WordPressセキュリティプラン

現状の把握、運営優先事項の確認など、運営とセキュリティの紙一重バランスを考慮したセキュリティをご提案させていただきます。OWASP WordPressセキュリティ実装ガイドラインを元に対応しております。

OWASP WordPress Secruity Implemantation Guideline

翻訳とハンズオンをOWASP Nagoyaにて実施致しました。内容が古くなってきていますが、WordPress(テーマ・プラグイン・本体(コア))の更新の永続、開発や更新が停止したテーマやプラグインは絶対に使わない、バックアップの充実など、普遍的な対策を推奨しております。
バックアップはAMAZON S3でローテーションによる6ヶ月の世代管理、各種ログ設定管理、CloudWatchのカスタムメトリクスによるメモリ利用率とディスク容量の監視などを行います。Woocomerceなどのネットショップ向けプラグインを使っていたり、ビジネスへの影響が大きいWordPressについては、AWS , Azure , GCPなどのクラウドでRDSのマルチAZによるデータベースの冗長化、RDS Cross-Region Read Replicaによるデータベース冗長化、EBSスナップショットによるアプリケーションLinuxホストのディスクバックアップ、などを推奨しております。

OWASP WordPressセキュリティ実装ガイドライン

WordPressのセキュリティインシデント対応

プラグイン作者による更新が止まっている古いプラグインへのSQLインジェクションなど、WordPressのセキュリティインシデント対応を行っております。必ず、アクセスログを取得できるサーバーを使う必要があります。アクセスログが無い場合、攻撃を特定できない為、復旧対策を実施出来ない場合があります。