WordPressのセキュリティプロセス。 テスト、強化、監視、改善

WordPressのセキュリティは、ITセキュリティの他の多くの分野と同じです。 これは1回限りの修正ではありません。 それは実際には決して終わらないものです。 WordPressのセキュリティを向上させるために実行できるいくつかの手順がありますが、サイトとビジネスの要件は変わります。 したがって、ポイントインタイムのセキュリティ評価を採用しても、誤った安心感が得られるだけです。 代わりに、勝利戦略は継続的なプロセスに従うことです。 Webサイトのセキュリティ体制を改善するために、防御を絶えずテストし、それを繰り返すプロセス。

この記事の目的は、WordPressのセキュリティへの取り組みが継続的であり、あなたとあなたのビジネスが活動している脅威の状況に関連し続けることを保証するために実装できる、簡単で長期的な反復プロセスを提供することです。

1.WordPressのセキュリティをテストする

ほとんどのWordPressセキュリティの旅はここから始まります。 WordPressのインストールについて何かが正しく構成されていないことに気付いた、またはWPScanやnmapなどのツールを使用してWordPressWebサイトのセキュリティを評価する方法について読んだことがあります。 たぶん、あなたはセキュリティ事件の犠牲者であり、WordPressのセキュリティをテストする方法について読みたいと思っています。

セキュリティテストは、継続的なWordPressセキュリティ戦略の重要なステップです。 攻撃者と同じレンズを通してWebサイトを見ると、そのセキュリティ体制をよりよく理解できます。 これは、特定した弱点に対する防御を強化するために何ができるかを知ることができることを意味します。 詳細については、手順2を参照してください。

WordPressのセキュリティのテストをどこから始めればよいかわからない場合は、サードパーティの専門家を雇ってください。 もちろん、WordPress Webサイトを自分でペネトレーションするために、徐々に知識を蓄積することを妨げるものは何もありません。

2.WordPressの強化

セキュリティテストで何が明らかになったのかを理解したら、WordPressのインストールを強化します。 デフォルトでは、WordPressはかなり安全です。 ただし、WordPressのセットアップとサーバーのインフラストラクチャに加えて、攻撃者の生活を困難にするための選択肢、最適化、変更はたくさんあります。 これらの最適化の多く—その多くはユースケースに依存する可能性があります。 このプロセスは通常、「セキュリティ強化」または単に「強化」と呼ばれます。

WordPressのインストールを強化することは、確かに1回限りのことではありません。 変化するビジネスニーズに対応するには、新しいプラグインをインストールし、WordPressサイトの機能を拡張する必要があります。 確かに、WordPressのセキュリティを強化するためのリソースが不足することはありません。 以下は、WordPressのセットアップを強化するときに守るべき2つの基本原則です。

より少ないソフトウェアを実行する

最初は、「実行するソフトウェアの数を減らす」ことはあまり役に立ちません。 ただし、おそらく必要以上のソフトウェアを実行しています。 これは、攻撃者がその余分なソフトウェア内の潜在的な弱点を悪用する余地が増えることも意味します。

どこから始めればよいかわからない場合は、WordPressプラグインを確認することから始めてください。 なしで何ができるかを自問し、削除してください。 同じ原則をPHP拡張機能、Webサーバー構成、およびオペレーティングシステムツールとネットワークサービスに適用します。

ソフトウェアを取り除くことは、一般的に最初から簡単なプロセスではありません。 ただし、この演習を行うたびに、それは難しくなります。 よりスリムなシステムを実行した結果は、努力する価値がありますが。

テスト環境やステージング環境での変更を常にテストするだけでなく、WordPressファイアウォール、WordPressアクティビティログ、WordPressファイル整合性モニタープラグインなどのソフトウェアを削除しないようにする必要があります。 WordPressのセキュリティを向上させます。

これは、非アクティブ化されたプラグインとテーマにも適用されます。 非アクティブ化されたプラグインは、脆弱な場合でもコードが悪用される可能性があるため、すぐに削除する必要があります。 テーマに関しては、あなたのウェブサイトは1つのテーマのみを使用しています。 子テーマを設定している場合は、おそらく2つです。 WordPressに付属しているデフォルトのテーマを含め、Webサイト上のすべての追加テーマを削除します。

最小特権の原則

WordPressを実行するためにルートMySQLユーザーは必要ありません。 同様に、ほとんどのソフトウェアをLinuxサーバー（Microsoft WindowsのAdministratorと同等）でrootとして実行することはお勧めできません。 正当な理由がある場合にのみ、admin / rootアカウントを使用してください。

そのような範囲で、原則として、アプリケーションまたはユーザーに仕事を遂行するために可能な限り最小限の特権を与えるように常に最善を尽くしてください。 もちろん、すべてをrootまたは管理者として実行するということは、特権を気にせずにすべてが機能することを意味します。 ただし、それは潜在的に非常に危険です。 管理者権限でアプリケーション（cronジョブなどのタスクを含む）を実行すると、攻撃者または悪意のあるプラグインがセキュリティ違反の場合により多くの損害を引き起こす可能性があります。

どこから始めればよいかわからない場合は、まずWordPress内の管理者を確認し、それを何らかの方法で制限する必要があるかどうかを判断します。その間、自分が管理者であることを確認することをお勧めします。 HTTPS（SSL）経由でWordPress管理者にアクセスし、2要素認証（2FA）を実装していること（または少なくともWordPress管理者にHTTP認証を実装していること）。

もちろん、WordPress Webサイトのセキュリティ体制を改善するために導入できる、WordPressのセキュリティ強化のヒントは他にもいくつかあります。 詳細については、WordPressのセキュリティチュートリアルとヒントを参照してください。

3.WordPressを監視する

ログは、システムを安全に保つために絶対に不可欠です。 それらは私たちがタイムマシンに最も近いものです。 何がいつ起こったかに答えることができることは、セキュリティインシデントを調査する際に不可欠なツールです。 適切なログにアクセスできることで、攻撃者がWebサイトに足を踏み入れたことに気付くのと、手遅れになるまで強盗に気付かれないようにするのとの違いがわかります。

ロギングを補完するのは監視です。 最も基本的なフォームの監視では、何らかのイベントが発生するのを待ち（通常は定期的にログを確認することにより）、それを記録し、通常、システム管理者に何かが発生したことを警告する何らかの警告システム（WordPress侵入検知システムなど）で構成されます）。 多くのシステム管理者は通常、CPUとメモリの使用状況を監視しますが、WordPressへのアクセスの監視を見逃している可能性があります。

WordPressアクティビティログ

WordPressのアクティビティログを振り返って、特定の時間枠内にユーザーが何をしたかを正確に把握できることは、調査における重要な分析ツールです。 さらに、この情報をWebサーバー、PHPエラー、およびデータベースログと関連付けることができるようにする必要があります。 少なくとも基本的なログ処理を正しくカバーしていることを確認するためのヒントをいくつか紹介します。

• ディスク容量が不足しないように、ログを適切にローテーションしていることを確認してください
• ログを定期的にオフサイトバックアップ（AmazonS3やDigitalOcean Spacesなど）にバックアップします
• ログを保持する期間を決定し、アクティビティログ保持ポリシーを構成します。 少なくとも1年間の保持をお勧めします
• インシデント中にログ内の重要な情報にすばやくアクセスできる方法があることを確認してください

その他のログ

WordPressのアクティビティログとは別に、サイト管理者は、Webサーバーログ、PHPログ、その他多くのログにアクセスできます。 アクセスできるさまざまなログファイルの詳細については、WordPress管理者のログファイルのリストを参照してください。 投稿では、すべてのログの情報を使用してインシデントまたは攻撃を追跡する方法についても説明しています。

4.WordPressのセキュリティを向上させる

上記のサイクルが完了したら、次のステップは、次に何ができるかを分析することです。 記事の冒頭で説明したように、セキュリティは継続的なプロセスであることに注意してください。WordPressのセキュリティニュースを常に最新の状態に保つようにしてください。重要なのは、WordPressのセキュリティアップデートを常に把握していることです。

このプロセスを数回実行したら、独自のプロセスの詳細を文書化してみてください。 頻繁に従うことを日常的にしてください。 さらに、WordPress Webサイトに変更を加えるときは常に、セキュリティに留意してください。 ウェブサイトに変更を加えるときはいつでも、ウェブサイトのセキュリティをテスト、強化、監視、改善するというWordPressのセキュリティプロセスを繰り返し実行してください。