Q. セキュリティスコアが低いのですが、すべての項目を対策する必要がありますか?
A. すべての項目を100点にする必要はありません。リスクの高い項目から優先的に対策しましょう。
優先度の考え方
セキュリティスコアの各項目にはリスクレベルが設定されています。以下の優先順位で対応することを推奨します。
最優先(今すぐ対処)
- WordPress コアのアップデート — 古いバージョンには既知の脆弱性が存在します
- デバッグモードの無効化 —
wp-config.phpのWP_DEBUGをfalseに設定 - 管理者パスワードの強化 — 「admin」ユーザー名の変更も推奨
高優先度(1週間以内)
- プラグイン・テーマの更新 — 古いプラグインは攻撃の入口になります
- ブルートフォース保護の有効化 — ログイン試行制限を設定
- 不要なプラグインの削除 — 無効化しているだけでは脆弱性のリスクが残ります
中優先度(1ヶ月以内)
- HTTPセキュリティヘッダーの設定
- REST API の不要なエンドポイントの制限
- ファイルパーミッションの見直し
低優先度(計画的に対応)
- データベーステーブルプレフィックスの変更
- 情報露出(readme.html等)の削除
目標スコア
すべてのサイトが100点を目指す必要はありません。サイトの種類に応じた目標を設定しましょう。
| サイトタイプ | 推奨目標 |
|---|---|
| 個人ブログ | 70点以上 |
| コーポレートサイト | 80点以上 |
| ECサイト・会員制サイト | 90点以上 |