡単に以前のバージョンに戻すことができます。

6.プラグインやテーマを更新しない

コアWordPressソフトウェアと同じように、テーマとプラグインを更新することも同様に重要です。古いプラグインやテーマを使用すると、サイトが脆弱になる可能性があります。

セキュリティ上の欠陥やバグは、WordPressのプラグインやテーマで発見されることがよくあります。通常、テーマ作成者とプラグイン作成者はそれらをすぐに修正できます。ただし、ユーザーが自分のテーマやプラグインを更新しない場合は、ユーザーがそれについてできることは何もありません。

WordPressのテーマとプラグインを常に最新の状態に保ってください。

7. SFTP / SSHの代わりにプレーンFTPを使う

FTPではなくSFTP

FTPアカウントは、FTPクライアントを使用してWebサーバーにファイルをアップロードするために使用されます。ほとんどのホスティングプロバイダは異なるプロトコルを使用したFTP接続をサポートしています。プレーンFTP、SFTP、またはSSHを使用して接続できます。

通常のFTPを使用してサイトに接続すると、パスワードは暗号化されずにサーバーに送信されます。それは盗まれて簡単に盗まれる可能性があります。FTPを使用する代わりに、常にSFTPまたはSSHを使用してください。

あなたのFTPクライアントを変更する必要はないでしょう。ほとんどのFTPクライアントはSSHと同様にSFTPであなたのウェブサイトに接続することができます。あなたのウェブサイトに接続するときあなただけのプロトコルを ‘SFTP – SSH’に変更する必要があります。

8. WordPressのユーザー名としてAdminを使う

WordPressのユーザー名として「admin」を使用することはお勧めできません。あなたの場合は、管理者のユーザ名はadminです、あなたはすぐに別のユーザー名にそれを変更する必要があります。

有料のWordPressプラグインとテーマを無料で配布するインターネット上のWebサイトは多数あります。時々それはあなたのサイト上でそれらの無効にされたプラグインとテーマを使用したくなるでしょう。

信頼性の低いソースからWordPressテーマとプラグインをダウンロードすることは非常に危険です。彼らはあなたのウェブサイトのセキュリティを危うくすることができるだけでなく、それらはまた機密情報を盗むのに使用されることができます。

WordPressのプラグインとテーマは、プラグイン/テーマ開発者のWebサイトまたは公式のWordPressリポジトリなどの信頼できる場所から常にダウンロードする必要があります。

あなたが余裕がないか、プレミアムプラグインやテーマを購入したくない場合は、その後それらの製品のために利用可能な無料の代替手段が常にあります。これらの無料のプラグインは、有料版と比べると良くないかもしれませんが、仕事を終わらせ、最も重要なことにあなたのウェブサイトを安全に保つでしょう。

また、当社のWebサイトのお得な情報セクションで、人気のWordPress製品の多くの割引を見つけることができます。

9. WordPress設定のwp-config.phpファイルを保護しない

WordPress設定ファイルwp-config.phpはあなたのWordPressデータベースログイン認証情報を含みます。それが危険にさらされている場合、それはハッカーにあなたのウェブサイトへの完全なアクセスを与える可能性がある情報を明らかにするでしょう。

.htaccessを使用してwp-configファイルへのアクセスを拒否することで、保護をさらに強化することができます。この小さなコードをあなたの.htaccessファイルに追加するだけです。

<files wp-config.php>
order allow,deny
deny from all
</files>

 

10. WordPressのテーブルプレフィックスを変更しない

多くの専門家は、デフォルトのWordPressテーブルプレフィックスを変更することを推奨します。デフォルトでは、WordPressはデータベースに作成するテーブルの接頭辞としてwp_を使用します。インストール中にそれを変更するオプションがあります。

もう少し複雑な接頭辞を使用することをお勧めします。これにより、ハッカーがデータベースのテーブル名を推測するのが難しくなります。