WordPress運用保守チェックリスト

WordPressでウェブサイトやブログを立ち上げるのは、手軽でツールとして便利な一方。
運用しつづけるには、メンテナンスをする手間やセキュリティ上のリスクを自分で対応する必要があります。

保守管理レベルで対応できる範囲はそれぞれですが。
個人でWordPressサイトを運営する方から、ビジネスでWordPressを使ってウェブサイトを開設している方、ウェブ制作会社などクライアントのウェブサイトをサポートしている方に参考になるようできるだけ幅広い視点から「WordPress運用保守チェックリスト」を作成してみました。

WordPress運用保守の底上げに繋がれば幸いです。

WordPress運用保守チェックリスト (2018.10.15更新)

WordPress保守・保全

  • WordPress本体はこまめにアップデートしている
    1. 手動
    2. 自動
  • テーマ・プラグイン・翻訳はこまめにアップデートしている
    1. 手動
    2. 自動
  • データのバックアップを定期的にしている (ファイルとデータベース両方)
    1. 手動
    2. 自動
  • バックアップデータの格納先
    1. サイトと同一サーバー上
    2. 別のサーバー・ストレージサービスなど遠隔スペース
  • バックアップ先は、セキュリティを施してアクセスは制限されている
  • データベースの肥大化を防いでいる
    • 投稿履歴の件数を制限している
    • データベースの​​最適化を定期的に行っている
  • リストアなど復旧作業のシミュレーション訓練を検証環境上で行っている

WordPressセキュリティ

アプリケーションレイヤー

  • テーマ・プラグインは出所を確認して適切に管理している
    • 公式ディレクトリ掲載 (審査レビューチェック済み)
    • 有料テーマ・プラグイン
    • 野良テーマ・プラグイン (配布先ダウンロードが特定サイトのみ、GitHubなどレポジトリのみ)
  • 使っていないテーマ・プラグインは削除している
  • セキュリティ系のプラグインを少なくとも一つは導入している
    • ログイン試行防御 (総当たり攻撃・ブルートフォースアタック、パスワードリスト攻撃)
    • DDoS 攻撃防御
    • メールフォームスパム対策
    • セキュリティ監視
  • wp-config.php の salt を wordpress.org salt generator で生成して設定している
  • wp-config.php をアクセスできないルートディレクトリに配置している
  • ファイル編集機能を停止している

ミドルウエアレイヤー

  • ファイルパーミッションを適切に設定している
  • PHPの実行を拒否、ファイルアクセス拒否制御を行っている
    • wp-config.php
    • /wp-admin/includes/
    • /wp-includes
    • /wp-includes/js/tinymce/langs/
    • /wp-includes/theme-compat/
    • /wp-content/themes/
    • /wp-content/plugins/
    • /wp-content/uploads/
  • 管理画面ログイン・アクセスを強化している
    • 2段階認証・2ファクタ認証を導入している
    • CAPTCHAを導入している
    • Basic認証を導入している
    • 管理画面のアクセスをIPアドレスホワイトリストで限定している
  • サイトへの特定のアクセスをIPアドレスブラックリストで制限している
  • 国外IPアドレスフィルタを有効にしている
  • WAFを導入している、またはWAF機能を有効にしている
  • マルウェア混入チェックを定期的に行っている
  • 脆弱性診断を定期的に行っている

ヒューマンファクター

  • ユーザ名 admin は削除している、または存在していない
  • ユーザ名 admin のログインを禁止している
  • ユーザーのパスワードを適切に設定している
    • 8文字以上
    • 小文字・大文字・数字が最低1つずつ含まれている
    • できれば記号も含める
    • パスワード自動生成なら尚よし
  • 複数のユーザアカウントには、適切な権限を付与している
  • 使われていないユーザアカウントは定期的に削除している
  • セキュリティ系のプラグインでログインアクセスを履歴記録している

サーバ・システムインフラ基盤

  • サーバーの保守管理担当者がいる
  • レンタルサーバーまたはVPS・クラウドサーバーで運用している
  • 独自ドメインで運用している
  • SSL/TLS (サーバ証明書) を導入して暗号化通信している
    1. http と https 両方でサーバー接続している
    2. 常時SSL (https のみ限定サーバー接続、http はリダイレクト処理)
    3. 常時SSL (https のみ限定サーバー接続、http は80番ポート閉鎖)
  • サーバー・データベースやPHPなどミドルウエアを定期的にアップデートしている
  • 定期的にサービスプランを変更してサーバーを刷新している、またはサーバ・システム基盤をリプレイスしている
  • システムパフォーマンスを定期的に計測している、またはモニタリングしている

運用体制・障害対応

  • WordPressの保守担当者がいる
  • 死活監視を導入している
    1. 人的監視
    2. リモート自動監視
  • アラート通知など障害発生にすぐに気づく体制がある
  • 24時間以内に一次対応 (応急処置) で障害の復旧ができる
  • 障害の原因調査ができる体制がある
  • WordPressサイトの再現検証、テスト環境がある
  • 再発防止策の実施など根本的な解決を行える体制がある
  • 障害報告・対応作業報告・作業予定など情報を共有している
  • 運用保守体制を定期的にチェックして改善している

参考

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

最近の投稿

カテゴリー

アーカイブ