WordPressの保守って必要なの?

セキュリティ

リスクの把握

WordPressでWEBサイトを構築すると、セキュリティが気になる方も多いかと思います。
実際に、WordPressは世界で最も利用されているCMSで、度々脆弱性が発見されます。そのためセキュリティ対策をしていないと「WEBサイトを乗っ取られた」、「WEBサイトが改ざんされてしまった」という事例は度々発生しています。

まずは、サイトの保守をしない場合、どのようなリスクが存在するのかを把握することが重要です。なぜならリスクを把握することで、対策の方向性も見えてきますし、それこそが保守の第一歩になるからです。

そこで、WordPressを利用する際に、想定されるリスクを大きく3パターン分けてみました。

WEBサイトの改ざん

WordPressの管理画面はWEB上に公開されています。
そのため、ユーザ名とパスワードが分かれば誰でも管理画面にログインすることができます。
管理画面にログインされてしまうと、WEBサイトを乗っ取られてしまったり、サイトの改ざんをされてしまう可能性があります。

WEBサイトの改ざんは管理画面からの不正アクセスからだけではなく、WordPressやプラグインの脆弱性をつかれてしまい攻撃させることもあります。
その場合、サイトが全て消されてしまうだけでなく、詐欺サイト等へのリンクが設置されてしまう可能性もあります。

重要情報の漏洩

特に個人情報を扱っているサイトでは、細心の注意が必要です。基本的に、個人情報などの重要な情報はサーバー内やデータベースに置かないようにしましょう。
それらが漏洩した場合、サイトを運営する企業の信用が大きく損なわれるだけでなく、補償問題に発展することも考えられます。
会員サイトなどで、個人情報を扱う場合にはセキュリティ対策がとても重要になってくるので、専門家への相談を検討した方がよいです。

迷惑メール等の踏み台にされる

WEBサイトが改ざんされることによって、他社を攻撃するプログラムが設置されることもあります。
その場合、一生懸命に構築したWEBサイトが他者を攻撃してしまい、社会的な責任を問われる可能性があります。

サイトが改ざんされ、踏み台にされてしまった場合、プログラムが色んな箇所に設置されている可能性があります。もし、突然、異常にトラフィックが増えた場合などは、踏み台にされているかもしれません。この場合も専門家へ相談を検討した方がよいです。

WordPressでの構築をやめた方がいいのか?

では、WordPressを利用する事はやめた方が良いのでしょうか?
一概にそうではありません。
どのCMSを利用しても脆弱性は発生します。WordPressの脆弱性の発見は他のCMSと比べると確かに多いですが、すぐに修正するプログラムをリリースします。そのため、適切に保守を実施していれば「WordPressはセキュリティ的には優れている」と見方をすることもありえます。

保守の方法

保守の方法は大きく分けて、「悪意のある攻撃に対する予防」と「攻撃を受けてしまった際の対策」になります。
対応を分けて考えておき、何をどこまで実施しているかを把握しておくことも重要です。

悪意のある攻撃に対する予防

WordPressとプラグインのアップデート

WordPressは脆弱性が発見されると、すぐに修正するプログラムをリリースします。
そのため、WordPressやプラグインのバージョンアップをしない状態運用を続けると大きな脆弱性を含んだサイト運用している事になります。そうならないために、定期的にバージョンアップを実施するようにしましょう。

ただし、WordPressやプラグインのバージョンを上げると、WEBサイトの表示が崩れるなどの不具合が起こる可能性があります。そのため、専門家にまかせるか、バックアップを取り、元の状態に戻せるような状態にして、作業をするようにしましょう。

その他のセキュリティ対策

以前、別の記事の最低限やっておくべきWordPressのセキュリティ対策でもまとめさせていただきました。
ただ、これだけやっておけば完璧という対策は存在しないので、どのようなリスクを下げるための、対策を実施しているのかを把握することがとても重要です。

攻撃を受けてしまった際への対策

定期的なバックアップ

定期的なバックアップは取っておくようにしましょう。
改ざんなどの攻撃を受けた場合、バックアップを取っておかないと、元の状態に戻すことができません。利用しているレンタルサーバーによっては無料でバックアップ機能が付いていることもありますので、一度確認して利用するようにしましょう。もし、利用しているサーバーにバックアップ機能が無い場合でも、プラグインでバックアップを取ることは可能です。その際、プラグインでのバックアップをサーバーに置かず、Dropboxなどに連携することをおすすめします。

死活監視

死活監視とはサイトが正常に動作しているかをチェックし、問題が発生した際に、通知が来るような仕組みです。死活監視のプラグイン(Jetpackプラグイン)などを活用しておくと、常にサイトを確認しない場合でも、サイトの異常を把握することができます。

まとめ

いかがだったでしょうか。
しっかりとサイトの保守を考える際は、WordPressの脆弱性だけでなくサーバーの保守なども考える必要があります。サイトの保守を考える際は、まずはどのようなリスクが存在し、それに対してどのような対策を行うかをしっかりと検討することが重要です。
ご自身で行える対策もあるので、しっかりと対策内容を把握し、WordPressの保守を実施してみましょう。

コメント

タイトルとURLをコピーしました