WordPressセキュリティチェックリスト：あなたのサイトを守るステップ・バイ・ステップ・ガイド

WordPressのセキュリティを強化する必要がありますか？

WordPressサイトを保護しなければ、ハッカーに狙われやすくなります。ハッカーは弱い部分を見つけ、コンテンツを変更したり、ユーザー情報を盗んだり、サイトを壊したりするかもしれません。これは、あなたのビジネスや評判に深刻なダメージを与える可能性があります。 

このブログでは、WordPressのセキュリティ・チェックリストをご紹介します！セキュリティのベストプラクティスを学んで、あなたのサイトがハッキングされないようにしましょう。

以下はその要点である：

• SSL証明書、ファイアウォール、定期的なバックアップを備えた安全なウェブホストを選び、強固なセキュリティ基盤を構築する。
• サイトを自動的にクラウドにバックアップするため、何か問題が発生した場合にサイトを復元することができます。
• WordPressのコア、プラグイン、テーマを常に更新し、セキュリティの脆弱性にパッチを当てる。
• ブルートフォース攻撃を防ぐため、強固でユニークなパスワードを使用し、二要素認証を有効にする。
• Sucuriのようなセキュリティプラグインをインストールし、ファイアウォール、マルウェアスキャン、脅威監視を追加する。
• ログインページを隠し、ログイン試行を制限し、XML-RPCのような不要な機能を無効にして攻撃を減らす。
• ユーザーアクティビティを監視し、管理者アクセスを制限することで、内部セキュリティ侵害のリスクを最小限に抑えます。

目次

世界中で何百万ものウェブサイトがWordPressに依存していることから、このプラットフォームがセキュリティに真剣に取り組んでいることは間違いない。ソフトウェアの安全性を保つため、定期的にアップデートをリリースしている。

しかし、オープンソースのプラットフォームであるため、誰でもソースコードを調べることができ、悪用できる脆弱性を発見できる可能性がある。 

しかし、多くのハッカーは、サイト所有者の怠慢によってWordPressサイトにアクセスしています。WordPressのコアソフトウェアが古かったり、パスワードが弱かったりすると、サイトが非常に脆弱な状態になる可能性があります。 

このことは、WordPressのセキュリティが軽視できるものではないことを物語っている。WordPressは強固な基盤を持っていますが、それでもセキュリティを高めるために定期的なメンテナンス作業は必要です。 

なぜWordPressのセキュリティが重要なのか？

あなたはブログやeコマースストアに精力的に取り組んできた。ある朝目覚めると、すべてが消えていた。 

だからこそ、WordPressのセキュリティはとても重要なのです。優れたセキュリティ対策を使えば、脅威からサイトを守ることができます。これにより、ハッキングやデータ漏洩の被害に遭う可能性を大幅に減らすことができます。 

コンテンツを安全に保つだけでなく、安全なサイトは訪問者にとっても魅力的です。安全であることがわかれば、訪問者はより長く滞在する可能性が高くなります。 

さらに、検索エンジンはランキングでも安全なサイトを好む傾向がある。WordPressを保護すればするほど、SEOは向上する。 

全体として、WordPressのセキュリティに投資することは、家のアラームを買うようなものだ。すべてを立ち上げるのは少し面倒かもしれないが、最終的には間違いなくそれだけの価値がある。

WordPressセキュリティ・チェックリスト

初心者の皆さんは、何から始めればいいのだろうとお考えかもしれない。

WordPressのセキュリティ・チェックリストを作成しました！各ステップを踏むだけで、最後には完全に安全なサイトが完成します。

WordPressセキュリティ・チェックリスト

• 安全なウェブホストを見つける強力なセキュリティ・プロトコル、SSL証明書、ファイアウォール、定期的なバックアップを備えたホスティングを選択する。
• ウェブサイトのバックアップDuplicatorのようなプラグインを使ってクラウドバックアップを自動化し、データを保護する。
• ソフトウェアのアップデートWordPressのコア、プラグイン、テーマを更新し、脆弱性を修正する。
• 未使用のプラグインとテーマを削除：使用されていないソフトウェアを削除し、潜在的なセキュリティホールをなくす。
• 強力なパスワードを使用する：文字が混在したユニークで複雑なパスワードを作成し、一般的なフレーズを避ける。
• 管理者アクセス権の更新：管理者ユーザーを制限し、アクティブでないアカウントを削除し、最小限の権限を割り当てます。
• WordPressのログインページを隠すログインURLをカスタマイズしてブルートフォースアタックを防ぐ
• ユーザーの行動を監視：ユーザーの行動を追跡し、セキュリティ侵害や不要な変更を特定します。
• WordPressのセキュリティプラグインをインストールする：マルウェアスキャンやセキュリティ通知のためにSucuriのようなツールを使う。
• ウェブアプリケーションファイアウォール（WAF）を使用する：DNSまたはアプリケーションレベルのファイアウォールで悪意のあるトラフィックをブロックする
• マルウェアのスキャンセキュリティプラグインを使用して、サイトにウイルスや脅威がないか定期的にチェックします。
• SSL/HTTPSへの移行：SSL証明書を有効にして、ユーザーとサーバー間のデータを暗号化する。
• ユーザー名の変更：ログインの脆弱性を減らすために、"admin "のような予測可能なユーザー名は避ける。
• ファイルパーミッションを更新します：適切なパーミッション（フォルダは755、ファイルは644）を設定し、アクセスを制御します。
• ファイル編集を無効にする：ハッカーによる悪意のあるコードの注入を防ぐため、WordPressのファイルエディタをオフにします。
• PHPファイル実行の無効化：アップロードディレクトリでのPHPファイルの実行をブロックし、攻撃を阻止します。
• ログイン試行を制限する：1つのIPアドレスからのログイン試行回数を制限する。
• 二要素認証を使用する：ログインセキュリティのためにモバイルコードによる認証ステップを追加する。
• WordPressデータベースの接頭辞を変更する：デフォルトの "wp_"接頭辞を置き換えて、テーブル名を推測しにくくする。
• 管理ページとログインページのパスワード保護ユーザーがログイン画面に到達する前に、追加のパスワードレイヤーを追加します。
• ディレクトリのインデックスとブラウジングを無効にする：ディレクトリの内容を非表示にし、ファイルの閲覧を防止
• XML-RPCを無効にする：ハッカーによるパスワード推測の脆弱性を防ぐため、このAPIをオフにする。
• アイドルユーザーのログアウト：アクティブでないユーザーを自動的にログアウトし、セッションの乗っ取りを防ぎます。
• WordPressのバージョンを隠す：ソースコードからバージョン番号を削除して標的型攻撃を回避する
• ハックされたサイトの復元ディザスタリカバリ機能付きバックアップツール（Duplicator Pro）を使って、危険にさらされたサイトを素早く復旧させる

1.安全なウェブホストを見つける

ウェブホスト選びは、単に値札をチェックするだけではありません。必要なのは、セキュリティに熱心なホストです。

最新のセキュリティプロトコルを提供しているウェブホストを探しましょう。サーバーはメンテナンスされ、最新の状態でなければなりません。また、強力なファイアウォールを備え、SSL証明書を提供しているところも良いでしょう。 

そして最後に、ウェブホストが定期的なバックアップとサイトの復元を提供しているかどうかを調べてください。このセーフティネットが必要ないことを望むでしょうが、念のため持っておくに越したことはありません。

現在、共有ホスティングプランをご利用の場合、マネージドWordPressホスティングにアップグレードすることをお勧めします。共有ホストでは、他のサイトとリソースを共有することになります。あなたのサーバーの誰かがセキュリティ侵害をした場合、それはあなたのウェブサイトにも影響を与える可能性があります。

しかし、Bluehost、Hostinger、SiteGroundのような評判の良い共有ホストは、多くの基本的なセキュリティの問題からあなたを守ります。

安全なWordPressホストを見つけたら、新しいサーバーにサイトを移行する方法を説明します。 

2.ウェブサイトのバックアップ

ウェブサイトを立ち上げたばかりの頃は、新しいブログ記事を書いたり、商品を販売したりすることにワクワクすることでしょう。しかし、定期的にサイトをバックアップする必要もあります。

バックアップはデジタルコンテンツの保険です。万が一、何か問題が発生した場合でも、サイトを元の状態に戻すことができます。

Duplicatorはサイトのコピーを簡単に作成できるバックアッププラグインです。自動バックアップとクラウドストレージをサポートしているので、データを失うことはありません。

バックアップを別のクラウドサーバーに保存し、セキュリティを強化するのが最善です。こうすれば、サーバーに問題が発生してもバックアップが失われることはない。

Duplicatorを使えば、サイトをクラウドにバックアップできます。お好きなクラウドストレージサービスを接続し、バックアップ作成時に選択するだけです。

バックアップに保存するデータをカスタマイズできます。必要であれば、データベース、メディアライブラリ、その他のデータだけを簡単にバックアップすることができます。

ウェブサイトは常に新しいコンテンツで更新されるため、定期的にバックアップを取る必要があります。幸いなことに、Duplicatorはバックアップを自動化することができます。

スケジュールを設定することで、手動でのバックアップを心配する必要がなくなります！問題が発生したらロールバックするだけなので、あなたのサイトはどんな問題からも常に安全です。

Duplicatorの他にも、使えるバックアッププラグインはたくさんある。UpdraftPlus、Jetpack、BlogVaultなどが有名です。 

3.ソフトウェアの更新

ソフトウェアのアップデートは、WordPressのセキュリティにおいて重要な役割を果たします。単に機能を追加するだけでなく、潜在的な脆弱性にパッチを当てるのです。 

WordPressはマイナーアップデートを自動的にインストールします。しかし、メジャーバージョンは手動でインストールする必要があります。 

アップデートのページを見つけ、コアソフトウェア、プラグイン、テーマのアップデートを実行します。

セキュリティ・アップデートは常に行われているので、常に目を光らせておく必要がある。便利なことに、アップデートを自動化することもできる。 

しかし、新しいバージョンのWordPress、プラグイン、テーマをまずステージングサイトでテストすることをお勧めします。そうすることで、悪いアップデートの後に起こるソフトウェアの衝突を避けることができます。

4.使っていないプラグインとテーマを削除する

サイトをきれいにすることで、セキュリティが向上します。積極的に使用していないWordPressのテーマやプラグインはすべて捨ててしまうことをお勧めします。 

ハッカーは古いプラグインやテーマを使ってウェブサイトにアクセスすることができるからです。使用されていないソフトウェアを削除することで、WordPressのセキュリティを強化することができます。 

経験則が必要ですか？過去6ヶ月間使っていなかったら、さようなら。WordPressサイトを最適化し、セキュリティを強化する簡単な方法です。 

5.強力なパスワードを使用する

良いパスワードとは、ユニークで、予測不可能で、自分だけが知っているものであるべきです。大文字、小文字、数字、記号を組み合わせて使うことをお勧めします。 

Password123」は初歩的なミスであることを忘れないでください！家の鍵をドアマットの下に置いておくようなもので、潜在的なサイバー脅威の訪問を招いているようなものです。

総当たり攻撃では、ハッカーやボットがあなたのパスワードを推測しようとします。彼らは侵入するまで、よく使われるオプションを試してみる。ですから、パスワードは複雑であればあるほどよいのです。 

それはさておき、あなたを特定できるような情報は使わないようにしましょう。自分の名前や誕生日、ペットの名前（どんなに可愛くても）は使わないこと。

すべてのサイトやユーザーに同じパスワードを使わないようにしましょう。家、車、オフィスで同じ鍵を使わないのと同じように、セキュリティ侵害を避けるために、デジタル・キーもバラバラにしておきましょう。

パスワードを安全に保存するために、LastPassのようなパスワードマネージャーを使うことを検討しましょう。強力なオプションを自動的に生成し、ログインプロセスを簡素化することができます。

6.管理者アクセス権の更新

WordPressのセキュリティに関しては、管理者権限の更新は必須です。このステップを踏むことで、あなたのサイトは不要な侵入やハッキングを受けにくくなります。 

まず、「管理者」ロールを持つユーザーの数を制限する。複数の管理者ユーザーを持つことは、セキュリティ上のリスクになります。信頼できる管理者を数人だけにしましょう。 

次に、ユーザーリストを定期的にチェックし、使用しなくなったアカウントを削除する。こうすることで、休眠状態のアカウントがハッカーに悪用されるリスクを減らすことができる。 

最後に、ユーザーの役割に必要最小限の権限を割り当てます。すべての人に管理者権限が必要なわけではありません。

ユーザーは自分の仕事をするのに十分な権限を持つべきだが、それ以上は持たない。これにより、そのアカウントがハッキングされた場合の損害の可能性を最小限に抑えることができる。

どのユーザーが特定のアクセス権を取得すべきかわからない場合は、WordPressのユーザーロールとパーミッションに関するガイドをお読みください。

7.WordPressのログインページを隠す

毎日、ログインページを使ってWordPressサイトにサインインします。すべてのWordPressサイトには、wp-adminまたはwp-loginで終わるログインページがあります。そのため、悪意のあるユーザーがあなたのサイトにアクセスし、悪用する可能性があります。 

WordPressのログインページを隠すことで、ハッキングの試みからサイトを守ることができます。ハッカーがログインページを見つけられなければ、ブルートフォース攻撃で管理画面のダッシュボードを開くことはできません。

WPS Hide Login のように、これを簡単に実現できるプラグインもあります。ログインURLをカスタマイズするだけで、自分だけがその場所を知ることができます。

8.ユーザーアクティビティの監視

あなたのサイトに多くのユーザーがいる場合、1人がハッキングされたり、ログイン認証情報を間違った人と共有したりする可能性があります。そのユーザーアカウントに管理者権限があれば、テーマ、プラグイン、設定が変更される可能性があります。

セキュリティ侵害を特定するには、ユーザーの行動を監視すればよい。どのユーザーが不要な変更を行ったかを特定し、素早くサイトから削除することができます。

WordPressのユーザーを追跡するのに役立つプラグインをいくつかご紹介します：

• WPアクティビティログ
• 簡単な歴史

これらのツールは、WordPressのマルチサイトを管理している場合に特に役立ちます。ウェブサイトの所有者、作成者、編集者、その他のユーザーが多数存在する可能性があります。どのユーザーが脆弱性を引き起こしたのかを正確に知ることは重要です。

9.WordPressのセキュリティプラグインをインストールする

セキュリティ・プラグインは、あなたのサイトにセキュリティを追加するものです。潜在的な脆弱性を特定し、対処するように設計されています。例えば、定期的なセキュリティスキャン、ファイアウォール保護、スパムフィルタリングなどがあります。 

最高のWordPressセキュリティプラグインの1つがSucuri Securityだ。このツールは、リモートマルウェアスキャン、セキュリティ通知、ハッキング後のソリューションを提供する。

Sucuriを使用すると、簡単にセキュリティを強化できます。セキュリティ強化の設定では、ファイアウォールを有効にしたり、プラグインやテーマのエディタを無効にしたり、WordPressのバージョンを非表示にしたりすることができます。

WordPressのセキュリティを強化する初心者向けの方法です。さらに、WordPress.orgには無料版もあります！

10.ウェブアプリケーションファイアウォール（WAF）の使用

ウェブアプリケーションファイアウォール（WAF）は、ウェブサイトへの受信トラフィックを監視し、フィルタリングするツールです。SQLインジェクションやクロスサイトスクリプティング（XSS）などの脅威からWordPressサイトを保護するのに役立ちます。

ファイアウォールは、多くの一般的なサイバー脅威を阻止することができます。ファイアウォールは、あなたのサイトとすべての受信トラフィックの間の保護バリアとして機能し、悪意のあるリクエストをブロックします。

ファイアウォールの種類を紹介しよう：

• DNSレベルのファイアウォール：クラウドプロキシサーバーを介してトラフィックを送信し、評価する
• アプリケーション・レベル・ファイアウォール：サーバーに到達したトラフィックを評価するファイアウォール・プラグイン

Sucuriは、WordPressウェブサイトにファイアウォールを設定する最も簡単な方法を提供します。WPBeginnerがわずか3ヶ月で450,000件のサイバー攻撃をブロックしたほど、効果的なツールです。

Sucuriを利用すれば、マルウェア、DDoS攻撃、ブルートフォース攻撃、その他のセキュリティ上の懸念を回避できます。 

11.マルウェアのスキャン

ウェブサイトにマルウェアがないか定期的にスキャンすることは、WordPressのセキュリティを維持する上で非常に重要です。WordfenceやSucuriのような人気のあるプラグインは、この作業を手助けしてくれます。 

これらのセキュリティツールは、お客様のウェブサイト上の潜在的な脅威を発見し、排除するために特別に設計されています。あなたのウェブサイトを積極的に監視し、不審な動きを素早く警告し、その除去のためのソリューションを提供します。

Sucuriには無料のマルウェアチェッカーもあります。あなたのウェブサイトのURLを入力することで、ウイルスの有無を調べることができる。

12.SSL/HTTPSへの移行

SSL（Secure Sockets Layer）は、ユーザーのブラウザとサーバー間のデータを暗号化するプロトコルです。これにより、サイバー攻撃者がデータを傍受したり盗んだりすることが難しくなります。

SSLを有効にすると、サイトのURLはHTTPS（Hypertext Transfer Protocol Secure）を使用します。これは、ブラウザウィンドウのドメインの横にロックアイコンで表示されます。

HTTPSに移行するには、SSL証明書を購入し、サーバーにインストールする必要があります。多くのホスティング・プロバイダーは、Let's Encrypt経由で無料のSSL証明書を提供しています。その後、WordPressサイトの設定とURLでHTTPSが使用されていることを確認してください。 

SSL証明書をまだお持ちでない方は、こちらで設定できます！

13.ユーザー名の変更

ユーザー名に "admin "を使うのはよくあることだが、これは避けたいWordPressの重大なセキュリティミスのひとつだ。ログイン情報の半分を攻撃者に渡してしまうことになります。

あなたのウェブサイトを保護するために、ユーザー名を予測しにくく、よりユニークなものに変更することを検討してください。 

WordPressのダッシュボードにアクセスし、管理者権限を持つ新しいユーザーを作成します。一度ログアウトし、新しい管理者としてログインし直してください。

次に、古い「admin」ユーザーを削除します。削除したユーザーから新しいユーザーにすべてのコンテンツを移行してください。これだけです。 

14.ファイルパーミッションの更新

ファイル・パーミッションは、ファイルの読み取り、書き込み、実行を許可する人を制御します。パーミッションの設定を誤ると、侵入者に開かれたドアを提供することになります。

以下は、私たちが推奨する設定です：

• 755 フォルダーとサブフォルダー用
• すべてのファイルに対して644

ファイルやフォルダのパーミッションの修正は、技術的な経験がないと複雑になる可能性があることを覚えておいてください。わからない場合は、ホスティングプロバイダーや熟練した開発者に相談するのが一番です。

15.ファイル編集を無効にする

WordPressのダッシュボードでは、管理者がプラグインやテーマのPHPファイルを変更することができる。これは便利だが危険でもある。

ハッカーがダッシュボードに侵入した場合、ファイル・エディターを悪用してWordPressファイルに有害なコードを書き込む可能性があります。このようなセキュリティ上の脅威を避けるには、wp-config.phpファイルを調整してファイル編集をオフにする必要があります。

これは専門的に聞こえるが、実際には簡単なプロセスである。FTPでWordPressにアクセスし、wp-config.phpファイルを探します。このファイルを開き、以下のコード・スニペットを追加する： 

define( 'DISALLOW_FILE_EDIT', true );

ファイルを保存すると、有害なコードから保護するために更新された設定がすぐに機能し始める。 

この作業は、ウェブサイトのファイルを変更しても問題ない場合にのみ行ってください。不安な場合は、専門家に助けを求めてください。 

16.PHPファイル実行を無効にする

WordPressの特定のディレクトリでPHPファイルの実行を無効にすることは、サイトを保護するための重要なステップです。そうしないと、悪意のある攻撃の入り口を開いてしまいます。 

ハッカーは、アップロードフォルダや他のディレクトリにphpファイルを配置することによって、この抜け穴を利用することができます。これらのファイルは悪意のあるコードを実行し、あなたのウェブサイトを危険にさらす可能性があります。

この問題を解決するには、PHPを必要としないディレクトリ（/wp-content/uploads/など）でのPHPファイルの実行を無効にします。 

テキストエディタを開き、このコーディングを貼り付ける：

<Files *.php>

deny from all

</Files>

ファイル名を.htaccessとし、uploadsフォルダに追加します。 

17.ログイン試行を制限する

先に述べたように、ボットは何度もログインを試みることで、あなたのサイトにアクセスしようとする可能性があります。 サイトを安全に保つために、1つのIPアドレスからログインを試行できる回数に制限を設けましょう。

ログイン試行を制限することで、ブルートフォース攻撃が成功する確率を下げることができます。WordPressは無制限のログインを許可していますが、Limit Login Attempts Reloadedのようなプラグインを使って制限を設定することができます。

Limit Login Attempts Reloadedは、一定回数ログインに失敗するとIPアドレスをブロックします。カスタムロックアウト時間を作成し、新しいロックアウトに関する電子メールを自動的に受け取ることができます。 

18.二要素認証を使う

二要素認証（2FA）は、WordPressサイトに追加の保護レイヤーを追加します。パスワードに加えて、通常は携帯電話に送信される認証コードが必要です。 

この二重のチェックシステムによってセキュリティが強化され、ハッカーが侵入するのが難しくなる。たとえパスワードを解読されても、認証コードが必要なのだ。 

WP 2FAは、WordPressサイトに二要素認証を素早く設定するプラグインです。Google AuthenticatorやAuthyのような認証アプリ用のログインコードを生成します。ユーザーはパスワードと一緒にコードを入力します。

この機能を使えば、ハッカーやボットがパスワードを入手しても、あなたのサイトに侵入することはできない。ログインのための余分なステップがあり、簡単にアクセスされることはありません。 

19.WordPressデータベースの接頭辞を変更する

WordPressはデータベースのテーブルに接頭辞を割り当てます。デフォルトのプレフィックスは wp_ です。

デフォルトのままだと、ハッカーは簡単にテーブル名を推測することができます。そのため、変更することをお勧めする。

しかし、これは初心者にとってはあまり簡単なことではない。それに、サイトを壊してしまうことにもなりかねない。

WordPressデータベースの接頭辞を適切に変更する方法については、こちらのガイドを参照してください。 

20.管理者ページとログインページのパスワード保護

WordPressのログインページを保護するもう一つの方法は、管理ディレクトリにパスワード保護を追加することです。誰かが管理エリアにアクセスしようとすると、ログインページを見る前にパスワードを入力する必要があります。

管理者のパスワード保護を有効にするには、cPanelのディレクトリプライバシーを使用することができます。これにより、コードを使わずに管理者ディレクトリを保護することができます。

21.ディレクトリのインデックスとブラウジングを無効にする

ディレクトリの閲覧は、ウェブサイトのセキュリティの弱点となり得ます。この機能が有効になっていると、誰でもウェブサイト上のディレクトリの内容を見ることができます。ハッカーは、脆弱性のあるファイルを見つけたら、これを利用することができます。 

この問題を解決するには、.htaccessファイルの一番下に簡単なコードを追加します。 

Options -Indexes

これは、あなたのサイトのフォルダを覗かれるのを防ぎ、隠しファイルを保護します。

22.XML-RPCを無効にする

WordPress 3.5以降、XML-RPCはWordPressのコアAPIです。これにより、開発者はリモートアプリケーションを使用して WordPress を更新することができます。

XML-RPCを使えば、モバイルアプリを使ってブログ記事を公開することができる。また、Zapierのようなサードパーティのサービスとサイトを接続することも可能だ。 

このWordPressの機能により、他のアプリがあなたのウェブサイトと会話できるようになる。しかし、ハッカーが利用できるセキュリティの抜け穴を作ることにもなる。 

誰かがあなたのログインページをハックしようとすると、彼らは別々にログインを試みます。XML-RPCを使えば、ハッカーはsystem.multicall関数を使って、たった20～50回のリクエストで何千ものパスワードオプションを推測することができる。

そのため、XML-RPCをオフにすることで、起こりうるサイバー脅威を回避することができる。

23.アイドルユーザーのログアウト

無人のログインは、不正アクセスの入り口となる可能性がある。セッションが乗っ取られる可能性があるのだ。銀行ウェブサイトが一定時間後にログアウトするのはこのためです。

WordPressサイトでは、ユーザーがアクティブでないときに自動ログアウトさせるのがベストです。これにより、トラブルの可能性を大幅に減らすことができます。

Inactive Logoutのようなプラグインを使えば、このプロセスを自動化できる。この無料プラグインを使えば、アイドルタイムアウト時間を設定することができます。 

また、セッションのログアウトメッセージをカスタマイズすることもできます。非アクティブによるログアウトをユーザーに知らせることができます。 

24.WordPressのバージョンを隠す

デフォルトでは、ソースコードにWordPressのバージョンが表示されます。

WordPressの最新バージョンを公開することは無害に思えるかもしれませんが、あなたのサイトを危険にさらす可能性があります。ハッカーはこの情報を利用して、特定のバージョンの既知のセキュリティ脆弱性を悪用します。 

WordPressのバージョンを隠す方法はたくさんありますが、WPCodeを使うことをお勧めします。このコードスニペットプラグインには、WordPressのバージョン番号を削除するスニペットがあらかじめ用意されています。

必要なのは、スニペットを検索して使うことだけだ。 

そして、新しいスニペットをアクティブにする！

25.ハックされたサイトを復元する

万全を期していても、ハッカーがあなたのウェブサイトに侵入し、損害を与える可能性があります。万が一このような事態が発生した場合に備えて、準備をしておく必要があるだろう。 

ハッキングされた後にWordPressサイトを復元するのは大変に思えるかもしれない。しかし、適切なツールを使えば簡単だ。

Duplicator Proは、数秒でサイトを復元するWordPressバックアッププラグインです。ハックした後、エラーのない最新のバックアップを見つけ、その横にある復元ボタンを押してください。

ハッカーの中には、WordPressの管理ダッシュボードからロックアウトする者もいます。このような事態を防ぐために、事前にディザスタリカバリを設定しておきましょう。

サイトのフルバックアップを作成します。次に、その横にある青い家のアイコンをクリックします。

災害復旧を設定すると、Duplicatorは復旧リンクとランチャーファイルを提供します。これらのどちらかを使えば、サイバー攻撃後すぐにサイトを復元することができます。

個人的には、リカバリーリンクの方が好きだ。ブラウザウィンドウを開いて、このリンクを貼り付けるだけです。これでDuplicatorのリカバリーウィザードが開きます（ダッシュボードは必要ありません）。

ウェブサイトを保護するために、リカバリーリンクまたはランチャーファイルを安全な場所に保存してください。万が一ウェブサイトがダウンした場合に備えて、オフサイトである必要があります。 

バックドアやその他のセキュリティの脆弱性を確実に取り除きたい場合は、ハッキングされたWordPressサイトを修正する方法についてのチュートリアルをお読みください。 

WordPressのセキュリティに関するFAQ

結論

この時点で、あなたのサイトはセキュリティの脅威を撃退する準備ができている！

ここにいる間、私はあなたがこれらの余分なWordPressガイドを気に入ると思います：

• WordPressサイトのクリーンアップ方法
• ハッカーからウェブサイトを守る方法
• ワードプレスは安全か？真実を明らかにする
• 8+ 最高のWordPressセキュリティ・プラグイン
• 忘れちゃいけない11のWordPressメンテナンスタスク

予期せぬハッキングによるデータ損失を避けたいですか？自動クラウドバックアップのためにDuplicator Proをダウンロードしましょう！