セキュリティ診断レポート
現状の WordPress を WPScan / 設定レビューで点検し、脆弱性・設定ミス・運用上のリスクを書面化します。診断のみで止める判断もできます。
- WPScan による既知脆弱性検出
- プラグイン・テーマの棚卸し
- 管理画面・ログイン保護の点検
- WAF 設定状況の確認
- SSL / TLS 設定の点検
- レポート PDF 納品
WordPress 改ざん・侵入を、
仕組みで防ぐ。
「無料プラグインを入れてある」だけでは届かない領域へ。脆弱性スキャン・WAF・ログイン強化・改ざん検知・バックアップ・パッチ運用を、診断 → 強化 → 監視のサイクルで継続的に回します。
Pain points
こんなお悩み、ありませんか?
WordPress は世界で最も狙われている CMS です。「無料プラグインで対策済み」では足りません。
過去にサイトを改ざんされた経験があり、再発が怖い。
WAF を入れていない、または設定が初期値のまま。
プラグイン・テーマの更新が滞っており、脆弱性の把握ができていない。
管理画面の URL が標準のまま、ブルートフォース攻撃を毎日受けている。
監査・ISMS・取引先要件で WordPress のセキュリティ証跡を求められた。
無料プラグインを入れてあるが、本当に効いているか確認したことがない。
Approach
"診断 → 強化 → 監視" のサイクル
セキュリティ対策は単発で終わりません。継続的なパッチ運用と監視まで含めて初めて機能します。
01
診断
現状の WordPress 構成を脆弱性スキャン・設定監査・プラグイン棚卸しで点検。WPScan / Wordfence の機械的な診断と、人手による設定レビューを組み合わせます。
02
強化
WAF 設定、ログイン強化、ファイル整合性監視、管理画面保護、HTTPS 強化を実装。脆弱性のあるプラグインの除去・代替、テーマの安全化も行います。
03
監視
本番環境の改ざん検知、不正ログイン試行の監視、プラグイン更新の追従を月次で。「対策した瞬間の状態」を保ち続ける運用を組み込みます。
Scope
01
Diagnose
02
Hardening
03
Login
04
WAF
05
Detect
06
Backup
07
Patch
08
Recover
対応範囲
サイトの状態と要件に応じて、必要な範囲だけ実施します。
WordPress 本体・設定強化
WordPress 本体・PHP・データベースの設定を、運用と両立する範囲で強化します。「ガチガチにして編集できない」状態にはしません。
- wp-config.php / .htaccess の設定
- ファイル編集禁止設定
- 不要な REST API エンドポイント遮断
- XML-RPC の制限
- バージョン情報の隠蔽
- HTTPS 強制・HSTS 設定
ログイン・管理画面保護
ブルートフォース攻撃の主戦場である管理画面・ログインを徹底的に保護。多要素認証、IP 制限、ログイン URL 変更、reCAPTCHA まで対応します。
- 管理画面 URL のカスタム化
- 多要素認証(TOTP / WebAuthn)
- IP アドレス制限
- ログイン試行回数制限
- reCAPTCHA / hCaptcha 導入
- 監査ログの記録
WAF 設計・導入
Cloudflare WAF / AWS WAF / SiteGuard / WP-Cerber などから、サーバー構成に合わせて選定。ルール調整・誤検知抑制まで含めて実運用に耐える状態にします。
- Cloudflare WAF 設計
- AWS WAF 設計
- SiteGuard / WP-Cerber 設定
- カスタムルールの追加
- 誤検知の抑制
- 攻撃検知時のアラート設計
改ざん検知・監査ログ
本番環境のファイル整合性を継続監視し、改ざんが発生した瞬間に検知します。管理画面の操作ログも記録し、内部統制・監査対応に備えます。
- ファイル整合性監視
- 不正ファイル混入の検知
- 管理画面操作ログ
- 失敗ログイン試行ログ
- 変更通知(Slack / メール)
- 監査用エクスポート
バックアップ・復旧設計
改ざん・侵入を受けても、最悪復旧できる体制を作ります。バックアップは "取れていること" ではなく "復元できること" がゴールです。
- 日次バックアップ(DB + ファイル)
- 遠隔保管(S3 + 別リージョン)
- バージョン保持(30 日 / 90 日)
- 復元演習の実施
- RTO / RPO の合意
- 復旧手順書の作成
継続的なパッチ運用
WordPress 本体・プラグイン・テーマの更新を月次で計画的に実施。セキュリティパッチは即時、機能アップデートは検証後に反映します。
- WordPress 本体パッチ
- プラグイン更新(検証後反映)
- テーマ更新
- 緊急パッチの即時対応
- 検証環境での事前確認
- 月次レポート
侵入・改ざん時の復旧支援
すでに改ざん・侵入を受けてしまったサイトの調査・復旧にも対応します。原因特定・痕跡除去・再発防止までセットで。
- 侵入経路の特定
- マルウェア・バックドアの除去
- クリーンな状態への復元
- パスワード一括変更
- 再発防止のセキュリティ強化
- 関係各所への報告書作成支援
Process
構築までの流れ
- 01無料相談 — サイト URL と現状のセキュリティ対策を伺います(30 分)。
- 02セキュリティ診断 — WPScan / 設定監査 / プラグイン棚卸しでリスクを書面化。
- 03提案・見積 — 強化メニューの優先度・所要期間を書面で。
- 04強化実装 — 合意した範囲のみ実施。本番反映前にステージングで検証します。
- 05監視・運用 — 改ざん検知・パッチ運用を月次で継続。月次レポートを共有します。
Plans
対応形態
案件規模に応じて 3 つの形態。料金は要件確定後に書面でご提示します。
Diagnose
セキュリティ診断のみ
- WPScan + 設定監査
- リスク優先度レポート
- 診断のみで終了する選択肢
- レポート PDF 納品
Harden
診断 + 強化実装
- WAF・ログイン強化・改ざん検知
- 本番反映前のステージング検証
- 運用ドキュメント納品
- 診断結果に応じた範囲調整
Continuous
継続的なセキュリティ運用
- 改ざん検知・侵入監視
- 月次パッチ運用
- 緊急パッチの即時対応
- 対応範囲は契約書面で個別合意
Comparison
Option A
Option B
SHANNON
他の選択肢との比較
無料プラグインで対策
- 「入れただけ」状態で実効性なし
- 初期設定のままで最低限の保護
- WAF・改ざん検知は不在
- 緊急パッチへの追従が遅れる
セキュリティ製品単体導入
- 製品の「型通り」の対策のみ
- 運用は社内で続ける必要
- WordPress 特有の対策は不在
- 侵入時の復旧支援は対象外
診断 → 強化 → 監視
- WordPress 特有のリスクに対応
- 運用と両立する強化レベル
- 改ざん検知 + 月次パッチ運用
- 侵入時の復旧支援も対応
Promises
お約束
FAQ
よくあるご質問
対応します。侵入経路の特定、マルウェア除去、クリーン状態への復元、再発防止のセキュリティ強化までを通しで担当します。緊急性が高い場合は営業日内で最短で着手します(夜間・休日のオンコール対応は行っていません)。
対応します。マルチサイト特有の権限・テーマ共有・プラグイン管理の制約を踏まえて設計します。サブサイト数が多い場合は、診断時に対象範囲を相談しつつ進めます。
対応可能な形式で納品します。診断レポート、運用手順書、改ざん検知ログ、パッチ適用記録など、監査時に提出できる粒度で作成します。具体的な要件があれば事前にすり合わせます。
本パッケージは WordPress 特化です。PowerCMS / Movable Type / Drupal などの場合はインフラ構築・運用のセキュリティ強化サブで対応します。
基本的には変わりません。多要素認証や IP 制限の導入は編集者にも影響しますが、運用と両立する形で設計します。導入時に編集者向けの操作説明も実施します。
本番反映前にステージング環境で全機能の動作確認を行います。本番反映時はバックアップを取得した上で、段階的に適用します。万が一問題が発生した場合の切り戻し手順も事前に準備します。