WordPressのセキュリティについてクライアントに伝える5つのこと
公開: 2021-02-05WordPress Webサイトの構築と保護は、常に課題です。 開発者は、避けられない攻撃を軽減するために、堅実なコードを記述し、セキュリティプラグインなどの機能を実装するように細心の注意を払っています。
それでも、私たちは森の外ではありません。 古いことわざを言い換えると、ウェブサイトはその最も弱いリンクと同じくらい安全です。 コードによる潜在的なエクスプロイトを超えて、最も弱いリンクは情報のないユーザーになる傾向があります。 自分のせいではなく、自分のWebサイトを脆弱なままにする悪い選択をした人。
別の決まり文句を使用するには:最善の防御は良い攻撃です。 この場合、セキュリティのベストプラクティスについてクライアントに教えることになると、積極的になることを意味します。 いくつかのもの(強力なパスワードなど)は普遍的ですが、他のものはWordPress自体に固有のものです。 そして、それが今日の私たちの焦点です。
それでは、クライアントがWordPressのセキュリティについて知っておく必要がある5つのことを確認しましょう。
専門家に相談せずにWordPressプラグインをインストールしないでください
プラグインをインストールしたいという誘惑は現実のものです。 結局のところ、数回クリックするだけです。
しかし、リスクも現実のものです。 WordPressプラグインは、品質、つまりセキュリティの点で大きく異なります。 1年以上更新されていないプラグインを公式リポジトリで見つけることは珍しいことではありません。 多分それは無害です。 多分そうではありません。
このため、Webデザイナーは、プラグインをインストールする前に、クライアントに簡単な相談を行うように勧める必要があります。 詳細を確認して確認することを提案します。 この1つの手順で、セキュリティとサイトの安定性に関する悪夢のシナリオを防ぐことができます。
いくつかの利点があります。 まず、これにより、サイトで何が起こっているのかを常に把握できます。 さらに、それはあなたが良い、評判の良いプラグインの方向にクライアントを向けることを可能にします。 言うまでもなく、これにより、クライアントはクリックする前に考えるようになります。 それはすべての人に利益をもたらします。
単一のユーザーアカウントを共有するのではなく、新しいユーザーアカウントを作成する
多くの組織には、WordPressダッシュボードにアクセスする必要のある人が複数います。 多くの場合、これらのユーザーは1つのアカウントを共有します。
一見すると、これは単純な信頼の問題のように見えるかもしれません。 そして確かにその要素があります。 チームメンバーが組織を離れた場合、パスワードが変更されていなければ、チームメンバーが引き続きアクセスできる可能性があります。 そして、悪意のある人が何らかの損害を与える可能性があります。
ここでのもう1つの本当の懸念は、デバイスのセキュリティに関するものです。 たとえば、WordPress管理者アカウントを共有している5人のユーザーがいる場合、必要なのは、悪用されるデバイスの1つだけです。 たとえば、あるユーザーのPCのキーロガーがアカウントを危険にさらす可能性があります。
したがって、各ユーザーが独自のアカウントを持つことをお勧めします。 これはWordPress内で簡単に行うことができ、誰かができることとできないことを制限するカスタムユーザーロールを作成することもできます。
WordPressコア、プラグイン、テーマを最新の状態に保つ
理想的には、クライアントはソフトウェアの更新を処理するためにあなたと契約します。 しかし、彼らが責任を負うのであれば、彼らが問題を非常に真剣に扱うことが重要です。
開発者として、侵害されたWebサイトのトラブルシューティングよりも苛立たしいことはほとんどありませんが、WordPressにログインして、いくつかのバージョンが古くなっていることを確認するだけです。 それはあなたの家の正面玄関を24時間年中無休で大きく開いたままにしておくことに似ています。 誰かが入って来て、あなたの派手な新しいテレビを持って行っても、それほど驚かないでください。
WordPressのコア、プラグイン、テーマを最新の状態に保つことの重要性は誇張することはできません。 それがまだ一部のクライアントの快適レベルを超えている可能性があることを知っています。 それで大丈夫です。 彼らはそれに対処するためにあなたを雇うことができるか、少なくとも、可能な場合は自動更新を有効にすることができます。
更新の実装方法に関係なく、更新には注意を払う必要があります。 セキュリティを保証するものではありませんが、他の方法よりもはるかに優れています。
二要素認証は大きな違いを生む可能性があります
WordPressに2要素認証を追加するのはかなり簡単です。 しかし、利害関係者が実際にそれを使用する場合にのみ価値があります。
確かに、それはあまり便利ではありません。 ログインするために電子メール、テキストメッセージを確認するか、モバイルアプリをチェックする必要があることは大きな苦痛になる可能性があります。 しかし、この余分なステップは不可欠です。 それは悪意のある攻撃者とあなたのウェブサイトのバックエンドへのアクセスの間に大きな障壁を作ります。
そして、ユーザーエクスペリエンスは実際に良くなっています。 一部の実装では、デバイス認識と2FAを組み合わせています。 これは、ユーザーのデバイスが認識されている限り、指定された時間ログインを確認する必要がないことを意味します。
さらに、2FAは非常に多くの場所で標準になっています。 一部のオンラインバンキングアプリでは、それなしではログインできません。 あなたのウェブサイトもこの技術を利用すべきではない理由はありません。
今日の安全は明日ではないかもしれません
それが実行されているプラットフォームに関係なく、Webサイトは1回限りの問題ではありません。 セキュリティが主要な役割を果たしているため、頻繁に(一定ではないにしても)注意を払う必要があります。
ウェブは常に進化しています。 新しいテクノロジーはすぐに古くなります。 また、かつてセキュリティのベストプラクティスであると考えられていたことが、他の方法で証明される場合もあります。
そのため、Webサイトのセキュリティは本当に終わりのない課題です。 これは、大小の組織にとっても毎日の戦いです。
その結果、Webサイトは時代とともに変化する必要があります。 WordPressに関して言えば、それは古いセキュリティプラグインをより良いものに置き換えることを意味するかもしれません。 または、放棄されたテーマやプラグインを廃止して、物事を強化します。 また、ホストまたはサーバー環境の変更が必要になる場合もあります。
今日セキュリティに投資したからといって、明日再び投資する必要がないという意味ではないことを理解することが重要です。
より安全なWordPressウェブサイトのために今日クライアントを教育する
私たちのクライアントは、キラーなウェブサイトと一緒にいくつかの知識を提供するために私たちに頼ることがよくあります。 そして、セキュリティは私たちが彼らを教育することができる最も重要な主題かもしれません。
最初からそうするように努力することは、長期的な配当を支払うことができます。 WordPress Webサイトを安全に保つ方法を理解しているクライアントは、これらの重大な間違いの1つを犯す可能性が低くなります。 それだけで、ハッキングされたサイトのクリーンアップとスムーズな航海の違いかもしれません。