WordPress のセキュリティを損なう CISA の悪い慣行のリスト

公開: 2022-08-24

Cyber​​security & Infrastructure Security Agency の略である CISA は、国土安全保障省の下で運営されている米国連邦政府機関です。 2018 年に設立され、NPPD (National Protection and Programs Directorate) に取って代わり、民間および国家が支援するハッカーからの攻撃に対するサイバーセキュリティを改善する任務を負っています。

CISA は、重要なインフラストラクチャとシステムの安全性とセキュリティを確保するために多くの作業を行っています。 この目的のために、政府機関や民間企業が優れたセキュリティ慣行を維持し、オンラインで安全を保つのに役立ついくつかのガイドとリストを公開しています. CISA の基準に準拠したセキュリティのために、CISA のガイドを個人またはビジネスの WordPress Web サイトに簡単に適用できます。

CISA が公開しているそのようなリソースの 1 つは、悪い慣行のカタログです。 このカタログは進行中の作業であり、常に動的で進化する脅威の性質によるものですが、CISA が本当に悪い慣行と見なしているものについて非常に貴重な洞察を与えてくれます。

CISA と WordPress のセキュリティ

CISA の悪い慣行は WordPress 環境でよく見られるため、このリストは WordPress 管理者や Web サイトの所有者にとってより適切なものになっています。 幸いなことに、これらの悪い慣行を排除するのは簡単で、すぐに実行できます。

セキュリティを次のレベルに引き上げたい場合は、WordPress セキュリティ ガイドを参照して、Web サイトの安全を確保するためにできることすべての完全かつ詳細なリストを確認してください。
政府機関は、管理者やその他の IT 専門家が、カタログに含めるための悪い慣行について意見を述べることができる GitHub ページも開設しました。

リスク 1: サポートされていないソフトウェアの使用

ソフトウェアには必ずバグがつきものです。これが、開発者がアップデートをリリースする理由の 1 つです。 アップデートは、バグやセキュリティ ホールに対処するだけでなく、新しい機能や改善点を追加します。 これらの更新プログラムをできるだけ早くインストールすることは、インフラストラクチャを安全に保つために非常に重要です。

サポートされていないソフトウェア (古いバージョン、サポートが終了したソフトウェア、無効化されたプラグインなど) は更新を受け取らず、環境に既知の脆弱性をもたらす可能性があるため、特に危険です。
攻撃者はこれらの脆弱性を悪用して、システムへの不正アクセスを取得する可能性があります。 これにより、データを盗んだり、Web サイトをダウンさせたり、他の多くの悪意のある活動を行うことができます.

解決

アップデートをできるだけ早くインストールすることで、セキュリティ ホールやバグに関連するリスクを大幅に最小限に抑えることができます。 同様に、選択したサプライヤーと開発者が応答性が高く、更新を頻繁に (年に 1 回ではなく) 発行することを確認する必要があります。

プラグインを選択するときは、バージョン履歴を見て、アップデートがリリースされる頻度を確認してください。 毎日の更新は良い兆候ではありません。 ただし、そのため、毎年の更新でも何か問題があることが示される場合があります。 また、ユーザーのコメントをチェックして、開発者がユーザーの質問にどの程度対応しているかを確認することもできます。

リスク 2: 不適切なパスワード

悪いパスワードには、デフォルトのパスワード、再利用されたパスワード、以前に漏洩したパスワード、脆弱なパスワードが含まれます。 不正なパスワードは非常に簡単にクラックでき、攻撃者にシステムへの簡単なルートを提供します。 パスワードの共有は、WordPress 環境やその他の環境でよく発生するもう 1 つの悪い習慣です。 パスワードを共有すると、パスワードが漏洩するリスクが大幅に高まり、問題を追跡してチームに説明責任を負わせることが難しくなります。 Wpassword アートワーク

解決

強力な WordPress パスワード ポリシーは、悪意のあるパスワードを追い出すのに大いに役立ちます。 WPassword は WordPress プラグインで、ユーザーがパスワード ポリシーを設定する方法を管理者がきめ細かく制御できるようにし、安全で効果的なパスワードが使用されるようにします。

リスク 3: 単一要素認証

単一要素認証は、CISA の悪い慣行のカタログに入る 3 番目で最後のリスクです。 単一要素認証のセットアップでは、ユーザーはユーザー名とパスワードだけでログインできます。 二要素認証 (2FA) または MFA 環境では、ユーザーは 2 番目 (またはそれ以上) の方法で認証する必要があります。

単一要素認証は、パスワードが漏洩した場合に特に問題になる可能性があります。優れたパスワード ポリシーはリスクを最小限に抑えるのに大いに役立ちますが、二次認証要素は WordPress Web サイトの全体的なセキュリティを大幅に向上させます。

2FA は急速に認証のゴールデン スタンダードになりつつあります。 その前提は非常に単純ですが、最も一般的な攻撃のほとんどを阻止できます。 これにより、業界の巨人、愛好家、およびその間のすべての人の間で人気があります.

解決

WordPress は、すぐに使用できる 2FA を提供していません。 ただし、WP 2FA のおかげで、WordPress Web サイトに 2FA を実装するのは簡単です。 この WordPress 2FA プラグインには、スティックを振ることができるよりも多くのオプションが付属しており、すべてのユーザーがより安全な WordPress のために 2FA を利用できるようにします.

悪い慣行を根絶するための WordPress セキュリティ アクション プラン

セキュリティのヒント 悪い習慣は悪い習慣のようなものです。 隙間から抜け落ちないように、時間の経過とともにチェックしておく必要があります。 これが、WordPress のセキュリティが反復プロセスである理由です。 常にベストプラクティスに従っていることを確認するために、時々注意を払う必要があります。

CISA のリストに載っていない悪い慣行は間違いなく他にもありますが、それらが提供するものは良い出発点です。 要点をまとめると、

  1. アップデートが利用可能になったらすぐにインストールしてください。 更新によってサイトが壊れることが心配な場合は、ライブ環境にロールアウトする前に、ステージング環境をインストールして更新をテストしてください。
  2. WPassword を使用して強力な WordPress パスワード ポリシーを実装し、環境から脆弱なパスワードを排除します。 複雑すぎるパスワードを忘れた場合のサポート コールを軽減するために、パスワード マネージャーを使用するようユーザーに勧めます。
  3. ポリシーを有効にして使用し、すべてのユーザーに WordPress の 2 要素認証を要求します。 WP 2FA を使用して、Authy 統合、猶予期間、ホワイト ラベルなど、多くの機能を活用します。

CISA のリストは良い出発点ですが、WordPress Web サイトを保護するには、より包括的なアプローチが必要です。 強力なパスワードの確保からWordPressの強化まで、優れたWordPressセキュリティのためのWP White Securityのガイドに従うことで、自分でできることがたくさんあります.

PS WordPress Web サイトの保護の経験があまりない場合は、WordPress テスト環境をセットアップすることをお勧めします。