2022年5月1日
最優先事項は安全なホスティングや保守を手助けする制作会社というのが大前提ですが、保守費用やサポートが非常に充実しているホスティングを利用出来ない場合、自社でWordPressセキュリティを強化していかなければなりません。
インターネットの記事ではWordPressはセキュリティが心配。一番狙われているオープンソース。といった記事を多く見られるかと思います。
この議題にはあまり触れませんが、アタックを受けてしまった原因は防げたはず。改ざんを受ける部分も防げたはず。という状況も多いのが現実です。
いずれの形にしても自社で何らかの事情があって専門パートナーに依頼出来ない場合は、WordPressセキュリティプラグインを導入して出来る限りの対策を施してください。
WordPressセキュリティプラグイン SiteGuard WP Plugin
国産、日本語対応。という部分では学習コストもかからず簡単に設定可能
このプラグインは
・管理ページへのアクセス制限
・ログインページ変更
・画像認証
・ログインロック
・ログインアラート
上記基本機能としてついています。
国内、一部ホスティングではインストールと同時にこのプラグインもインストールされている事が多いプラグイン
他プラグインと干渉する事がほぼないのもおすすめポイント。
WordPressセキュリティプラグイン Wordfence Security – Firewall & Malware Scan
有効インストール数が400万以上の人気プラグイン Wordfence Security – Firewall & Malware Scan
このプラグインは
・「Wordfence」が無効化されたら通知する
・ファイアーウォールが無効化されたら通知する
・スキャン結果が次のレベル(Medium)の場合は通知する
・管理者が新しいデバイスでサインインしたら通知する
・管理者以外の誰かがサインインしたら通知する
・サイト上で大規模な攻撃を完治したら通知する
上記は基本機能としてついています。通知を除外する事も可能
その他にも
セキュリティスキャナーとして以下も備わっています
・コアファイル・テーマ・プラグインのマルウェア、不正な URL、バックドア、SEO スパム、悪意のあるリダイレクト、コードインジェクションをチェック。
・[有料] 脅威防御フィードを介したリアルタイムのマルウェアシグネチャの更新 (無料バージョンは30日遅れます)。
・コアファイル、テーマ、プラグインを WordPress.org リポジトリにあるものと比較し、整合性をチェックして変更を報告。
・変更されたファイルを修復し、オリジナルバージョンに上書きします。Wordfenceのインターフェイス上で、不要なファイルを簡単に削除。
・既知のセキュリティの脆弱性についてサイトをチェックし、問題があれば警告します。 また、プラグインが閉じられたり破棄されたりした場合に、潜在的なセキュリティ問題について警告。
・ファイルのコンテンツ、投稿、コメントをスキャンして、危険な URL や疑わしいコンテンツがないかどうか、コンテンツの安全性を確認。
・[有料] サイトまたは IP が悪意のあるアクティビティ、スパムまたはその他のセキュリティ問題の生成のためにブロックリストに登録されているかどうかを確認。
日本以外でのサイトやユーザー数を見る限りはインストール数や有料プランでの機能面からもおすすめです。
上記プラグインをいれれば何でも防げるわけではありませんのでご注意ください。
また、他プラグインと干渉してしまう可能性もありますのでインストールする際は開発環境にてご確認ください。
WordPress構築・運用、WordPressセキュリティやホスティングに関してもお気軽にお問合せください。