WordPressでウェブサイトを運営する際に考慮すべきセキュリティ対策
デジタル資産を保護し、ウェブサイトのセキュリティを強化するための継続的な取り組みとして、WordPressウェブサイト管理のための包括的なセキュリティプロトコルを導入しています。これらの対策は、不正アクセスから保護し、お客様のチームがデジタルセキュリティのベストプラクティスを遵守するように設計されています。
二要素認証(2FA)の導入
基本的なセキュリティプロトコルは、二要素認証(2FA)の必須使用です。この追加のセキュリティレイヤーにより、WordPressバックエンドへのアクセスが厳重に管理され、許可された担当者のみがアクセスできるようになります。2つ目の認証フォームを要求することで、不正アクセスのリスクを大幅に下げることができます。
ブラウザのパスワードはもういらない
デジタル環境のセキュリティをさらに高めるには、ブラウザのパスワー ドを保存しないポリシーを徹底することです。便利ではあるが、このやり方はセキュリティリスクをもたらす。安全なパスワード・マネージャーを使ってパスワードを保存し、妥協することなくセキュリティと利便性を高めることを奨励するのが最善だろう。
セキュアなウェブ接続の義務化
公衆インターネット接続に関連する脆弱性を認識し、WordPressサイトを管理する際には、すべてのチームメンバーに安全なウェブ接続を使用するよう求めるべきです。これは、VPNを利用し、公衆Wi-Fiネットワークを絶対に避けることを意味します。この方針から逸脱した場合は、高いセキュリティ基準を維持するために厳しい処分が下されます。
詳細なウェブサイト・ドキュメンテーション
各チームメンバーは、管理するWordPressサイトごとに詳細な文書を管理します。この文書には、インストールされているプラグインの包括的なリスト、現在のユーザー、毎月の手動スキャンのログなどの重要な情報が含まれます。この取り組みは、透明性を維持し、お客様のウェブサイトの効率的な管理を促進することを目的としています。
プラグインのインストールと管理
安全な WordPress 環境を維持するために、新しいプラグインのインストールや既存のプラグインの削除には、書面による明示的な許可が必要になります。このポリシーは、脆弱性をもたらす可能性のある不正な変更を防止します。セキュリティリスクで知られるファイルマネージャ・プラグインは固く禁じられています。
セキュリティへのコミットメント
これらのWordPressウェブサイト管理プロトコルの強化は、セキュリティへの揺るぎないコミットメントを反映したものです。これらの対策を実施することで、デジタル資産と、あなたや顧客、チームメンバーに託された情報の完全性を保護することを目指すことができます。
このような変化に対応するためには、一定期間の調整が必要であることを理解すること。しかし、セキュリティの強化、コンプライアンスの改善、より強固なデジタル・インフラといった長期的なメリットは、当初の不便さをはるかに上回る。
WordPressウェブサイト・セキュリティ・プロトコル・テンプレートの標準作業手順書(SOP)を作成しました。
また、コピー&ペーストをご希望の場合は、以下のリストもご参照ください。
WordPressウェブサイト・セキュリティ・プロトコルの標準作業手順書(SOP)
文書管理
- バージョン:1.0
- 日付:2024年4月8日
- 文書の所有者
- 承認:
目的
このSOPは、不正アクセスや潜在的なセキュリティ脅威から保護するために、WordPressウェブサイトを管理するためのセキュリティプロトコルの概要を示しています。主な焦点は、二要素認証(2FA)を有効にすることと、パスワードがブラウザに保存されないようにすることです。
スコープ
この手順は、WordPressウェブサイトのバックエンドを管理、維持、またはアクセスするすべてのスタッフに適用されます。
責任
- ウェブサイト管理者:セキュリティプロトコルの実施に責任を持つ。
- ITセキュリティチーム:セキュリティ対策の実施を支援・監督する。
- すべてのユーザーセキュリティプロトコルを遵守すること。
手続き
- 二要素認証(2FA)
- 実施する:
- Two Factor Authentication」や「Wordfence Security」などの2FAプラグインをインストールし、有効化する。
- プラグイン設定に移動し、すべてのユーザー・ロールで2FAを有効にする。
- 希望する2FA方法(電子メール、SMS、認証アプリなど)を選択し、それに従って設定する。
- ユーザー登録:
- 公式のコミュニケーションを通じて、2FAの要件について全ユーザーに知らせる。
- 2FAの設定に関するステップバイステップのガイドまたはトレーニングセッションを提供する。
- すべてのユーザーがアカウントで2FAを有効にする期限を設定する。
- コンプライアンス・モニタリング:
- 定期的にユーザーアカウントを見直し、2FAが有効になっていることを確認する。
- コンプライアンス上の問題やユーザーに関する問題は、速やかに対処すること。
- ブラウザにパスワードが保存されない
- ガイドライン
- ブラウザにパスワードを保存することのリスクについてユーザーを教育する。
- パスワードの保管には、安全なパスワード・マネージャの使用を奨励する。
- 可能であれば、ブラウザでのパスワード保存をブロックする技術的ソリューションを導入する。
- コンプライアンス:
- 本方針の遵守を確認するため、定期的な監査を実施する。
- 安全なパスワード管理のためのサポートと代替手段をユーザーに提供する。
その他のベストプラクティス
- 定期的なアップデート:WordPressのコア、テーマ、プラグインが定期的にアップデートされていることを確認する。
- 強力なパスワード:すべてのアカウントに強力なパスワードの使用を強制する。
- ログイン試行を制限するログイン試行を制限するプラグインをインストールし、何度も失敗した場合はIPアドレスをブロックする。
- ユーザーの役割管理:ユーザーが職務を遂行するために最低限必要な権限を割り当てる。
- SSL証明書:SSL証明書を使用して、ウェブサイトとの間で送受信されるデータを暗号化します。
- ウェブサイトのバックアップ:ウェブサイトのバックアップを定期的にスケジュールし、安全に保存します。
- セキュリティ監査:定期的なセキュリティ監査と侵入テストを実施し、脆弱性を特定して対処する。
ウェブサイトの文書化要件
- ポリシー・ステートメント 各チームメンバーは、管理するWordPressサイトごとに詳細な文書を管理する必要があります。この文書は、以下の情報を含む包括的な記録として機能しますが、これらに限定されるものではありません:
- プラグイン:インストールされているすべてのプラグインのリストとその目的、最終更新日。このセクションには、プラグインの操作に関連するカスタマイズや特定の設定も記載します。
- 現在のユーザー:WordPress のバックエンドにアクセスできるすべてのユーザーの現在の名簿。許可されたユーザーだけがアクセスできるように、定期的な監査を実施する必要があります。
- セキュリティ対策:2FA設定、SSL証明書、カスタムファイアウォールルールなど、サイトに実装されている特定のセキュリティ対策。
- 毎月の手動スキャン:Immunifyまたは類似のツールを使用して実施された手動による月次スキャンのログ。
- 変更ログ:サイトの更新、修正、重要なアクションの詳細な変更ログ(日付と責任者を含む)。
プラグインのインストールと管理
- ポリシー・ステートメント いかなる場合においても、チームメンバーは、組織内の指定された権限者からの書面による明示的な許可なく、プラグインのインストール、更新、削除を行うことはできません。このポリシーは、サイトのセキュリティや機能を損なう可能性のある不正な変更を防止するために設けられています。
- 例外処理:プラグインのインストールまたはアップデートの要請は、要請の正当な理由と潜在的なセキュリ ティへの影響の評価を含め、指定された権限者に書面で提出しなければならない。
- 禁止プラグインファイルマネージャ・プラグインや、セキュリティ上の脆弱性があることが知られているプラグインを使用することは固く禁じられています。これには、WordPressダッシュボード内でファイルを直接操作できるプラグインが含まれますが、これに限定されません。
コンプライアンスと執行
- モニタリングと監査定期的な監査により、本 SOP の遵守を確保する。これには、ウェブサイトの文書が完全かどうかの確認、インストールされたプラグインの認可の確認、および必要に応じて実施される手動スキャンの確認が含まれる。
- 不遵守:このSOPからの逸脱は直ちに対処される。違反した場合、ウェブサイトへのアクセス権限の剥奪や解雇を含む懲戒処分が下される可能性があります。
トレーニングと意識向上
- 定期的なトレーニングすべてのチームメンバーは、ウェブサイト管理におけるセキュリティの重要性、プラグインインストール依頼のプロセス、効果的な手動スキャンの実施方法など、このSOPに関する定期的なトレーニングを受ける。
- 啓発キャンペーン:継続的な啓発キャンペーンにより、セキュリティ・プロトコルに従うこと、およびウェブサイト管理活動の詳細な文書を保管することの重要性を強化する。
安全なウェブ接続の要件
ポリシー・ステートメント
最高レベルのセキュリティを確保し、不正アクセスや潜在的なセキュリティ侵害から保護するため、チームメンバーは全員、安全なウェブ接続を介してWordPressバックエンドにアクセスし、ウェブサイトの管理作業を行う必要があります。本質的に安全でなく、傍受されやすい公共のインターネット接続は固く禁じられています。
セキュア接続ガイドライン
- VPNの使用遠隔地からウェブサイトにアクセスする場合、ユーザーはVPN(Virtual Private Network)を利用し、接続の安全性と暗号化を確保する必要があります。IT部門は、承認されたVPNサービスの推奨を提供することができます。
- Wi-Fiセキュリティ:自宅やプライベートネットワークからアクセスする場合は、Wi-FiネットワークがWPA2またはWPA3暗号化で保護され、ネットワークパスワードが強固で一意であることを確認してください。
- 公共ネットワークの禁止:いかなる場合においても、チームメンバーは公共のWi-Fiネットワーク(喫茶店、図書館、ホテルなど)を使用してWordPressダッシュボードにアクセスしたり、アップデートを実行したり、コンテンツを管理したりしてはなりません。これには、公衆 Wi-Fi ネットワークを利用したテザリングも含まれます。
コンプライアンスと執行
- 監視と検出:ITセキュリティチームは、安全でないネットワークや公共のネットワークからウェブサイト管理ツールにアクセスしようとする試みを検出し、警告するための監視ソリューションを導入する。
- 懲戒処分:このポリシーに違反したチームメンバーは、解雇を含む即時懲戒処分を受けることになります。この厳格な執行は、当社のデジタル資産の完全性とセキュリティを保護するために必要です。
ユーザーの責任と報告
- 個人の説明責任すべてのユーザーは、ウェブサイトのバックエンドにアクセスする際のウェブ接続のセキュリティを確保する個人的な責任を負います。本ポリシーを知らなかったり、技術的な課題があったとしても、それを理由に違反したとはみなされません。
- インシデントの報告ユーザーは、故意または過失にかかわらず、安全なウェブ接続プロトコルが侵害された可能性のあるインシデントを報告することが推奨されます。迅速な報告は、潜在的なセキュリティリスクを軽減するのに役立ちます。
トレーニングと意識向上
- 継続的な教育:組織は、インターネット接続の安全性、公衆ネットワークに関連するリスク、VPN の効果的な使用方法について、すべてのチームメンバーに継続的な教育とリソースを提供する。
- セキュリティ啓発キャンペーン:このポリシーの重要性を強化し、安全なウェブ接続を維持するためのベストプラクティスについて全チームメンバーに最新情報を提供するため、定期的な啓発キャンペーンを実施する。
