ご相談の経緯
建設業のお客様より、WordPress管理画面にプラグインの脆弱性に関する警告が複数表示されており、対応すべきかどうかの判断がつかないというご相談をいただきました。中規模のコーポレートサイトで、社外からの攻撃を受けるリスクと、対応に伴う表示崩れのリスクのいずれも避けたいというご意向のもと、まずは現状の診断をご希望とのことでした。
調査と原因
現状のWordPress本体・テーマ・プラグインのバージョンを棚卸ししたうえで、公的に公開されている脆弱性データベース(JVN、WPScan等)と突き合わせを行い、影響を受けうる項目を一覧化いたしました。あわせて、管理ユーザーの権限設定、ログイン保護の状態、サーバー側のWAF(不正アクセスを遮断する仕組み)の有無、バックアップの取得状況についても確認しております。
調査の結果、いくつかの古いプラグインが攻撃の標的となりやすい状態にあったこと、管理画面のログイン試行制限がかかっていなかったこと、定期的なバックアップが手動運用に依存していたことが、優先的に対応すべき項目として挙げられました。
対応内容
診断レポートを作成のうえ、対応の優先度をご提示し、合意いただいた範囲から順次対応を進めました。プラグインのバージョンアップは、検証環境で互換性を確認したのちに本番反映する形で実施しております。古いままサポートが終了しているプラグインについては、機能上の代替案を比較ご提示のうえ、移行を行いました。ログイン保護については、試行回数の制限、ログインURLの変更、二段階認証の導入を組み合わせ、攻撃の自動化への耐性を高めております。あわせて、サーバー側で日次の自動バックアップを設定し、復旧に必要な世代を確保できる構成へ整えました。
結果
管理画面の脆弱性警告は解消され、その後の継続的な監視を通じて、新たな脆弱性が公開された際にもすみやかに対応できる体制が整いました。セキュリティ対策は一度行えば完了するものではないため、本案件以降は月次のチェックと半年に一度の総点検をセットでご提供しております。
費用の目安
スタンダード実装プラン:80,000〜140,000円(税込)
月額保守(任意):8,800円〜/月
サイトの規模・状態により変動します。
初回調査:20,000円(診断のみのご利用も可)
同様のお悩みをお持ちでしたら、まずは無料相談から。
無料相談する