インサイダー脅威とデータ損失防止。 WordPressのビッグメディアウェブサイトのガイド

WordPressは、最も人気のあるコンテンツ管理システムの1つであり、それには十分な理由があります。 使いやすく、何千もの利用可能なテーマやプラグインで使用でき、それを使用してあらゆるタイプのWebサイトを作成できます。 WordPressがWeb上のすべてのWebサイトの40.5％をサポートしているのも不思議ではありません。

しかし、この人気には代償が伴います。 WordPressは、ハッカーやインサイダーから攻撃されることがよくあります。 したがって、最近退職を申請した従業員が、会社のネットワークからUSBドライブに大量のデータをコピーし始めた場合、実際には、計画された悪意はない可能性があります。 たぶん、その人は次の仕事に必要ないくつかの有用な情報ファイルを保存する必要があります。 残念ながら、退職した従業員が機密の製品情報、重要な法的データ、個人の従業員データ、または企業秘密の競合他社を共有する状況も非常に人気があります。

一部の企業は、日常的な従業員の行動と、競争上の優位性や企業の評判を脅かす異常とを区別することは言うまでもなく、そのようなインサイダーリスクを検出するのにさえ苦労する可能性があります。

今日は、WPメディアサイトからのデータ漏洩の可能性を大幅に減らし、内部の脅威を防ぐ方法を見ていきます。 AIチャットボットなどの一部のプラグインは、データをWPサイトの外部に保存し、危険にさらされていないことに注意してください。

数時間ではなく数秒で公開する方法をご覧ください

今すぐサインアップして、Wordableへの排他的アクセスを取得し、コンテンツを数時間ではなく数秒でアップロード、フォーマット、および最適化する方法を見つけてください。

公開を開始

インサイダー脅威について

2019年に元従業員が古いSSHパスワードを使用して本物のWPMLアドレスにアクセスし、プラグインのすべてのユーザーに「セキュリティホール」に関する懸念のあるメールを送信したときに、WPMLWordPressプラグインでその話を聞いたことがあるでしょう。 ただし、実際には「穴」や脆弱性はまったくありませんでした。 これは、不幸な従業員からの典型的な内部脅威に他なりませんでした。

インサイダーの脅威は、想像以上に頻繁に発生します。 最近の世論調査によると、回答者の55％が、組織が2020年にインサイダー攻撃を受けたと述べています。インサイダーは、すべてのサイバー犯罪の3分の1弱に関与しています。 PwCの調査によると、サービスプロバイダー、正社員、請負業者はすべて、膨大な数のセキュリティ侵害の原因となっています。 経営幹部の3分の1は、信頼できる（訓練を受けた）インサイダーによるWeb攻撃が、会社に（経済的および評判の両方で）莫大な損失をもたらしたと報告しました。

インサイダーの脅威から保護するのは困難です。 従業員が仕事をするためには、ある程度の信頼が必要です。 彼らがその信頼を悪用することを決定した場合、実際に損害が発生するまで、所有者ができることはほとんどありません。 しかし、セキュリティに敏感なビジネスオーナーがWordPressメディアサイトへの内部脅威のリスクを減らすために取ることができるいくつかの方法があります。

サイト保護とは

サイト保護は複雑なプロセスであるため、できるだけ多くの保護方法を適用する必要があります。 私たちは、あなたがこの点で少し妄想的である必要さえあると言うでしょう。 つまり、1つまたは2つの方法を適用すると、もちろん状況は改善されますが、ほんのわずかです。 それ以上に–絶対にすべての方法を適用したとしても、ハッキング攻撃の可能性を大幅に減らすことはできますが、サイトをハッキングから完全に保護することはできません。 どちらが必要ですか。

これは、保護の本質全体を反映したハックの例です。 ハッキングとは、何かがハッキングされたり壊れたりしたときです。つまり、何かが壊れたときです。 そうでなければ、つまり、壊すものが何もないとき、それはもはやハックではありません。

たとえば、アパートのドアを開けたままにしたり、鍵を入れたまま強盗をしたりした場合、アパートは実際にはひびが入っていません。アパートに入るだけで、必要なものを持って出て行きます。 同じことがWebサイトにも当てはまります。サイトを保護するための対策を講じていない場合、サイトに問題が発生しても、ハッキングにはなりません。 したがって、侵入者や内部関係者がデータを侵入したり盗んだりしにくくするために、少なくとも「ドアをロック」する必要があります。

従業員教育とソーシャルエンジニアリング

従業員はプライバシーに関して認められる必要があります。つまり、データ漏洩を防ぐための基本的なセキュリティルールを知っている必要があります。 したがって、たとえ都合がよいと思われる場合でも、少なくともパスワードや認証資格情報を共有することを禁止する必要があります。

マルウェア対策、ウイルス対策ソフトウェア、および電子メール検索ツールは、このような悪意のある電子メールを特定するのに役立ちますが、ソーシャルエンジニアリングは、従業員の教育を通じて最も適切に対処されます。

ソーシャルエンジニアリングは、情報セキュリティの文脈では、特定の行動をとったり、機密情報を開示したりするための人々の心理的操作です。

従業員は、外部の侵入者からどのようにアプローチされるか、およびさまざまな疑わしい要求にどのように対応するかについて教育を受ける必要があります。 それを防ぐには、ソーシャルエンジニアリングを理解する必要があります。 従業員もテストして、スタッフの潜在的な弱点を特定する必要があります。

また、会社のチームは、疑わしいWPテーマの使用を避け、使用するプラグインの数を最小限に抑えるように常に努める必要があります。

WPプラグインを最小化する

現時点では、ほとんどすべての問題を解決するさまざまなWPプラグインが多数あります。

ただし、メディアサイトにインストールされるプラグインが多いほど、その脆弱性は大きくなります。 どうして？ 次の理由を確認してください。

• WPプラグインは、資格のない開発者が作成でき、サイトのセキュリティに影響を与える重大なバグが含まれています。
• WPプラグインは、プログラマーによって「放棄」される可能性があります。つまり、長期間廃止されたままになり、安全性が低下します。 プラグインとエンジンは、脆弱性のリスクを減らすために定期的に更新する必要があります。
• WPプラグインは互いに競合し、エラーを引き起こす可能性があります。

たとえば、サイトにフィードバックフォームが必要だとします。2〜3個のプラグインやContactForm 7を配置する代わりに、「手動で」フォームを作成できます。

もちろん、プラグインなしでは実行できないプラグインもあります。プラグインを完全に放棄するのではなく、実績のあるソリューションのみを選択し、可能であればプラグインなしで実行することをお勧めします。

外部データ共有を防ぐ

残念ながら、従業員の教育は不十分な場合があります。 従業員の機密データを公に、または社外の第三者と共有することは、悲惨な結果を招く可能性があります。 これは通常、不注意で発生します。たとえば、通常の「返信」の代わりに「すべて返信」ボタンを使用できます。 その後、情報が間違った電子メールアドレスに送信されたり、不注意で何かが公開されたりします。

このような事件は、私たち全員が受けているヒューマンエラーであるため、教育によって防ぐことはできません。 情報漏えい対策（DLP）ツールなどのカスタムソフトウェアは、組織が機密データを追跡し、電子メールまたはその他のインターネットサービスを介した送信が制限または完全にブロックされていることを確認するのに役立ちます。

シャドーITの脅威を防ぐ

許可されていないサードパーティのソフトウェア、アプリ、またはWebサービスは、ITが追跡するのが難しいことが多いため、「シャドウIT」という用語です。 シャドーITが普及している理由は非常に単純です。従業員は、効率を高めて作業負荷を軽減したり、会社が承認した代替アプリよりも使いやすいため、習慣的に人気のあるアプリ（メール追跡など）を使用します。

企業はほとんどの場合気づいておらず、本質的にサイバーセキュリティ戦略の盲点を生み出しているため、これは非常に問題になる可能性があります。 もう1つの脅威は、これらのサードパーティサービスのセキュリティレベルが低いことです。これは、データ漏洩につながる可能性があります。

シャドーITは通常、会社が従業員に仕事をするために必要なツールを提供できないことに起因します。 組織は、テクノロジーのニーズを理解し、それらを満たすためにできることを実行するために、従業員とオープンな対話を行う必要があります。 高品質のDLPツールは、企業が従業員がこれらの不正なサービスに機密情報をアップロードするのを防ぎ、これらの試みを監視することで、組織内のシャドーITをよりよく理解するのにも役立ちます。

会社のデータを保護するために使用できる信頼性の高いDLPツールとサービスのリストは次のとおりです。

SecureTrust

マカフィー

エンドポイントプロテクター

Symantec

ソーラーウィンズ

チェックポイント

トレンドマイクロ

アバナン

ゼットスケーラー

従業員に個別のアカウントを使用する

共有アカウントはありません。 チームのすべてのスタッフは、すべてに独自のユーザーアカウントが必要です。 もちろん、彼らがそれらを必要とする場合。 重要なのは、チームに所属しなくなると、古いパスワードを使用できなくなるということです。

つまり、元従業員が古いアカウントにアクセスして会社のデータを盗むことができないようにする必要があります。

複雑なパスワードを使用する

私たちはすでにアナロジーを与えました（あなたのドアには鍵がかかっているに違いありません）。 パスワードが単純な場合、この場合はロックがありません。より正確には、侵入者がキーを持っています。 したがって、強力なパスワードを使用することを強くお勧めします。理想的には、それらを頭の中にのみ保存してください。 特にWPサイトが以前にハッキングされたことがある場合は、どこでも定期的にパスワードを変更することを忘れないでください。

これは、管理パネル、ホスティングコントロール、個人アカウント、データベースなどにアクセスするための複雑なパスワードを指します。言い換えると、パスワードは必然的に複雑でなければなりません。

複雑なパスワードは、数字、大文字、通常の文字、そして、もちろん、特別な記号でなければならない、少なくとも8つの文字を持っています。

WordPressブログ、または複数の作成者がいるブログを運営している場合は、管理パネルにアクセスする複数の個人に対処する必要があります。 これにより、サイトがセキュリティの脅威に対してより脆弱になる可能性があります。

ユーザーが作成するすべてのパスワードが安全であることを確認したい場合は、Password Protect WordPress（PPWP）などのプラグインを使用できます。 これは単なる予防策ですが、弱いパスワードを持つ複数のユーザーがいるよりはましです。

3〜4桁の単純なパスワードは数分で手動で選択することもできるため、サイトとパスワードが必要なその他の場所の両方で、常に複雑なパスワードを使用することを忘れないでください。

暗号化およびリモートワイプツールを使用する

多くのデータ保護ポリシーは、別の一般的に使用される方法であるポータブルデバイスを考慮せずに、インターネットを介して企業ネットワークの外部にデータを転送することに重点を置いています。 特にUSBドライブは、データ保護戦略に対して長い間有毒でした。 それらは紛失したり盗んだりするのは簡単ですが、とても使いやすいです。 ただし、USBドライブが多くの企業で深刻なデータ侵害につながったことを知っておく必要があります。

このような侵害を防ぐ最も簡単な方法は、USBポートと周辺機器ポートを同時にロックすることです。 しかし、職場でのUSBの有用性は否定できません。 それでもUSBドライブを使用したい企業のために、セキュリティを確保するために講じることができる対策があります。 暗号化はその中で最も優れたものの1つです。 USBドライブに転送されるすべてのファイルは暗号化されます。つまり、「信頼できる」と識別されたデバイスのみが会社のコンピューターに接続できるようにする信頼できるデバイスポリシーと組み合わされます。

今日のますますモバイル化する作業環境では、従業員はラップトップやポータブルデバイスをオフィスから持ち出すことがよくあります。 リモートで作業する場合でも、クライアントを訪問する場合でも、業界のイベントに参加する場合でも、作業用デバイスは企業ネットワークのセキュリティを逃れ、物理的な盗難と不正な干渉の両方に対して脆弱になります。

暗号化は、データの盗難から保護するための優れたソリューションです。 ラップトップ、スマートフォン、USBドライブのいずれであっても、暗号化により、それらを盗んだ人が誰でもデータにアクセスできる可能性がなくなります。 リモートワイプオプションを有効にすると、組織は盗まれたデバイス上のすべてのデータを離れた場所から消去することもできます。

WPの役割と許可を割り当てる

各従業員が独自の適切な役割と権限を持っていることを確認してください。 したがって、管理者はサイトとデータベースのすべての機能を完全に制御でき、編集者は自分の投稿だけでなく他のライターの投稿も投稿および管理でき、作成者には次の機能しかありません。自分の出版物を管理する。

したがって、WPの役割を賢く割り当て、覚えておいてください。従業員が退職したら、アクセスをブロックするためにすべてのアカウントを削除することを忘れないでください。

ファイル編集を制限する

ユーザーがWordPressコントロールパネルへの管理者アクセス権を持っている場合、ユーザーはWordPressインストールの一部であるすべてのファイルを編集できます。 これには、すべてのプラグインとテーマも含まれます。

ファイル編集を無効にすると、ハッカーが管理者からWordPressコントロールパネルへのアクセス権を取得したとしても、誰もファイルを変更できなくなります。 これを行うには、wp-config.phpファイルに以下を追加します（最後に）。

define（ 'DISALLOW_FILE_EDIT'、true）;

WordPressを最新の状態に保つ

この時点で、サイトのスクリプトに関連するすべてのものが含まれています。これらは、WordPress自体のスクリプト、テンプレート、およびプラグイン（ここでも）です。これらはすべて、最初は悪意のあるスクリプトや「穴」を含まないようにする必要があります。すべてのドアを閉じる必要があります。 スクリプトに脆弱性がある場合、ハッカーはそれを使用してメディアサイトに侵入する可能性があります。つまり、「ドアから侵入する」ということです。

「ドア」を閉じるために、または少なくとも時間内にそれを行うために、更新が利用可能になったら、WordPressサイトを絶えず更新する必要があります。 これは、テンプレートとプラグインにも当てはまります。

繰り返しになりますが、悪意のあるスクリプトは最初は存在しないはずです。WordPressは公式サイトからのみダウンロードし、無料のテンプレートは使用しないでください。脆弱性やシャドウリンクなどが含まれている可能性があります。

不要なプラグインを削除します。 プラグインを使用していない場合は、最初にプラグインを非アクティブ化してから削除します（非アクティブ化されたばかりのプラグインファイルはサーバーに残ります）。

つまり、スクリプトには完全な順序が必要です。つまり、現在のバージョンで本当に必要なものだけが必要です。 乱雑なスクリプトを使用すると、ハッカーやインサイダーがサイトにアクセスしやすくなります。

また、高品質のWPテーマを使用していること、つまり、作成者によって更新されていることを確認してください。

サイトのブロックとユーザーの禁止

ログイン試行の失敗に対するサイトブロック機能は、継続的なパスワード試行の大きな問題を解決できます。 間違ったパスワードを繰り返してハッキングを試みると、サイトがブロックされ、この不正行為が通知されます。

iThemes Securityプラグインは、このための最高のプラグインの1つです。 私たちはかなり長い間それを自分たちで使用してきました。 プラグインには、この点で提供できるものがたくさんあります。 30を超える他の優れたセキュリティ対策に加えて、プラグインが攻撃者のIPアドレスをブロックする前に、失敗したログイン試行の特定の回数を指定できます。

Sucuriセキュリティ

Sucuriは、サイバーセキュリティ業界で有名なリーダーの1人です。 現在、40万人を超えるアクティブユーザーがおり、無料で定期的に更新されています。

Sucuri Securityは、万能のセキュリティプラグインではありません。 悪意のあるアクティビティのスキャンや監視などの基本に焦点を当てていますが、その役割は非常にうまく機能しています。 プラグインには、コアファイルのいずれかが影響を受けているかどうか、または脆弱性があるかどうかを確認するためのファイル整合性監視が付属しています。 これは、小規模なWPサイトやブログに最適なソリューションの1つです。

Sucuriには、マルウェアスキャンとブラックリスト監視も含まれています。 ただし、プラグインの最も優れた機能は、ハッキング後のセキュリティアクションです。これは、基本的に、サイトがハッキングされたりマルウェアの影響を受けたりした場合の対処方法に関するヒントを提供します。

Sucuri Pros

• 信頼できる会社によって設計され、定期的に更新されます。
• 異常なサイトアクティビティを検出する効果的なマルウェアスキャンツール。
• セキュリティアラートと監査により、サイトでの異常な動作が通知されます。
• ファイルの整合性を監視する機能。

スクリ短所

• サイトファイアウォールはプレミアムプランにのみ含まれています。
• インターフェイスは少し時代遅れのようです。
• 初心者には適していません。

エクランシステム

Ekran Systemは、インテリジェントなインシデントアラートシステムとIT管理者向けの高度な監視ツールで知られる内部脅威管理プラットフォームを構築しています。

Ekranの主な利点は、その汎用性です。 ベンダーのソリューションは、アクティビティの監視、アクセス制御、およびユーザーの識別という3つの主要なセキュリティツールを組み合わせています。 この機能は、すべてのタイプのエンドポイントに「軽量」エージェントを提供する単一のオールインワンソフトウェアプラットフォームで提供されます。

Ekran Systemでのユーザーセッションの監視と記録は、高度な画面記録モジュールを使用して実行されます。 この情報は、アプリ名、アクセスしたURL、開いたファイル、入力したコマンド、キーボードタップ、接続されたデバイス、およびその他の従業員の活動に関するデータでも補足されます。

Ekran Systemは、企業がデータセキュリティに自信を持つのに役立つ独自のプラットフォームです。

結論

サイバー犯罪は急速に勢いを増しており、パンデミックが続いているため、最近のWebには、現実の世界よりもさらに多くの犯罪者がいます。 クレジットカードや銀行詐欺の犯罪が増加しており、ハッカーが蔓延しており、使用できるすべてのオプションでサイトを保護する必要があります。

WordPressはデフォルトでインストールされるといくつかの脆弱性がありますが、この記事で言及されているセキュリティの脅威を含め、あなたが抱えているほとんどすべての問題を解決することができます。 一意のユーザー名と強力なパスワードを設定し、セキュリティプラグインをインストールし、高品質のDLPツールを使用して従業員を教育することで、データ漏洩やサイトの侵害やマルウェア感染のリスクを大幅に減らすことができます。

さて、WPメディアサイトの重要なコンテンツの損失を防ぐために、上記のすべてとは別に、サイトのバックアップを決して忘れてはなりません。 したがって、サイトがハッキングされた場合でも、いつでも通常の操作をすばやく復元し、ハッキングの理由を分析してそれらを排除し、将来同様の状況を防ぐことができます。 ちなみに、一部のホスティング会社は自動的にバックアップを行います。

サイトのバックアップがある場合は、WordPressWebサイトをいつでも動作状態に復元できます。 この点であなたを助けることができるいくつかのプラグインがあります。

プレミアムソリューションをお探しの場合は、Automattic（現在はJetpackを搭載）のVaultPressをお勧めします。 毎週バックアップするように設定しました。 また、何か問題が発生した場合でも、ワンクリックでサイトを簡単に復元できます。

一部の大規模なWebサイトは、1時間ごとにバックアップを実行しますが、それはほとんどの組織にとって完全にやり過ぎです。 言うまでもなく、各バックアップファイルはドライブのディスク領域を占有するため、新しいバックアップが作成された後、これらのバックアップのほとんどが削除されていることを確認する必要があります。 それでも、ほとんどの組織では、毎週または毎月のバックアップをお勧めします。

バックアップに加えて、VaultPressはWebサイトにマルウェアがないかチェックし、疑わしいことが発生した場合はアラートを出します。