WordPressサイトセキュリティプロトコル標準作業手順(SOP)
WordPressサイトを管理する際に考慮する必要があるセキュリティ対策
デジタル資産の保護と Web サイトのセキュリティ強化への継続的な取り組みの一環として、当社は WordPress Web サイト管理のための包括的なセキュリティ プロトコルを実装しています。これらの対策は、不正アクセスから保護し、チームがデジタル セキュリティのベスト プラクティスを確実に遵守できるように設計されています。
2 要素認証 (2FA) の導入
基礎となるセキュリティプロトコルは、2要素認証(2FA)の使用が義務付けられていることです。この追加のセキュリティ層により、WordPress バックエンドへのアクセスが厳密に制御され、許可された担当者のみがアクセスできるようになります。2 番目の確認フォームを要求すると、不正アクセスのリスクを大幅に減らすことができます。
ブラウザにパスワードはもうありません
デジタル環境のセキュリティをさらに強化するには、ブラウザのパスワードの保存に対するポリシーを適用します。この方法は便利ですが、セキュリティ上のリスクをもたらします。安全なパスワード マネージャーを使用してパスワードを保存することを奨励し、妥協することなくセキュリティと利便性を強化することが最善です。
必須の安全なWeb接続
パブリック インターネット接続に関連する脆弱性を認識し、WordPress サイトを管理する際には、すべてのチーム メンバーに安全な Web 接続の使用を義務付ける必要があります。これは、VPN を利用し、公衆 Wi-Fi ネットワークを何としても避けることを意味します。このポリシーからの逸脱は、高いセキュリティ基準を維持するために厳格な懲戒処分が科せられます。
詳細な Web サイト ドキュメント
各チームメンバーは、管理するすべてのWordPressサイトの詳細なドキュメントを管理します。このドキュメントには、インストールされているプラグイン、現在のユーザー、毎月の手動スキャンのログなどの重要な情報の包括的なリストが含まれます。この取り組みは、透明性を維持し、Web サイトの効率的な管理を促進することを目的としています。
プラグインのインストールと管理
安全な WordPress 環境を維持するという取り組みにおいて、新しいプラグインのインストールまたは既存のプラグインの削除には、書面による明示的な許可が必要になります。このポリシーは、脆弱性を引き起こす可能性のある不正な変更を防止します。セキュリティ リスクで知られるファイル マネージャー プラグインは固く禁じられています。
セキュリティへのコミットメントを行う
これらの WordPress Web サイト管理プロトコルの強化は、セキュリティに対する揺るぎない取り組みを反映しています。これらの対策を実施することで、デジタル資産と、あなた、クライアント、またはチーム メンバーに委託された情報の完全性を保護することを目指すことができます。
これらの変化に適応するには、一定期間の調整が必要になる場合があることを理解してください。ただし、セキュリティの強化、コンプライアンスの向上、より堅牢なデジタル インフラストラクチャなどの長期的なメリットは、初期の不便さをはるかに上回ります。
WordPress Web サイト セキュリティ プロトコル テンプレートの標準操作手順 (SOP) を作成しました。 PDFとしてダウンロードはこちら .
コピー&ペーストする場合は、以下にもリストします。
WordPressウェブサイトのセキュリティプロトコルの標準作業手順(SOP)
ドキュメント管理
- バージョン: 1.0
- 日付: 04/08/2024
- ドキュメント所有者:
- 承認:
目的
この SOP では、不正アクセスや潜在的なセキュリティ脅威から保護するために WordPress Web サイトを管理するためのセキュリティ プロトコルの概要を説明します。主な焦点は、2 要素認証 (2FA) を有効にし、パスワードがブラウザに保存されないようにすることです。
スコープ
この手順は、WordPress Web サイトのバックエンドを管理、保守、またはアクセスするすべてのスタッフ メンバーに適用されます。
責任
- ウェブサイト管理者: セキュリティプロトコルの適用を担当します。
- ITセキュリティチーム: セキュリティ対策の実装のサポートと監督を提供します。
- すべてのユーザー: セキュリティプロトコルに準拠します。
プロシージャ
- 2要素認証(2FA)
- 実装:
- 「Two Factor Authentication」や「Wordfence Security」などの2段階認証プラグインをインストールして有効化してください。
- プラグイン設定に移動し、すべてのユーザーロールで2FAを有効にします。
- 優先する 2FA 方法 (電子メール、SMS、認証アプリなど) を選択し、それに応じて構成します。
- ユーザー登録:
- 公式通信を通じて、すべてのユーザーに 2FA 要件を通知します。
- 2FA の設定に関するステップバイステップのガイドまたはトレーニング セッションを提供します。
- すべてのユーザーが自分のアカウントで 2FA を有効にする期限を設定します。
- コンプライアンス監視:
- ユーザーアカウントを定期的に確認して、2FAが有効になっていることを確認してください。
- コンプライアンスの問題やユーザーの問題に迅速に対処します。
- 実装:
- ブラウザにパスワードが保存されない
- ガイドライン:
- ブラウザにパスワードを保存するリスクについてユーザーを教育します。
- パスワードの保存には安全なパスワードマネージャーの使用を奨励します。
- 可能であれば、ブラウザでのパスワードの保存をブロックする技術的なソリューションを実装します。
- コンプライアンス:
- このポリシーの遵守を確認するために定期的な監査を実施します。
- 安全なパスワード管理のためのサポートと代替手段をユーザーに提供します。
- ガイドライン:
その他のベストプラクティス
- 定期的な更新: WordPress のコア、テーマ、プラグインが定期的に更新されるようにしてください。
- 強力なパスワード: すべてのアカウントに強力なパスワードの使用を強制します。
- ログイン試行を制限する: プラグインをインストールして、ログイン試行を制限し、試行が繰り返し失敗した後に IP アドレスをブロックします。
- ユーザーロール管理: ユーザーが職務を遂行するために必要な最小限の権限を割り当てます。
- SSL証明書: SSL 証明書を使用して、Web サイトとの間で送受信されるデータを暗号化します。
- ウェブサイトのバックアップ: Web サイトの定期的なバックアップをスケジュールし、安全に保存します。
- セキュリティ監査: 定期的なセキュリティ監査と侵入テストを実施して、脆弱性を特定して対処します。
ウェブサイトのドキュメント要件
- ポリシーステートメント: 各チームメンバーは、管理するWordPressサイトごとに詳細なドキュメントを維持する必要があります。この文書は、次の情報を含むがこれらに限定されない包括的な記録として機能します。
- プラグイン: インストールされているすべてのプラグイン、その目的、および最終更新日のリスト。このセクションでは、プラグインの操作に関連するカスタマイズや特定の設定にも注意する必要があります。
- 現在のユーザー: WordPressバックエンドにアクセスできるすべてのユーザーの現在の名簿(役割と追加日を含む)。許可されたユーザーのみがアクセスできるように、定期的な監査を実施する必要があります。
- セキュリティ対策: 2FA セットアップ、SSL 証明書、カスタム ファイアウォール ルールなど、サイトに実装されている特定のセキュリティ対策。
- 手動の月次スキャン: Immunifyまたは同様のツールを使用して実施された毎月の手動スキャンのログ(スキャンの日付と、その結果として実行された結果またはアクションを含む)。
- 変更ログ: 日付と責任者を含む、サイト上で行われた更新、変更、または重要なアクションの詳細な変更ログ。
プラグインのインストールと管理
- ポリシーステートメント: いかなる状況においても、チームメンバーは、組織内の指定された当局からの書面による明示的な許可なしにプラグインをインストール、更新、または削除することはできません。このポリシーは、サイトのセキュリティや機能を損なう可能性のある不正な変更を防ぐために実施されています。
- 例外プロセス: プラグインのインストールまたは更新のリクエストは、リクエストの正当性や潜在的なセキュリティへの影響の評価を含めて、指定された当局に書面で提出する必要があります。
- 禁止されているプラグイン: ファイル マネージャー プラグインまたはセキュリティの脆弱性を引き起こすことが知られているプラグインの使用は固く禁じられています。これには、WordPress ダッシュボード内でファイルを直接操作できるプラグインが含まれますが、これらに限定されません。
コンプライアンスと施行
- 監視と監査: 定期的な監査により、このSOPへの準拠が保証されます。これには、Web サイトのドキュメントの完全性の確認、インストールされているプラグインの認証の確認、必要に応じて手動スキャンが実行されることの確認が含まれます。
- コンプライアンス違反: このSOPからの逸脱は直ちに対処されます。違反した場合、ウェブサイトへのアクセス権限の取り消しや雇用の解雇などの懲戒処分が科せられる可能性があります。
トレーニングと意識向上
- 定期的なトレーニング: すべてのチームメンバーは、Web サイト管理におけるセキュリティの重要性、プラグインのインストール要求のプロセス、効果的な手動スキャンの実施方法など、この SOP に関する定期的なトレーニングを受けます。
- 啓発キャンペーン: 継続的な啓発キャンペーンにより、セキュリティ プロトコルに従い、Web サイト管理活動の詳細な文書を保管することの重要性が強化されます。
セキュアな Web 接続要件
ポリシーステートメント
最高レベルのセキュリティを確保し、不正アクセスや潜在的なセキュリティ侵害から保護するために、すべてのチーム メンバーは WordPress バックエンドにアクセスするか、安全な Web 接続を介して Web サイト管理アクティビティを実行する必要があります。本質的に安全ではなく、傍受されやすい公共のインターネット接続は固く禁じられています。
セキュア接続のガイドライン
- VPNの使用: Web サイトにリモートでアクセスする場合、ユーザーは仮想プライベート ネットワーク (VPN) を利用して、接続が安全で暗号化されていることを確認する必要があります。IT 部門は、承認された VPN サービスに関する推奨事項を提供できます。
- Wi-Fiセキュリティ: 自宅またはプライベート ネットワークからサイトにアクセスする場合は、Wi-Fi ネットワークが WPA2 または WPA3 暗号化で保護されていること、およびネットワーク パスワードが強力で一意であることを確認してください。
- パブリックネットワークの禁止: いかなる状況においても、チームメンバーは公衆Wi-Fiネットワーク(コーヒーショップ、図書館、ホテルなど)を使用して、WordPressダッシュボードにアクセスしたり、更新を実行したり、コンテンツを管理したりしないでください。これには、公衆 Wi-Fi ネットワークを介したテザリングが含まれます。
コンプライアンスと施行
- 監視と検出: ITセキュリティチームは、安全でないネットワークやパブリックネットワークからWebサイト管理ツールにアクセスしようとする試みを検出して警告するための監視ソリューションを実装します。
- 懲戒 処分: このポリシーに違反していることが判明したチームメンバーは、解雇を含む直ちに懲戒処分を受けます。この厳格な執行は、デジタル資産の完全性とセキュリティを保護するために必要です。
ユーザーの責任と報告
- 個人の説明責任: すべてのユーザーは、Web サイトのバックエンドにアクセスする際に Web 接続のセキュリティを確保する責任を個人的に負います。ポリシーの無知や技術的な課題は、コンプライアンス違反の正当な言い訳とは見なされません。
- インシデント報告: ユーザーは、意図的または非意図的に、安全な Web 接続プロトコルが侵害された可能性のあるインシデントを報告することをお勧めします。迅速な報告は、潜在的なセキュリティ リスクを軽減するのに役立ちます。
トレーニングと意識向上
- 継続的な教育: この組織は、インターネット接続の保護、パブリック ネットワークに関連するリスク、VPN の効果的な使用方法について、すべてのチーム メンバーに継続的な教育とリソースを提供します。
- セキュリティ意識向上キャンペーン: この方針の重要性を強調し、安全なウェブ接続を維持するためのベストプラクティスを全チームメンバーに報告するための定期的な啓発キャンペーンを実施します。
