WordPressサイトのセキュリティ、最後に見直したのはいつですか？

WordPressは世界中のWebサイトで使われているCMSです。
その普及率の高さゆえに、攻撃者にとって「効率よく狙える標的」でもあります。

「うちのコーポレートサイトは大丈夫だろう」と感じていませんか？
今回ご紹介する事例では、製造業を営む中小企業（上場企業の子会社）様のWordPressサイトに、複数のリスクが潜んでいることが確認されました。

親会社のブランドを守る責任を持つ製造業の中小企業様

・製造業を営む中小企業（上場企業の子会社）
・コーポレートサイトのCMSとしてWordPressを採用
・Webアプリケーション診断・ネットワーク診断のご依頼に際し、WordPress管理画面に特化したセキュリティレビューも合わせて実施

上場企業の子会社であれば、自社だけでなく親会社のブランドや信頼性にも影響が及びます。
専任のセキュリティ担当者を置きにくい中小企業だからこそ、「問題が起きてから対処する」ではなく「問題を事前に洗い出す」第三者の目が重要です。

今回のレビューで確認された主なリスク

今回のレビューで実際に確認されたリスクを以下にまとめました。
お持ちのサイトで心当たりはありませんか？

これらは、初期構築時のデフォルト設定のまま、運用の中でセキュリティ面の見直しや更新が行われてこなかったことで生じたものと思われます。

また、プラグインの脆弱性のように、外部からの診断だけでは特定しきれないリスクもあります。
インストール済みのプラグインやそのバージョン、設定の状態は、管理画面まで踏み込んで確認しないと正確には判断できません。

だからこそ、外部からの診断に加えて管理画面レビューを行う意味があります。

詳しい診断項目はこちら
>>>WordPress管理画面レビュー

ご相談から改善完了までの流れ

今回のケースではヒアリングから報告書の提出まで約1か月でした。
診断準備に余裕を持って動けるよう、早めのご相談をお勧めしています。

1. ヒアリング・提案

Webアプリケーション診断・ネットワーク診断のご相談をいただいた際、WordPress管理画面のレビューも合わせてご提案しました。調査対象・スケジュール・実施体制を整理し、ご発注いただきました。

2. レビュー実施（リモート・サービスを止めずに実施）

複数営業日にわたり、管理画面の設定・プラグインの状態など、WordPress特有のリスク項目を網羅的に確認しました。

3. 報告書の提出

指摘事項の内容・危険度・改善策を整理した報告書と、セキュリティ診断実施証明書を送付しました。

4. アフターフォロー

報告後は推奨プラグインの具体名やセキュリティヘッダーの設定値といった実務的な質問をいただきました。
こうしたアフターフォローにも対応し、お客様は順次改善を実施。

その後の再診断で、WordPressレビューに関連する指摘事項の大半が解消されたことを確認しました。
再診断報告書・実施証明書を送付し、対応完了となりました。

WordPressのセキュリティ診断を検討している方へ

WordPressのセキュリティリスクの多くは、運用の中で気づかないうちに積み重なっていきます。
今回の事例でも「特に問題はないだろう」と思われていたサイトに複数のリスクが確認されました。

弊社のWordPress管理画面レビューは、単独でも、Webアプリケーション診断・ネットワーク診断と組み合わせた形でもご提供可能です。

まず現状を把握することが、最初の一歩です。
ご自身のWordPressサイトのセキュリティが気になった方は、お気軽にお問い合わせください。

>>>【お問い合わせはこちら】