WooCommerceはデフォルトでセキュアですが、あなたのストアが完全に保護されているわけではありません。いくつかの特別な手順を踏まなければ、あなたのサイトはまだ偽の登録、不要なボット、あるいはロックアウトのようなものに脆弱である可能性があります。
最初にこの問題に気づいたとき、何を見落としていたのかわからなかった。すべてが正しく設定されていると思っていたからだ。しかし、あなたのサイトのバックエンドが守られていなければ、表面上はよく見えても十分ではありません。
ほとんどの初心者は、自動化された攻撃がいかに簡単に弱点を探ることができるかに気づいていない。時代遅れのプラグイン、脆弱なログインフォーム、SSL証明書の欠落などは、静かにトラブルを招く。
このガイドでは、あなたのWooCommerceストアを保護する方法を、実際に機能する実践的で初心者に優しい手順で説明します。
目次
- 1.強力なホスティング・プロバイダーを利用する
- 2.常にSSL(HTTPS)を使用する
- 3.WordPress、プラグイン、テーマを常に最新の状態に保つ
- 4.強力なパスワード+二要素認証を使う
- 5.ログイン試行を制限する + CAPTCHAを追加する
- 6.セキュリティ・プラグインをインストールする
- 7.カスタムWooCommerceログインURLを使用する
- 8.WooCommerceのチェックアウトを安全にする
- 9.定期的にサイトをバックアップする
- 10.適切なユーザーロールの設定
- 11.wp-adminを隠す + XML-RPCを無効にする
- 12.あなたのサイトに不審な動きがないか監視する
- 13.PCI コンプライアンスを理解する
WooCommerceサイトを保護する理由
WooCommerceは460万以上のストアを運営しています。このような人気は、弱点を探すハッカーやボットの一般的なターゲットになります。
もしあなたのストアが適切に保護されていなければ、技術的な問題以上のリスクがあります。顧客の信頼を失い、売上を逃し、あるいは検索エンジンやブラウザから安全でないサイトとみなされる可能性さえあります。
セキュリティの問題は、偽の注文、ロックされたアカウント、ダウンタイムにつながる可能性があります。
セキュリティの専門家でなくても、お店を守ることができるのです。いくつかの簡単なステップを踏むだけで、最も一般的な脆弱性を塞ぎ、ビジネスを円滑に進めることができます。
WooCommerceサイトを保護するためのステップ
店舗のセキュリティをワンクリックで解決する方法はありませんが、いくつかの簡単なステップを踏むことで、大きな効果が期待できます。上から順番に取り組んでください。ひとつひとつが、あなたのストアを安全で信頼できるものにしてくれます。
1.強力なホスティング・プロバイダーを利用する
良いホスティングとは、スピードやストレージだけではありません。セキュリティの第一層なのです。
ホストが基本的な保護機能を提供していない場合、あなたが設定した他のすべてが危険にさらされます。私は、サーバーレベルでブロックされているはずのマルウェアや、最も必要なときになかったバックアップが原因でサイトがダウンするのを見たことがある。
今、私がいつも探しているのはこれだ:
- 無料SSL
- 毎日のオフサイト・バックアップ
- マルウェアスキャン
- アクティブ・ファイアウォール
私はSiteGroundと Bluehostで信頼できる結果を得ています。SiteGroundとBluehostは舞台裏で重要なことを処理してくれるので、あなたは自分の店に集中することができます。
私はここで長所と短所について説明します:WordPressのホスティングを選択する方法
2.常にSSL(HTTPS)を使用する
SSLは、パスワード、支払い情報、連絡先など、顧客があなたのサイトで共有するデータを保護します。SSLはすべてを暗号化し、誰にも傍受されないようにします。
ほとんどの優れたホストは、Let's Encryptを通じて無料のSSLを含みますが、ホスティングダッシュボードで手動でオンにする必要がある場合もあります。それがうまくいかない場合は、無料のプラグインReally Simple SSLが対応してくれます。
ブラウザのアドレスバーに南京錠のアイコンが表示されない場合は、何か設定が間違っており、訪問者はそれに気づくでしょう。
詳しくは、WordPressサイトにSSLを追加する方法をご覧ください。
3.WordPress、プラグイン、テーマを常に最新の状態に保つ
ほとんどのハッキングは、何かが古いために起こります。プラグインであったり、テーマであったり、WordPressそのものであったりします。
アップデートは多くの場合、セキュリティ修正を含んでいるため、それをスキップすることは、既知の問題を攻撃者に未解決のままにしておくことを意味する。
私は、WooCommerce、テーマ、そして最も頼りにしているWordPressプラグインの自動更新をオンにしている。週に一度、見落としがないか、ざっとチェックしています。
もう使わないプラグインやテーマは完全に削除する。無効化されたものであっても、リスクはあります。
ほんの数分かかるだけだが、サイトの安全性を保つ上で大きな違いがある。
4.強力なパスワード+二要素認証を使う
脆弱なパスワードは、ボットがあなたのサイトに侵入する最も簡単な方法のひとつです。単純なものを使っていたり、いまだに「管理者」としてログインしているのであれば、そろそろ変更する時期です。
二要素認証、または2FAは、ログインに追加のセキュリティレイヤーを追加します。パスワードを入力した後、2つ目のコードを入力する必要があり、通常は携帯電話またはEメールに送信されます。
こうすることで、たとえハッカーがあなたのパスワードを盗んだとしても、2つ目の認証ステップを踏まなければ、あなたのサイトにアクセスすることはできません。これは、不正アクセスや総当たり攻撃を阻止する最善の方法のひとつです。
WP 2FA、Duo、Wordfence Login Securityなどのプラグインを使えば、技術に詳しくなくても2FAを簡単に設定できる。
5.ログイン試行を制限する + CAPTCHAを追加する
ブルートフォース攻撃は、ボットがあなたのユーザー名とパスワードを何千回も推測して、あなたのサイトに侵入しようとするときに起こります。このような自動化された試みは、ログインページを圧倒し、パスワードが弱い場合は成功する可能性があります。
私はLimit Login Attempts Reloadedプラグインを使って、何度か失敗した後に繰り返されるログイン試行をブロックしています。素早く設定でき、大きな違いがあります。
また、ログインページ、チェックアウトフォーム、コンタクトフォームにCAPTCHAを追加し、ボットによる偽アカウントの作成やスパムの送信を阻止している。
Cloudflare Turnstileはバックグラウンドで動作し、実際のユーザーを遅くしないのでうまく機能します。WPFormsはまた、あなたのフォームにそれを使用している場合、組み込みのCAPTCHAを提供しています。
あまり気づかないだろうが、ゴミが届く前に静かにフィルタリングしてくれるのだ。
6.セキュリティ・プラグインをインストールする
優れたセキュリティ・プラグインは、あなたがログインしていないときでも、バックグラウンドで動作して脅威をシャットアウトする。不審なトラフィックをブロックしたり、マルウェアをスキャンしたり、何か異常があれば警告を発したりすることができる。
私はWordfence、Sucuri、iThemes Securityをそれぞれ別のサイトで使ったことがある。それぞれ無料版でしっかりとした保護機能を提供しており、より多くの機能が必要な場合はいつでも後でアップグレードすることができる。
全てのプラグインが必要なわけではない。ほとんどのプラグインは、簡単なウィザードでセットアップを行い、アクティブにすると、ログインレポート、スキャン結果、その他の役立つアップデートが表示されるようになる。
比較のために、WordPressの最高のセキュリティ・プラグインのリストをご覧ください。
7.カスタムWooCommerceログインURLを使用する
ほとんどのWordPressサイトでは、/wp-login.phpまたは/wp-adminにあるデフォルトのログインページが使用されており、ボットはその場所を正確に知っています。カスタムログインページを作成することで、自動化された攻撃をブロックし、お店をよりプロフェッショナルな雰囲気にすることができます。
私はSeedProdを使って、サイトの他の部分と同じカスタムログインページを作っています。デザインは簡単で、通常のログイン画面と同じように機能します。
このガイドでは、WordPressの管理者ログインURLを変更する方法を説明します。
新しいログインリンクをブックマークして、アクセスできなくならないようにしてください。
8.WooCommerceのチェックアウトを安全にする
チェックアウトページは、顧客が最も機密性の高い情報を共有する場所です。見た目が悪かったり、安全だと感じられなかったりすれば、人々は購入を完了する前に離れてしまうだろう。
私はいつも、StripeやPayPalのような信頼できる決済プロバイダーにこだわっています。彼らは、暗号化や詐欺防止を含むコンプライアンス面を処理してくれるので、私のサイトに支払詳細が保存されることを心配する必要はない。
追加機能を備えたカスタムチェックアウトページを作成することもできます。
ただし、チェックアウトページを確認してください:
- HTTPSを使用
- 支払いプロバイダーからの信頼バッジを含む
- サイトの他のデザインに合わせる
リダイレクトやレイアウトの変更など、訪問者がページを二の次にするようなことは避けましょう。
WordPressでStripe決済を利用する方法はこちらをご覧ください。
9.定期的にサイトをバックアップする
強力なセキュリティがあっても、うまくいかないことはあります。プラグインの更新ミス、単純なミス、マルウェア攻撃によって、あなたのストアが警告なしにオフラインになる可能性があります。
だから、バックアップは私のコア・セキュリティのセットアップの一部なんだ。バックアップを始めるのに何かが壊れるまで待ったりはしない。
私は、WordPressのバックアッププラグインとして人気のあるDuplicatorを使ってフルバックアップを作成しています。ファイル、データベース、設定など、すべてをダウンロード可能な1つのファイルにパッケージしてくれる。
バックアップは常にGoogle DriveやDropboxのようなオフサイトに保存しているので、ホスティングサーバーに問題があっても安全だ。
多忙な店舗では、毎日のバックアップが最適です。小規模なサイトや新しいサイトでは、定期的にバックアップを取るのであれば、通常、週1回のバックアップで十分です。
優れたバックアップがあれば、最初からやり直すことなく素早くリカバリーできる。
完全な手順については、WordPressサイトをバックアップする方法についての私のガイドを参照してください。
10.適切なユーザーロールの設定
WordPressのダッシュボードへのフルアクセスは、誰にでも必要というわけではありません。間違った人に管理者権限を与えると、たとえ偶然であっても、削除されたコンテンツやセキュリティの問題など、深刻な問題につながる可能性があります。
私は、すべてを管理することを完全に信頼できる人にだけ、管理者ロールを割り当てています。店舗スタッフには、ショップマネージャーのロールを使っています。
プラグインやサイトの設定を変更させることなく、注文や商品をコントロールすることができます。もし誰かがコンテンツのお手伝いだけをするのであれば、エディターの役割の方が適しています。
WordPressにはデフォルトでいくつかのユーザー・ロールが含まれており、それぞれにパーミッションが設定されています。最初から適切なものを選択することで、サイトをより安全に、より簡単に管理することができます。
ユーザーリストも定期的に見直しています。しばらく使っていないアカウントがあれば、削除しています。アクセスを厳格化する最も簡単な方法のひとつだ。
さらに一歩踏み込みたい場合は、WordPressサイトの一部をパスワードで保護し、アクセスをさらに制限することができます。
11.wp-adminを隠す + XML-RPCを無効にする
自動化された攻撃の最も一般的なターゲットの2つは、ログインページとXML-RPCと呼ばれるWordPressの機能です。
XML-RPCは、WordPressモバイルアプリやJetpackプラグインのように、アプリやサービスがリモートでサイトと通信するためにWordPressが使用するシステムです。残念ながら、ハッカーはしばしばこれを悪用して、悪意のあるリクエストでサイトに負荷をかけたり、侵入を試みたりします。
ログインページを隠し、XML-RPCを使用しない場合は無効にすることで、サイトを攻撃されにくくすることができます。
私はiThemes Securityを使ってログインエリアを隠し、XML-RPCを無効にします。
12.あなたのサイトに不審な動きがないか監視する
セキュリティーは、単に一度設定すればいいというものではない。舞台裏で何が起きているかに目を光らせる必要がある。
ログインの失敗やファイルの変更など、重要なイベントにはEメールアラートを受け取るようにしています。WordfenceとSucuriの両方がこれを提供しており、何か異常が発生するとすぐに通知してくれます。
また、トラフィックを見るのにも役立ちます。MonsterInsightsは、訪問者を簡単に追跡できる人気のWordPress用Google Analyticsプラグインです。ボット攻撃やスパムのシグナルとなる突然の急増や奇妙な参照元を発見するのに役立ちます。
バックアップとして、私は月に一度ほどGoogle Safe BrowsingとVirusTotalに自分のサイトを通すようにしている。これらのツールはマルウェアやブラックリストをスキャンしてくれるので、必要であればすぐに対応できる。
13.PCI コンプライアンスを理解する
クレジットカード決済を利用する場合、店舗はPCIコンプライアンス・ルールに従わなければなりません。これらの基準は、決済データを保護し、顧客の安全を守るものです。
StripeやPayPalのような決済プロバイダーはPCIレベル1に準拠しています。セキュリティ要件のほとんどを代行してくれます。
つまり、サイト上に機密性の高い支払い情報を保存する必要がないため、リスクが低くなります。
それでも、WooCommerce、プラグイン、サイトを常にアップデートし、安全性を保つことは、コンプライアンスを維持するために重要です。
ボーナス:プライバシーポリシーと規約のページを追加する
あなたのストアにプライバシーポリシーと規約のページを設けることは、顧客との信頼関係を築きます。それは、あなたが彼らのデータを真剣に受け止め、ルールに従っていることを示すものです。
ほとんどの国では、個人情報を収集したり、支払いを処理したりする場合、これらのページを法律で義務付けています。たとえ始めたばかりでも、これらのページを追加することで、あなたとあなたのビジネスを守ることができます。
WordPressのテンプレートやプラグインを使って簡単に作成したり、オンラインツールを使って作成することもできる。
初心者にやさしいガイドとしては、WordPressプライバシーポリシーの作成方法に関する私の投稿をご覧ください。
WooCommerceのセキュリティに関するFAQ
店舗を安全に保つための最後のヒント
WooCommerceストアのセキュリティを確保するために、技術的な学位や何時間もの作業は必要ありません。信頼できるホスティングの選択、SSLの使用、最新のソフトウェアの維持、ユーザーアクセスの管理など、いくつかの重要な分野に集中することで、最も一般的な脅威をブロックすることができます。
私がSeedProdを気に入っている理由は、プロフェッショナルなWooCommerceページを手間なく素早く作成できるからです。しっかりとしたセキュリティプラグインと定期的なバックアップを組み合わせれば、あなたのストアはより安全な場所になるでしょう。
また、以下のWooCommerceガイドも参考になるでしょう:
お読みいただきありがとうございました!ご質問やご意見がありましたら、お気軽にコメントをお寄せください。
また、YouTube、X(旧Twitter)、Facebookでも、ビジネスの発展に役立つコンテンツを配信しています。
