ワードプレスキューが考える、セキュリティ5原則をWordPressの対応例を含めてお知らせします。
1.予防は最大の防御
攻撃前に脆弱性を排除し、被害を未然に防ぐ
・脆弱性の可能性があるプログラムの排除と対策。
・最新バージョンへの更新
・自動バックアップ設定
2.最小権限の原則
必要最低限のアクセス権、プログラム、通信範囲。
・権限の適正化、パスワードの適正化
・不要プラグイン・テーマの削除
・パスワード管理の仕組作り
3.多層防御
単一の防御策に依存せず、複数レイヤーで守る。
・WAF導入
・プラグイン導入
・ログイン試行制限、reCAPTCHA、SSL化等
4.検知と即応
インシデントの早期発見と初動対応が被害規模を決める。
・セキュリティプラグインで改ざん
・不正アクセスを監視
・誰よりも早くサイトを確認する
・スパム排除とバックアップ復旧
5.継続的改善
セキュリティは一度導入して終わりではなく、環境や脅威を知り、変化に合わせて対応を図る。
・定期的なセキュリティ診断
・脆弱性情報の提供
・改善策をアップデートに反映
