このページでは、WordPress向けサポートメニューを補足する内容として、WordPressセキュリティ対策の概要と、弊社のサービス内容について説明します。
- 1. WordPressセキュリティ対策の概要
- 1.1. 対策の必要性
- 1.2. 想定されるリスク
- 1.3. 脆弱性を調べる手段
- 2. 主なセキュリティ対策項目
- 2.1. コア・テーマ・プラグインの更新
- 2.2. プラグイン・テーマの厳選
- 2.3. 不正ログイン対策
- 2.4. 管理体制の整備
- 2.5. バックアップ体制の整備
- 2.6. WAF・サーバーのセキュリティ設定
- 3. 被害を受けた場合の対処法
- 4. WordPressセキュリティ対策サービスの内容|Webの相談所
- 4.1. 運用支援メニュー
- 4.1.1. セキュリティ診断
- 4.1.2. サイトの改ざんチェック
- 4.2. 保守メニュー
- 4.2.1. コア・プラグインのアップデート
- 4.2.2. バックアップ復元
- 5. WordPressセキュリティ対策費用の目安
- 6. Webの相談所へのご依頼について
- 6.1.1. ご依頼内容の確認
- 6.1.2. 弊社問い合わせフォームよりお問い合わせ
- 6.1.3. 弊社よりメールで詳しくお伺い・ご説明
- 6.1.4. 見積もり提出・ご検討
- 6.1.5. ご依頼
- 6.1.6. 契約書の取り交わし
- 6.1.7. 保守に着手
- 7. Webの相談所のメリット
WordPressセキュリティ対策の概要
セキュリティ対策の必要性や想定されるリスク、脆弱性を調べる手段など、WordPressを安全に管理するために知っておくべき情報をお伝えします。
対策の必要性
WordPressは次のような理由から、運用する際のセキュリティ対策が必須となっています。
- ソースが公開されている(オープンソース)
- 広く普及している
- プラグインは誰でも開発・公開できる
- プラグインの組み合わせでシステム構成が大きく変わる
- 制作会社の知識に格差がある
このように脆弱性が生じやすいシステム構造のため、セキュリティ対策を講じないで使用することは危険です。
WordPressの基本はブログ用CMSといえますが、プラグインを開発したり、既存のプラグインの組み合わせによって、どのようなWebアプリケーションにでも改変可能です。
たとえばECサイト用のCMSに転用できたり、CMSとは無関係な機能を持たせることもできてしまいます。
そのため、本体の設計では想定しないような拡張が行われ、安全性が損なわれる可能性があるのです。
また、簡単にサイトを構築することも、複雑にカスタマイズすることも可能で、セキュリティの知識の乏しい制作会社がサイト構築やプラグイン開発をしているケースもあります。
想定されるリスク
具体的に想定されるリスクとしては、次のことが挙げられます。
- 不正アクセス
- 情報漏洩
- 改ざんと悪用
- 攻撃の踏み台化
不正アクセスとは、意図的に管理者やユーザーになりすましてログインを試みたり、システムの脆弱性を突いてデータやファイルにアクセスする行為です。
その結果、情報が漏洩したり、サイトの内容が改ざん・悪用されたりします。
また、他のWebサイトに攻撃をするための踏み台として利用される場合もあり、自社が知らないうちに加害者にされるケースもあるのです。
脆弱性を調べる手段
WordPressサイトの脆弱性を調べるには、次のような手段があります。
- サイトヘルス
- 脆弱性診断
- 脆弱性情報データベース
- 脆弱性診断ツール
サイトヘルスはWordPressに標準で搭載されている機能で、「ツール」メニューから呼び出せます。簡易的な脆弱性診断です。
WordPressの脆弱性診断は、セキュリティを専門とする会社が提供するサービスで、主にサーバー環境を含むシステムのバージョンチェック、WordPress本体・プラグイン・テーマの既知脆弱性の有無、SSL設定やその他のセキュリティ不備などを総合的にチェックするものです。
脆弱性情報データベースとは、システムやソフトウェアの脆弱性に関する情報を収集・整理・公開するもので、日本ではJVNやJVN iPediaが代表的です。WordPressに特化した脆弱性情報としては、WPScanのデータベースも広く利用可能です。
脆弱性診断ツールとして代表的なものとして、WPScan(脆弱性スキャナー)やWordfence Security(プラグイン)、Sucuri Sitecheck(オンライン診断)などがあります。
主なセキュリティ対策項目
WordPressサイトのセキュリティ対策として、次の項目が挙げられます。
- コア・テーマ・プラグインの更新
- プラグイン・テーマの厳選
- 不正ログイン対策
- 管理体制の整備
- バックアップ体制の整備
- WAF・サーバーのセキュリティ設定
それぞれの概要を説明します。
コア・テーマ・プラグインの更新
WordPressのコア、テーマ、プラグインともに、新しいバージョンがリリースされた時点で更新を実施します。
自動更新に設定するとコアのマイナーバージョンの更新や、プラグイン、テーマの更新を自動的に完了できますが、バージョンや機能の不整合で問題が発生する可能性があります。
そのため、保守管理では通常、自動更新は行いません。
軽微なものではバックアップを取ってから手動で更新する場合があります。慎重に進める必要がある場合は、テスト環境で更新して問題がないことを確認したうえで、本番環境での更新を実施するというステップを踏みます。
プラグイン・テーマの厳選
プラグインやテーマは誰でも開発できるため、品質や安全性への対応レベルは開発者によって異なります。
利用者が多く、セキュリティ対策が信頼できるものを優先して選ぶ必要があります。
また、未使用のプラグインやテーマを削除することも、セキュリティ確保のうえで重要です。
定評のあるセキュリティ対策プラグインを導入することも効果的です。
不正ログイン対策
第三者が何らかの手段で取得したパスワードを使ってユーザーとしてログインすることを防ぐために、次のような対策があります。
- 複雑で長いログインパスワードを用いる
- 画像認証・二要素認証を用いる
- IPアドレス制限を行う
パスワードは、一般的に英字・数字・記号を組み合わせた15文字程度以上の複雑なパスワードが強固とされています。覚えにくいため、パスワード管理ツールを使用するのがよいでしょう。
さらに二要素認証を併用するのが近年の標準的な対策です。
利用ユーザーが固定IPアドレスの場合や、特定のサービスからのアクセスを拒否する場合は、IPアドレス制限も使えます。
国内向けのWebサイトの場合、海外のIPアドレスを制限するなどの措置も見られますが、検索エンジンや海外のクラウドツールも影響を受けるため、慎重な対応が必要です。
管理体制の整備
複数のユーザーが管理画面にアクセスできる場合、権限設定を適切に行う必要があります。
管理者権限は1名またはサブを含めて2名までとします。
「投稿のみ」「編集まで可能」など、必要最小限の操作が行えるように権限設定するのが基本です。
また、個人情報保護の観点から、ユーザーはニックネームを使用することも有効です。
バックアップ体制の整備
万が一、不正アクセスやシステムの不具合でデータを失ったり、内容が改ざんされたとしても、バックアップを保存していれば復旧できます。
ファイルやデータベースを定期的にバックアップして保管する体制を整えます。
プラグインを使用したバックアップも便利です。
確実にバックアップされることはもちろん、正しくリストア(復元)できることも確認しておく必要があります。
WAF・サーバーのセキュリティ設定
サーバー側での対策として、SSLやWAF(Web Application Firewall)の利用があります。近年はレンタルサーバーにおいて標準的に提供されているサービスです。
国外IPアドレスを制限する機能を持つサーバーもあります。
WordPressでは、追加CSSの更新など、WAFの制限のために動作しない場合があります。(SiteGuardのWAFで顕著)
一時的に解除したり、回避設定をして使用するなどの運用が必要です。
被害を受けた場合の対処法
不正アクセスとハッキングによる被害を受けた場合の対処は、概ね次のような手順で行います。
- セキュリティチェック
- 問題のあるコンテンツの削除
- パソコンなどローカル端末のチェック・データ削除
- 復旧作業
- 管理パスワードの再設定
- FTPやMySQLなどサーバーアカウントのパスワード再設定
バックアップを取っていれば復旧が可能で、現在のデータを削除してもコンテンツは守られます。
ただし、Webサイトと同じサーバー上にバックアップデータを保存している場合、同時に被害を受ける可能性があるため注意が必要です。別のサーバーやクラウドサービス、ローカルストレージなどへの保存が推奨されます。
WordPressセキュリティ対策サービスの内容|Webの相談所
弊社のセキュリティ対策サービスは、運用支援として行うメニューと、保守サービスとして行うメニューがあります。それぞれの内容は次のとおりです。
運用支援メニュー
セキュリティ診断
診断を希望される場合のオプションサービスで、次のような作業を実施します。
- オリジナルのテーマやプラグインのセキュリティチェック
- WordPress本体のセキュリティチェック
- サーバー設定の確認とセキュリティ対策設定の追加
「このまま継続してもセキュリティリスクがないか?」を確認する安心のサービスです。
サイトの改ざんチェック
第三者によるハッキングが疑われる場合に、WordPressサイトが改ざんされているか否かをチェックします。
現状のWebサイトのデータがバックアップと異なる点に着目してチェックを実施します。
運営者がバックアップを取っていない場合でも、WordPress公式のコアファイルや、インストールされているテーマ・プラグインのオリジナルデータと比較してのチェックが可能です。
保守メニュー
コア・プラグインのアップデート
WordPressコア・プラグインのアップデートを実施するサービスで、「スポット保守サービス」として提供しています。
公開が停止されているプラグイン等をご利用の場合は別の類似プラグインをご紹介します。
なお、下記に該当する場合は別途見積となります。
- 極端に古いPHPバージョンが利用されている
- 極端に古いWordPressバージョンである
- オリジナルテーマ・プラグインがある
- 大量の記事データ・画像データがある
アップデートされず放置されたWordPressサイトを不安なく最新の状態にしたい場合に、ご活用いただけます。
バックアップ復元
サイト改ざんや不具合による損傷など非常時に実施する復元作業で、定期保守サービスの「オプション」として実施するサービスです。
状況を確認・報告させていただいたうえで、最新バックアップを反映してWordPressサイトを復元します。
不具合の場合は、復元しても原因となった根本的な問題が解決しない場合があります。原因を調べて改善策を提案させていただく場合があります。
WordPressセキュリティ対策費用の目安
弊社のセキュリティ対策の料金は「WordPress向けサポートメニュー」でも個別にご案内していますが、こちらの表にまとめて記載します。
| 対策メニュー | 料金、および費用の目安 |
| セキュリティ診断 | 100,000円(税抜)~/1回 |
| サイトの改ざんチェック | 100,000円(税抜)~/1回 |
| コア・プラグインのアップデート(スポット保守) | 100,000円(税抜)〜/1回 |
| バックアップ復元(保守サービスのオプション) | 50,000円(税抜)〜/1回 |
Webの相談所へのご依頼について
Webの相談所にセキュリティ対策を依頼される場合のステップです。
ご依頼内容の確認
お問い合わせの前に、セキュリティに関する問題点や課題をご確認ください。
弊社問い合わせフォームよりお問い合わせ
弊社問い合わせフォーム よりお問い合わせください。
弊社よりメールで詳しくお伺い・ご説明
弊社よりメールにて詳しく内容をお伺いし、必要な説明をさせていただきます。
見積もり提出・ご検討
弊社がご依頼内容を把握しましたら、見積もりを作成して提出いたします。
ご不明な点がありましたら遠慮なくお問い合わせください。
ご依頼
お見積もりに納得いただけましたら、正式にご依頼ください。
契約書の取り交わし
契約書を送付しますので、取り交わしをお願いいたします。
保守に着手
契約完了次第、対策に着手いたします。
Webの相談所のメリット
Webの相談所はWordPressコミュニティに長く関わるメンバーが運営しています。
WordPressのコミュニティ運営・WordPressコア・プラグインへのコントリビュート(貢献)・フォーラムへの回答などの経験を豊富に持つスタッフが対応いたします。
Webに関するさまざまなご相談から保守・制作のご依頼まで、ご相談に応じた柔軟なサービスを展開しています。
ご相談ください
CONTACT
\
いつでもお気軽に
ご相談ください
/
Webの相談所は、Webのさまざまな
「?」を解決します。
ウェブサイトを作りたい」から
「ウェブサイトの調子が悪い」まで、
どんな些細なことでもまずは気軽ご相談ください。
お電話でのお問い合わせ
050-5052-1488
受付時間 9:00-18:00
[ 土・日・祝日除く ]
※MW WP Formに関するお問い合わせは電話では一切受け付けておりません。
公式サイトよりご連絡ください。