WordPressは当初、eコマースストア、ブログ、ニュース、およびエンタープライズレベルのアプリケーション向けの、今日では完全なWebソリューションとなったブログプラットフォームとして立ち上げられました。 このWordPressの進化により、コアに多くの変更が加えられ、以前のバージョンからより安定した安全なものになりました。
なぜなら WordPress は、誰でもそのコア機能に貢献できるオープンソースプラットフォームです。 この柔軟性は、 テーマを開発した開発者 プラグインと、プラグインを使用してWordPressサイトに機能を追加するエンドユーザー。
しかしながら、この開放性は、無視できないプラットフォームのセキュリティに関していくつかの深刻な問題を提起します。 これはシステム自体の欠陥ではなく、その上に構築されている構造であり、WordPressセキュリティチームがエンドユーザーのためにプラットフォームを安全に保つために日夜働いていることを考えると重要です。
エンドユーザーとして、さまざまなソフトウェアをインストールして多くの変更を加えるため、デフォルトのセキュリティメカニズムに単純に頼ることはできないと述べました。 WordPressサイトへのプラグインとテーマ ハッカーに悪用される抜け穴を作ることができます。
この記事ではさまざまなことを探ります WordPressのセキュリティ上の脆弱性 そして、安全を保つためにそれらを回避し修正する方法を学びます。
WordPressの脆弱性とセキュリティの問題
それぞれの問題とその解決方法を一つずつ見ていきます。
- ブルートフォース攻撃
- SQLインジェクション
- マルウェア
- クロスサイトスクリプティング
- DDoS攻撃
- 古いWordPressとPHPのバージョン
1 ブルートフォース攻撃
素人の言葉では、 ブルートフォース攻撃 正しいユーザー名またはパスワードを推測するために何百もの組み合わせを使用した複数の試行錯誤のアプローチが含まれます。 これは、ある種のコンテキストを使用してパスワードを推測する強力なアルゴリズムと辞書を使用して行われます。
この種の攻撃は実行が困難ですが、それでもWordPressサイトで実行されている人気のある攻撃の1つです。 デフォルトでは、WordPressは、ユーザーが1秒間に何千もの組み合わせを試すことができる複数の失敗試行をユーザーが試みることを妨げません。
ブルートフォース攻撃を防止し、修正する方法
ブルートフォースを避けることはかなり簡単です。 あなたがしなければならないのは、大文字、小文字、数字、特殊文字を含む強力なパスワードを作成することです。各文字は異なるASCII値を持ち、長くて複雑なパスワードを推測するのは難しいでしょう。 のようなパスワードの使用を避けます johnny123 or whatsmypassword.
また、Two Factor Authenticationを統合して、サイトに2回ログインしているユーザを認証します。 2因子認証 素晴らしいプラグインです。
2 SQLインジェクション
Webハッキングの本の中で最も古いハックの1つは SQLクエリの注入 任意のWebフォームまたは入力フィールドを使用してデータベースを有効にするか完全に破棄する。
侵入に成功すると、ハッカーはMySQLデータベースを操作して、おそらくあなたのWordPress管理者にアクセスするか、単にさらなる被害のために認証情報を変更することができます。 この攻撃は通常、主に彼らのハッキング能力をテストしている平凡なハッカーに素人によって実行されます。
SQLインジェクションを防止し修正する方法
プラグインを使用することで、あなたのサイトが被害者であるかどうかを識別することができます。 SQLインジェクション か否か。 あなたが使用することがあります WPScan or Sucuri SiteCheck それを確認する。
また、問題を引き起こしていると思われるテーマやプラグインだけでなく、WordPressも更新してください。 彼らがパッチを開発することができるようにそのような問題を報告するために彼らのドキュメンテーションをチェックし、彼らのサポートフォーラムを訪問してください。
3 マルウェア
悪質なコード 感染したテーマ、古いプラグイン、またはスクリプトを通してWordPressにインジェクトされます。 このコードはあなたのサイトからデータを抽出することができるだけでなく、その慎重な性質のために見過ごされる可能性がある悪意のあるコンテンツを挿入することができます。
時間通りに処理されない場合、マルウェアは軽度から重度の損害を引き起こす可能性があります。 時にはWordPressサイト全体がコアに影響を与えているため、再インストールする必要があります。 あなたのサイトを使って大量のデータが転送されたりホスティングされたりすると、ホスティング費用にコストがかかる可能性もあります。
マルウェアを防止、修正する方法
通常、マルウェアは感染したプラグインと無効なテーマを介して侵入します。 悪質なコンテンツのない信頼できるリソースからのみテーマをダウンロードすることをお勧めします。
SuccuriやWordFenceなどのセキュリティプラグインを使用してフルスキャンを実行し、マルウェアを修正することができます。 最悪の場合、シナリオはWordPressの専門家に相談してください。
4 クロスサイトスクリプティング
最も一般的な攻撃の1つは クロスサイトスクリプティングはXSS攻撃とも呼ばれます。 この種の攻撃では、攻撃者は悪意のあるJavaScriptコードを読み込みます。このコードは、クライアント側で読み込まれるとデータの収集を開始し、場合によってはユーザーエクスペリエンスに影響を及ぼす他の悪意のあるサイトにリダイレクトされます。
クロスサイトスクリプティングを防止および修正する方法
この種の攻撃を回避するために、WordPressサイト全体で適切なデータ検証が行われます。 出力サニタイズを使用して、正しいタイプのデータが挿入されていることを確認してください。 のようなプラグイン XSSの脆弱性を防止する も使用することができる。
5 DDoS攻撃
ネットを閲覧したりWebサイトを管理している人は誰でも悪名高いDDoS攻撃に遭遇した可能性があります。 分散型サービス拒否(DDoS) 大量のリクエストがWebサーバーに対して行われて遅くなり、最終的にクラッシュする、サービス拒否(DoS)の拡張バージョンです。
DDoSは単一のソースを使用して実行されますが、DDoSは世界中の複数のマシンを介して実行される組織的な攻撃です。 この悪名高いWebセキュリティ攻撃により、毎年数百万ドルが無駄になっています。
DDoS攻撃を防止し、修正する方法
DDoS攻撃は、従来の技術を使用して防ぐことは困難です。 Webホストが重要な役割を果たす WordPressサイトをこのような攻撃から保護します。 例えば、 曇り - マネージドクラウドホスティング プロバイダはサーバのセキュリティを管理し、顧客のWebサイトに損害を与える可能性がある前に疑わしいものにフラグを立てます。
古いWordPressとPHPのバージョン
古いWordPressのバージョン セキュリティの脅威の影響を受けやすくなります。 時間の経過とともに、ハッカーはそのコアを悪用し、最終的には依然として古いバージョンを使用しているサイト上で攻撃を実行する方法を見つけます。
同じ理由で、WordPressチームはセキュリティメカニズムをアップデートしたパッチと新しいバージョンをリリースします。 ランニング PHPの古いバージョン 非互換性の問題を引き起こす可能性があります。 WordPressはPHP上で動作するため、正しく動作するためには更新されたバージョンが必要です。
WordPressの公式統計によると、 42.6% ユーザーの多くはまだWordPressのさまざまな古いバージョンを使用しています。
唯一の 2.3% WordPressサイトは最新のPHPバージョン7.2で実行されています。
古いWordPressとPHPのバージョンを回避し、修正する方法
これは簡単なものです。 あなたは常にあなたのWordPressインストールを最新版に更新するべきです。 必ず最新バージョンを使用するようにしてください(アップグレードの前には必ずバックアップを取ってください)。 PHPのアップグレードに関しては、WordPressサイトの互換性をテストしたら、PHPのバージョンを変更することができます。
最終的な考え!
私たちはWordPressのさまざまな脆弱性とそれらの可能な解決策に精通しています。 WordPressのセキュリティを損なわないために、更新が重要な役割を果たすことは注目に値します。 そして、異常な行動に気づいたら、つま先に乗って問題が見つかるまで掘り始めます。これらのセキュリティリスクは数千ドルの損害を引き起こす可能性があるからです。
返信を残します