2026年におけるWordPressセキュリティの重要性
WordPressはインターネット上のすべてのウェブサイトの43%以上を支えており、サイバー攻撃の最大の標的となっています。2025年だけで、セキュリティ研究者はWordPressのプラグイン、テーマ、コアソフトウェアにおいて5,800以上の脆弱性を記録しました。小規模企業におけるウェブサイトの侵害の平均コストは、ダウンタイム、データ損失、評判の損害、回復費用を考慮すると、現在25,000ドルを超えています。
良いニュースは、WordPressへの攻撃の大多数が自動化されており、機会主義的であるということです。これらは既知の脆弱性、弱いパスワード、誤設定されたインストールをターゲットにしています。体系的なセキュリティアプローチに従うことで、攻撃ベクトルの95%以上を排除し、攻撃者がより簡単な獲物を選ぶためにスキップするような強化されたターゲットにすることができます。
このガイドでは、サーバーの設定から日常のメンテナンスプラクティスまで、WordPressセキュリティのすべての層をカバーします。個人ブログを運営している場合でも、高トラフィックのeコマースストアを運営している場合でも、これらの戦略は防御の深層セキュリティ姿勢を構築するのに役立ちます。
一般的なWordPressの脅威を理解する
サイトを守る前に、何から守るのかを理解する必要があります。2026年にWordPressインストールをターゲットにする最も一般的な攻撃タイプは以下の通りです。
ブルートフォース攻撃
ブルートフォース攻撃は、数千または数百万のユーザー名とパスワードの組み合わせを試すことで、ログイン資格情報を推測しようとします。自動化されたボットは、/wp-login.phpと/xmlrpc.phpのエンドポイントを継続的にターゲットにします。典型的なWordPressサイトは、1日に数百のブルートフォース試行を受け、"admin"のような一般的なユーザー名を持つサイトは特に脆弱です。
SQLインジェクション (SQLi)
SQLインジェクション攻撃は、不適切にサニタイズされた入力フィールドを利用して悪意のあるデータベースクエリを実行します。攻撃者は機密データを抽出したり、コンテンツを変更したり、管理者アカウントを作成したり、データベースサーバーを完全に制御したりすることができます。WordPressの準備されたステートメントを使用しない脆弱なプラグインやテーマが主な侵入経路です。
クロスサイトスクリプティング (XSS)
XSS攻撃は、他のユーザーが見るウェブページに悪意のあるJavaScriptを注入します。保存されたXSSは特に危険で、悪意のあるスクリプトがデータベースに残り、影響を受けたページを誰かが読み込むたびに実行されます。これにより、セッションハイジャック、クッキーの盗難、そして自ドメインから配信されるフィッシング攻撃が発生する可能性があります。
マルウェアとバックドア
攻撃者がアクセスを得ると、通常はバックドアをインストールします。これは、パスワードを変更した後でも再度アクセスできるようにする隠れたスクリプトです。一般的な隠れ場所には、偽のプラグインファイル、変更されたテーマ関数、アップロードディレクトリ内の難読化されたコードが含まれます。暗号通貨マイナー、スパムインジェクター、SEOスパムが最も一般的なペイロードの一部です。
DDoS攻撃
分散型サービス拒否攻撃は、トラフィックでサーバーを圧倒し、サイトを正当な訪問者に対してアクセス不能にします。WordPressサイトは、検索クエリ、XML-RPCピンバック、REST APIエンドポイントのようなリソース集約型の操作を悪用するアプリケーション層のDDoS攻撃に特に脆弱です。
| 攻撃タイプ | 主なターゲット | 防止方法 | 深刻度 |
|---|---|---|---|
| ブルートフォース | ログインページ、XML-RPC | ログイン制限、2FA、強力なパスワード | 中程度 |
| SQLインジェクション | プラグインフォーム、URLパラメータ | 入力サニタイズ、WAF、プラグインの更新 | 重大 |
| クロスサイトスクリプティング | コメントフォーム、検索、入力フィールド | 出力エスケープ、CSPヘッダー、WAF | 高 |
| マルウェア/バックドア | プラグインファイル、アップロード、テーマファイル | ファイル監視、スキャン、権限 | 重大 |
| DDoS | サーバーリソース、帯域幅 | CDN、レート制限、WAF | 高 |
| ファイルインクルージョン | テーマ/プラグインパラメータ | 入力検証、ファイル編集の無効化 | 重大 |
| 権限昇格 | ユーザーロール管理 | ソフトウェアの更新、ロール監査 | 高 |
WordPressの強化: 基盤レベルのセキュリティ
WordPressのインストールを強化することは、不要な機能を無効にし、ファイル権限を厳格にし、一般的な攻撃に抵抗するように環境を設定することで、攻撃面を減少させることを意味します。これらは、サイトのサイズや目的に関係なく、すべてのWordPressサイトで実施すべき対策です。
安全なファイル権限
不適切なファイル権限は、最も一般的なセキュリティの見落としの一つです。あなたのWordPressファイルは、以下の権限基準に従うべきです:
- ディレクトリ: 755(所有者は読み取り/書き込み/実行可能; グループと一般は読み取り/実行可能)
- ファイル: 644(所有者は読み取り/書き込み可能; グループと一般は読み取りのみ)
- wp-config.php: 400または440(所有者は読み取りのみ — サイトで最も機密性の高いファイル)
- .htaccess: 444(全員が読み取り可能; Apacheが読み取る必要があります)
ファイルやディレクトリを777に設定しないでください。プラグインが777の権限を要求する場合は、代替のプラグインを探してください。これは深刻な警告です。
wp-config.phpのセキュリティ
wp-config.phpファイルには、データベースの資格情報、認証キー、およびその他の機密設定が含まれています。ファイル権限を制限するだけでなく、以下のセキュリティ強化を追加してください:
wp-config.phpをWordPressルートの1つ上のディレクトリに移動します(WordPressは自動的にそこを見つけます)- WordPressソルトジェネレーターからユニークな認証キーとソルトを追加します
- デフォルトのデータベーステーブルプレフィックスを
wp_からカスタム文字列に変更します - ファイル編集を無効にします:
define('DISALLOW_FILE_EDIT', true); - プラグイン/テーマのインストールを無効にします:
define('DISALLOW_FILE_MODS', true);(本番サイト用) - 管理者用にSSLを強制します:
define('FORCE_SSL_ADMIN', true); - 投稿のリビジョンを制限します:
define('WP_POST_REVISIONS', 5);
XML-RPCの無効化
XML-RPCは、外部アプリケーションがWordPressと通信するためのレガシープロトコルです。初期のWordPressでは便利でしたが、REST APIがその機能の大部分を置き換えています。XML-RPCは、ブルートフォース増幅攻撃(攻撃者は1回のリクエストで数百のパスワードを試すことができます)や、ピンバック機能を介したDDoS攻撃で頻繁に悪用されます。これを無効にするには、.htaccessファイルにこれを追加するか、セキュリティプラグインを使用してください。
ログイン試行の制限
WordPressはデフォルトでログイン試行を制限しないため、ブルートフォース攻撃が非常に容易です。3〜5回の失敗した試行の後にIPアドレスをロックアウトし、最低15分間のロックアウトを実施するログイン試行制限を実装してください。再犯者にはロックアウト期間を延長します。ほとんどのセキュリティプラグインにはこの機能が含まれており、フルセキュリティスイートのオーバーヘッドなしで処理する軽量のスタンドアロンプラグインもあります。
ログインURLの変更
セキュリティを隠すことは完全な戦略ではありませんが、デフォルトのログインURLを/wp-login.phpからカスタムパスに変更することで、自動化されたブルートフォーストラフィックを大幅に減少させることができます。WordPressインストールをスキャンするボットはデフォルトのログインURLをターゲットにしており、カスタムURLはこのノイズを完全に排除します。
エンタープライズグレードのセキュリティでサイトを保護
Wordfence Security Premiumは、リアルタイムのファイアウォールルール、マルウェアスキャン、ログインセキュリティ、脅威インテリジェンスを提供し、包括的なWordPress保護を実現します。
Wordfence Premiumを取得 →セキュリティプラグイン: あなたの最初の防御線
専用のセキュリティプラグインは、手動で実装するには非現実的な複数の保護層を追加します。2026年に最も広く展開されているWordPressセキュリティソリューションの比較は以下の通りです。
<| 機能 | Wordfence Premium | Sucuri | iThemes Security Pro | All In One WP Security |
|---|---|---|---|---|
| ウェブアプリケーションファイアウォール | エンドポイントベース(リアルタイムルール) | クラウドベースのプロキシ | 基本ルール | 基本ルール |
| マルウェアスキャナー | 深いサーバーサイドスキャン | リモート + サーバーサイド | ファイル変更検出 | ファイル変更検出 |
| ログインセキュリティ | 2FA、reCAPTCHA、ログイン制限 | ログイン制限、IPホワイトリスト | 2FA、パスワードレスログイン | ログイン制限、CAPTCHA |
| リアルタイム脅威インテリジェンス | はい(無料の場合は30日遅延) | はい | 制限あり | いいえ |
| ファイル整合性監視 | コア、プラグイン、およびテーマファイル | コアファイル | ファイル変更ログ | コアファイル |
| ブルートフォース保護 | 国ブロックを含む高度な保護 | IPベース | ネットワークブルートフォース | ログインロックアウト |
| パフォーマンスへの影響 | 中程度(サーバーサイドスキャン) | 低(クラウドベース) | 低 | 低 |
| 価格(年額) | $119 | $199 | $99 | 無料 |
ほとんどのWordPressサイトにおいて、Wordfence Premiumはファイアウォール保護、マルウェアスキャン、ログインセキュリティの最も強力な組み合わせを提供します。そのエンドポイントベースのファイアウォールはあなたのサーバー上で動作し、サーバーのIPアドレスを知っている攻撃者によってバイパスされることはありません — これはクラウドベースのWAFソリューションの既知の弱点です。
SSL/TLSの設定とHTTPS
SSL/TLS暗号化はもはやオプションではありません。これは、訪問者とサーバー間のデータを保護し、中間者攻撃を防ぎ、Googleのランキング要因として確認されています。すべてのWordPressサイトは、適切に設定されたSSL証明書を使用してHTTPSで運営されるべきです。
実装手順
- SSL証明書を取得する(Let's Encryptは無料の証明書を提供するか、ホスティングプロバイダーのオプションを使用)
- WordPressのURL設定を
https://を使用するように更新する - HTTPからHTTPSへの301リダイレクトを設定する
- すべての内部リンクと埋め込みリソースをHTTPSに更新する
- HSTS(HTTP厳格輸送セキュリティ)ヘッダーを有効にする
- SSL Labsでテストする(A+評価を目指す)
現代のTLS設定では、TLS 1.0および1.1を無効にし(両方とも非推奨)、TLS 1.2を最低限使用し、パフォーマンスとセキュリティが向上したTLS 1.3を優先するべきです。暗号スイートを設定して、前方秘匿性アルゴリズムを優先してください。
Webアプリケーションファイアウォール(WAF)の設定
Webアプリケーションファイアウォールは、受信するHTTPリクエストを検査し、既知の攻撃パターンに一致するものをブロックします。WAFは、SQLインジェクション、XSS、ファイルインクルージョン、その他多くの攻撃タイプから保護し、アプリケーションコードの変更を必要としません。
WAFの種類
- エンドポイントベースのWAF(例:Wordfence):WordPressプラグインとしてサーバー上で動作します。POSTデータを含む完全なリクエストを検査でき、よりスマートな判断のためにWordPressコンテキストにアクセスできます。直接IPアクセスでバイパスされることはありません。
- クラウドベースのWAF(例:Cloudflare、Sucuri):リバースプロキシとして機能します。サーバーに到達する前にトラフィックをフィルタリングします。DDoS保護とCDN機能を追加します。オリジンIPが公開されている場合、バイパスされる可能性があります。
- サーバーレベルのWAF(例:ModSecurity):Webサーバーレベル(Apache/Nginx)で動作します。アプリケーションに依存しない広範な保護を提供します。設定にはサーバー管理アクセスが必要です。
包括的な保護のために、クラウドベースのWAF(DDoS軽減とエッジキャッシング用)とエンドポイントベースのWAF(深いアプリケーションレベルの検査用)を組み合わせてください。この層状のアプローチにより、攻撃は複数の検査ポイントを通過する必要があります。
二要素認証(2FA)
二要素認証は、パスワードに加えて第二の確認ステップを追加します。攻撃者がフィッシングやデータ侵害、ブルートフォースによってパスワードを取得した場合でも、第二の要素がなければアカウントにアクセスできません。WordPressの管理者にとって、2FAはオプションではなく必須と考えるべきです。
セキュリティによる2FAメソッドのランキング
- ハードウェアセキュリティキー(YubiKey、Titan):最も強力なオプションで、フィッシングに強く、物理デバイスが必要
- 認証アプリ(Google Authenticator、Authy):スマートフォンで生成された時間ベースのコード、広くサポートされている
- プッシュ通知:スマートフォンからログインを承認または拒否、便利だがインターネットが必要
- SMSコード:SIMスワッピング攻撃のため最も弱い2FAメソッドだが、パスワード単独よりはるかに強力
最低限、すべての管理者およびエディターアカウントに2FAを有効にしてください。顧客の支払いデータを扱うeコマースサイトでは、バックエンドアクセスのあるすべてのユーザーロールに2FAを要求することを検討してください。
セキュリティヘッダー
HTTPセキュリティヘッダーは、ブラウザに組み込みのセキュリティ機能を有効にするよう指示します。これらのヘッダーはサーバーレベル(Nginx/Apache)またはセキュリティプラグインを通じて設定され、パフォーマンスへの影響を最小限に抑えつつ重要な保護を追加します。
| ヘッダー | 目的 | 推奨値 |
|---|---|---|
| Content-Security-Policy | ページ上で読み込むことができるリソースを制御 | Script-src、style-src、img-srcディレクティブ |
| X-Content-Type-Options | MIMEタイプのスニッフィングを防止 | nosniff |
| X-Frame-Options | iframeを介したクリックジャッキングを防止 | SAMEORIGIN |
| Strict-Transport-Security | HTTPS接続を強制 | max-age=31536000; includeSubDomains |
| Referrer-Policy | リファラー情報を制御 | strict-origin-when-cross-origin |
| Permissions-Policy | ブラウザ機能へのアクセスを制御 | camera=(), microphone=(), geolocation=() |
| X-XSS-Protection | レガシーXSSフィルター(現代のブラウザ) | 1; mode=block |
あなたのセキュリティヘッダーをSecurityHeaders.comでテストし、AまたはA+評価を目指してください。Content-Security-Policyは最も強力ですが、設定が最も複雑です。強制する前に問題を特定するために、レポートのみのモードから始めてください。
バックアップ戦略:あなたの安全ネット
どんなセキュリティ設定も完璧ではありません。堅牢なバックアップ戦略は、成功した攻撃、サーバーの障害、人為的エラーに対する保険です。3-2-1バックアップルールに従ってください:データのコピーを最低3つ、異なるストレージタイプで2つ、1つはオフサイトに保存します。
バックアップコンポーネント
- データベース:すべてのコンテンツ、設定、ユーザーデータ、注文。最低でも毎日バックアップし、アクティブなeコマースサイトでは毎時バックアップします。
- ファイル:WordPressコア、テーマ、プラグイン、およびアップロード。毎週または重要な変更の後にバックアップします。
- 設定:サーバー設定、.htaccess、wp-config.php。すべての変更の後にバックアップします。
UpdraftPlus Premiumを使用して、クラウドストレージ統合を備えた自動スケジュールバックアップを行います。バックアップはAmazon S3やGoogle Driveなど、少なくとも2つの場所に保存してください。バックアップが有効であることを確認するために、四半期ごとに復元プロセスをテストしてください。さらに詳しい情報については、私たちのWordPressバックアップガイドをご覧ください。
マルウェアの検出と除去
強力な予防措置を講じていても、マルウェアを検出し除去するための計画を持つべきです。早期の検出は損害を最小限に抑え、回復を早めます。
感染の兆候
- 不明なウェブサイトへの予期しないリダイレクト
- あなたが作成していない新しい管理者ユーザー
- 説明できない最近のタイムスタンプを持つ変更されたファイル
- 検索ランキングの急激な低下やGoogleの警告
- サーバーリソース使用量の急増(CPU、メモリ、帯域幅)
- あなたのドメインからの検索結果に表示されるスパムコンテンツ
- サイト上の疑わしい動作に関する顧客からの苦情
マルウェア除去プロセス
- 隔離:サイトをオフラインにするか、メンテナンスモードにしてさらなる損害を防ぎ、訪問者を保護します
- スキャン:WordfenceまたはSucuri SiteCheckを使用して徹底的なマルウェアスキャンを実行し、すべての感染ファイルを特定します
- 文書化:ファイルパス、変更日、マルウェアの種類を含むすべての発見を記録します
- クリーン:WordPressコアファイルを新しいコピーに置き換え、プラグイン/テーマ/アップロードから疑わしいファイルを削除します
- 更新:すべてのプラグイン、テーマ、そして
- WordPressコアを最新バージョンに更新する
- 強化: すべてのパスワードをリセットし、セキュリティキーを再生成し、ユーザーアカウントを確認し、ファイルの権限をチェックする
- 監視: クリーンアップ後少なくとも30日間、リアルタイムのファイル監視を有効にする
- レビューをリクエスト: Googleにブラックリスト登録された場合、Search Consoleを通じて再考リクエストを提出する
インシデント対応計画
すべてのWordPressサイトは、攻撃が発生する前に文書化されたインシデント対応計画を持つべきです。サイトが侵害された場合、迅速かつ体系的に行動する必要があります。パニックは状況を悪化させるミスを引き起こします。
対応フェーズ
- 検出: 監視アラート、訪問者の報告、またはセキュリティスキャンの結果を通じて侵害を特定する
- 封じ込め: さらなる損害を防ぐ — すべてのパスワードを変更し、疑わしいIPをブロックし、必要に応じてサイトを隔離する
- 調査: 攻撃ベクター、侵害の範囲、影響を受けたデータを特定する。アクセスログ、ファイルの変更時間、データベースの変更を確認する
- 根絶: すべてのマルウェア、バックドア、および不正な変更を削除する。利用可能な場合は、既知のクリーンバックアップから復元する
- 回復: 強化されたセキュリティ対策でサイトをオンラインに戻す。再感染を防ぐために注意深く監視する
- 学んだ教訓: インシデントを文書化し、セキュリティ手順を更新し、再発を防ぐための追加のコントロールを実施する
セキュリティ監査チェックリスト
このチェックリストを使用して、WordPressインストールの定期的なセキュリティ監査を実施してください。ビジネスサイトには毎月、個人ブログには四半期ごとにこのリストを実行することをお勧めします。
| タスク | 優先度 | 難易度 | 頻度 |
|---|---|---|---|
| WordPressコアを更新する | 重要 | 簡単 | リリースから24時間以内 |
| すべてのプラグインを更新する | 重要 | 簡単 | 毎週 |
| すべてのテーマを更新する | 重要 | 簡単 | 毎週 |
| ユーザーアカウントと役割を確認する | 高 | 簡単 | 毎月 |
| ファイルの権限をチェックする | 高 | 中 | 毎月 |
| マルウェアスキャンを実行する | 高 | 簡単 | 毎週 |
| セキュリティログを確認する | 高 | 中 | 毎週 |
| バックアップ復元をテストする | 高 | 中 | 四半期ごと |
| 未使用のプラグインを確認し削除する | 中 | 簡単 | 毎月 |
| SSL証明書の有効期限をチェックする | 中 | 簡単 | 毎月 |
| セキュリティヘッダーを監査する | 中 | 中 | 四半期ごと |
| WAFルールとログを確認する | 中 | 中 | 毎月 |
| 2FA機能をテストする | 中 | 簡単 | 四半期ごと |
| 管理者のパスワードローテーション | 中 | 簡単 | 四半期ごと |
| データベースユーザーの権限を確認する | 低 | 上級 | 年2回 |
適切なホスティング環境を選択することは、基盤となるセキュリティの決定です。適切に構成されたサーバーは、プラグインでは再現できないセキュリティの利点を提供します。詳細な推奨事項については、WordPressホスティングガイドをお読みください。また、推奨されるセキュリティおよびユーティリティプラグインの完全なリストについては、WordPressプラグインガイドをご確認ください。
攻撃からサイトを失わないために
UpdraftPlus Premiumは、自動バックアップ、リモートストレージ、およびワンクリック復元を提供し、数分でセキュリティインシデントから回復できます。
UpdraftPlus Premiumを取得する →よくある質問
WordPressは本質的に安全ではないのですか?
いいえ。WordPressコアは専任のセキュリティチームによって開発され、定期的にパッチが提供されています。WordPressのセキュリティインシデントの大多数は、古いプラグイン、弱いパスワード、そして不適切なホスティング構成によって引き起こされます — WordPress自体の脆弱性ではありません。適切に維持され、強化されている場合、WordPressは世界中の主要な企業、政府、ニュース組織によって使用される安全なプラットフォームです。
プラグインやテーマはどのくらいの頻度で更新すべきですか?
少なくとも週に一度更新をチェックし、24時間以内にセキュリティパッチを適用してください。メジャーバージョンの更新は互換性を確認するために数日待つことができますが、セキュリティリリースは直ちに適用するべきです。信頼できるプラグインには自動更新を有効にし、更新前には常に最近のバックアップを維持してください。
ホストからWAFを持っている場合、セキュリティプラグインは必要ですか?
はい。ホスティングレベルのWAFとWordPressセキュリティプラグインは補完的な機能を持っています。ホストのWAFはネットワークレベルでトラフィックをフィルタリングし、Wordfenceのようなプラグインはマルウェアスキャン、ログインセキュリティ、ファイル整合性監視などのアプリケーションレベルの保護を提供します。この組み合わせは、どちらか一方のソリューションよりもはるかに強力な層状防御を作り出します。
ログインURLを変更することはセキュリティに効果がありますか?
ログインURLを変更することは、自動化されたブルートフォース攻撃のノイズを減らすための有用な二次的対策です。しかし、それだけではブルートフォース保護としては不十分です。常にログイン試行制限、強力なパスワード、二要素認証と組み合わせて使用してください。決意のある攻撃者は、さまざまな列挙技術を通じてカスタムログインURLを発見することができます。
私のWordPressサイトがハッキングされたかどうかはどうやってわかりますか?
一般的な兆候には、予期しない管理者ユーザー、変更されたファイル、疑わしいリダイレクト、検索結果におけるスパムコンテンツ、Googleのブラックリスト警告、異常なサーバーリソース使用、新しいファイルがアップロードやプラグインディレクトリに存在することが含まれます。定期的なマルウェアスキャンとファイル整合性監視は、重大な損害を引き起こす前に侵害を早期に検出するのに役立ちます。
ハッキングを発見した後、すぐに何をすべきですか?
まず、すべてのパスワード(WordPress管理者、データベース、FTP、ホスティングパネル)を変更します。次に、サイトをオフラインにするか、メンテナンスモードにします。三番目に、マルウェアをスキャンして削除します。四番目に、すべてのソフトウェアを更新します。五番目に、ファイルやデータベースにバックドアがないか確認します。最後に、感染が広範囲にわたる場合は、クリーンバックアップから復元します。インシデント対応記録のためにすべてを文書化してください。
無料のセキュリティプラグインは保護に十分ですか?
無料のセキュリティプラグインは、基本的なファイアウォール、ログイン制限、定期的なマルウェアスキャンを含む基準レベルの保護を提供します。しかし、プレミアム版はリアルタイムの脅威インテリジェンス、高度なスキャン機能、優先サポート、国ブロックやリアルタイムIPブラックリストなどの機能を提供し、セキュリティ姿勢を大幅に改善します。ビジネスやeコマースサイトにとって、プレミアム投資は十分に正当化されます。
SSL/TLSはセキュリティにどのように役立ちますか?
SSL/TLSは、訪問者のブラウザとサーバー間で送信されるすべてのデータを暗号化します。これにより、攻撃者がログイン資格情報、支払い詳細、個人データなどの機密情報を中間者攻撃を通じて傍受することを防ぎます。HTTPSはまた、サーバーのアイデンティティを確認し、訪問者をサイトの偽バージョンにリダイレクトするDNSスプーフィング攻撃を防ぎます。
最も重要なwp-config.phpのセキュリティ設定は何ですか?
重要な設定には、ファイル編集の無効化(DISALLOW_FILE_EDIT)、ユニークな認証キーとソルトの使用、カスタムデータベーステーブルプレフィックスの設定、管理者用のSSL強制、最小限の権限で明示的なデータベース資格情報の定義、および本番環境用の適切なデバッグとエラーディスプレイ設定(WP_DEBUG false、display_errors off)が含まれます。
フルセキュリティ監査はどのくらいの頻度で実施すべきですか?
ビジネスウェブサイトやオンラインストアの場合、毎月包括的なセキュリティ監査を実施してください。個人ブログや低トラフィックサイトの場合、四半期ごとの監査で十分です。定期的な監査に加えて、セキュリティインシデント、大規模な更新、またはサイトへの重要な変更の後にアドホックレビューを実施してください。自動監視ツールは、手動監査の間に継続的な監視を提供できます。
