WordPressの専門家:WPWhiteSecurityのCEOであるRobertAbelaへのインタビュー

公開: 2021-04-10
WPホワイトセキュリティ

ロバート・アベラ、あなたは誰ですか? 自己紹介をお願いします!

私は子供の頃からコンピューターに興味を持っていました。 私が8歳か9歳の頃、叔父がアタリを家に持ち帰り、そこでゲームをしていました。

それ以来、私の興味は高まり、いくつかの基本的なプログラムを書いていた最初のコンピューター(Amiga 500+)を手に入れました。

それからPCが来て(私は486 DX4を持っていました)、それからインターネットが来ました。 コンピューターを何度も壊した後、私は電子工学学校を中退し、国際的なソフトウェア会社でソフトウェアテスターとしての最初のITの仕事に就きました。 最初の企業の仕事に就いてから14年後、私は自分の会社であるWPWhiteSecurityを設立しました。

ロベルト・アベラ

どのようにしてWordPressを使い始めましたか? それはいつで、何をしていましたか?

私は、Acunetixの製品マネージャーとしての最後のフルタイムの企業の仕事の間にWordPressについて知りました。 調査結果を文書化するためにブログが必要であり、WordPressの使用を開始しました。

WordPressを使用するようになると、WordPressのセキュリティ業界には多くの機会があることに気づきました。 私たちはWebアプリケーションセキュリティソフトウェア会社だったので、WebsiteDefenderと呼ばれるWordPressセキュリティサービスも構築しました。 残念ながら、この製品は発売されませんでしたが、WordPressエコシステムについてさらに学ぶ良い機会だと思いました。

これで私は夢中になり、WPWhiteSecurityのアイデアが生まれました。 以前の経験はセキュリティでしたので、セキュリティブログとしてWPWhiteSecurityを始めました。 また、ハッキングされたWebサイトのクリーニング、ソースコードの監査、WordPress Webサイトのセキュリティの強化など、WordPressのセキュリティサービスも提供しました。

その後、コードの書き方を学び始め、WordPressアクティビティログプラグインという完璧なユースケースがありました。 ウェブサイトがハッキングされる前に、ウェブサイトの所有者にそのようなプラグインがインストールされていることを常に望んでいました。 それは当時の生活をずっと楽にしていたでしょう!

それが、WPアクティビティログの最初のバージョンの開発を開始するために必要なすべての動機でした。 プラグインが勢いを増し始めたとき、私たちはセキュリティサービスの提供をやめ、WordPressプラグインの開発に完全に集中しました。 残りは歴史です。

あなたはいくつかのセキュリティプラグインを開発しました。 なぜWordPressに集中することにしたのですか?

それはすべて自然に起こりました。

私の経歴はアプリケーションセキュリティでしたので、以前はセキュリティソフトウェア会社で働いていました。 AcunetixでWordPressを発見したとき、WordPressに参加して何かをする良い機会を見ました。

私は他のCMSプロジェクト(Joomla、Drupalなど)を実際に見たことはありませんでした。主な理由は、WordPressで何かをしたり、コミュニティに参加したり、新しい友達を作ったりするのが良かったからです。

このCMSの長所と短所は何ですか? WordPressは安全ですか? なぜ人々はセキュリティプラグインに投資する必要があるのですか?


私の意見では、WordPressの強みは次のとおりです。

  • それは非常によくサポートされ、文書化されています
  • それは大きくて素晴らしいコミュニティに支えられています
  • WordPressコアは非常に安定しており、頻繁に更新され、適切に維持されています
  • たくさんのプラグインとテーマのおかげで、WordPressであらゆるタイプのウェブサイトを構築できます

WordPressのコアは非常に安全です。 WordPress Webサイトで最も一般的なセキュリティの問題は、サイトの所有者/管理者が原因です。 例えば;

  • Webサイトの管理が誤っており、不要なプラグインがインストールされている、古いソフトウェア、誤って割り当てられたユーザー特権、弱いパスワードなどがあります。
  • 経験のないユーザーは、WordPressサイトを安全に保つために何が必要かを知りません。

率直に言って、サイトを安全に保つことはロケット科学ではありません。 ほとんどの場合、基本的なセキュリティのベストプラクティスに従うことです。

WordPressウェブサイトのセキュリティを強化するための5つの簡単なヒントを教えてください。

  • プラグイン、テーマ、そしてもちろんWordPressのバージョンを含め、すべてを最新の状態に保ちます。 これは、コンピューター、スマートフォン、および所有しているその他のデバイスにも当てはまります。
  • 適切な特権を割り当てます。 WordPressのユーザーロールは、Webサイトの全体的なセキュリティにおいて重要な役割を果たします。 間違った人にあまりにも多くの機能を割り当てるという単純な行為は、潜在的に悲惨な結果をもたらす可能性があります。
  • プラグインをインストールする前に調査してください。 また、必要なプラグインのみをインストールしてください。 WordPress Webサイトのプラグインを選択する際に留意すべき点は、プラグインの評価、ユーザーレビュー、プラグインのアクティブなインストールの数、サポート、開発者の応答性、およびドキュメントです。
  • 強化–WordPressの強化に関してはできることがたくさんあります。 ただし、2FAの実装、パスワードセキュリティの向上、不要なものの無効化など、いくつかの簡単な手順から始めることができます。
  • セキュリティは日常業務の一部である必要があります。 WordPressのセキュリティは一度限りの修正ではありませんが、防御を絶えずテストし、それを繰り返してWebサイトのセキュリティ体制を改善するプロセスです。

プラグインに焦点を当てましょう:なぜWPアクティビティログを作成したのですか?

私はハッキングされたウェブサイトを掃除していた頃にその考えを取り戻しました。 ログはWebサイトの管理に不可欠であるだけでなく、何が起こったのか、何が悪用されたのかを理解するのに役立つフォレンジック作業でも役立つと思いました。

WordPressにはログがないので、WPアクティビティログの開発を始めました。 現在、6つのプラグインがあり、そのすべてがWordPressのセキュリティとユーザー管理に重点を置いています。

WPアクティビティログ:何千人ものWordPress管理者やセキュリティ専門家が自分のウェブサイトで何が起こっているかを監視するのに役立つ包括的なリアルタイムのユーザー監視およびアクティビティログプラグイン。

パスワードポリシーマネージャー:このプラグインを使用すると、WordPressWebサイトおよびマルチサイトネットワークの強力なパスワードポリシーを構成できます。

WP 2FA :WordPressユーザーログインのセキュリティをわずか数秒で強化できる、非常に使いやすい2要素認証プラグイン。

ウェブサイトのファイル変更モニター:WordPressコア、プラグイン、テーマの変更を認識する独自のスマートテクノロジーを備えたファイル整合性モニタープラグインであるため、正当なファイル変更の誤警報を発生させることはありません。

MainWPのアクティビティログ:これは、管理者と機関が1つの中央ポータル(MainWPダッシュボード)から子サイトで何が起こっているかを監視するために使用するMainWP拡張機能です。

管理者通知マネージャー:このプラグインは、WordPressダッシュボードの管理者通知を管理します。 アイデアはシンプルで、気を散らすことのないダッシュボードを用意し、自分の都合の良いときに管理者の通知を読み、重要なWordPressコアまたは開発者のメッセージを見逃すことはありません。

時々、1つの「汎用」セキュリティプラグインではなく、単一目的のプラグインを開発する理由を尋ねられます。 その理由の1つは、使いやすさです。 一般的なセキュリティプラグインは、ユーザーにとって少し圧倒される可能性があります。

単一目的のプラグインを開発する場合、その領域に特化して、より堅牢な機能の構築に集中できます。これはもちろん、特定のニーズを持つユーザーに適しています。 これは他のすべてと同じです。 例として、スマートフォンのカメラとデジタル一眼レフのアナロジーを使用してみましょう。 今日、ほとんどの携帯電話には優れたカメラが搭載されていますが、そのようなカメラをデジタル一眼レフカメラと比較することはできません。カメラ付き携帯電話がどれほど優れていても、デジタルカメラのような汎用性、機能、オプションを備えていることは決してないからです。

WordPressは将来どのように進化すると思いますか?

WordPressは、質素なブログプラットフォームとして始まり、現在ではブログ、Webサイト、eコマースソリューション、および多くのWebプロジェクトのバックエンドソリューションとして使用されています。

その市場シェアも急速に伸びているので、将来は間違いなく興味深いものです。

広く採用されるほど、関心が高まります。 これは、より多くの企業がWordPressエコシステムに投資することを意味します。これは通常、より多くのイノベーション、新製品、新しい使用方法、より多くの統合、そして何よりもより安全なWordPressにつながります。

WPアクティビティログはどうですか?

今年は、プラグインのコアとその機能のリファクタリングに焦点を当てています。 その上、アクティビティログソリューションとして、大企業が必要とする統合にも焦点を当てています。

たとえば、サードパーティソリューションへのログの書き込み、Splunkなどのソリューションとの統合、および中央ログシステム。

さらに、他のすべてのプラグイン、特にWP2FAの興味深いロードマップもあります。 今年はたくさんの新機能を追加する予定ですので、お楽しみに!