PR

ホームページは作って終わりじゃない!WordPressに必要な保守とセキュリティ

ホームページ

前の記事で少し触れましたが、現代のホームページ運営は「作って終わり」という昔ながらのパターンから完全に外れています。

AIで何でも自分で作れる今こそ人間がやるべき作業を大事にしよう
最近はAIに指示するだけで簡単にWEBサイトやアプリが作れちゃいます。しかし、普通のアプリケーションなんかもそうですが、特にWordPressは脆弱性の塊です。知識なしに側だけ作って公開したらすぐに不正アクセスされます。SQLインジェクショ…

Webサイトは、公開後もしっかりと保守・管理を行わないと、いつ悪意のある攻撃者に脆弱性を突かれるかわかりません。
特に、世界中で圧倒的なシェアを誇るWordPressは、それゆえにターゲットにされやすく、脆弱性の代表格のように扱われることも多いため注意が必要です。

最低限やっておくべきWordPressのセキュリティ対策

WordPressサイトを守るため、まずは以下の基本的な対策を実施しましょう。

1. 不要なファイルの削除とアクセス制限

WordPressをインストールした直後に入っている license.txt や readme.html といったファイルには、コピーライト年数や推奨バージョン情報が記載されています。
WordPressはオープンソースのため、それらと照合することで攻撃者にヒントを与えてしまいます。

試しにWordPressで作られている個人サイトの末尾に /readme.html をつけてアクセスしてみてください。 その情報と以下のGitHubの情報を照合することで、最新版かどうか判別できてしまいます。

wordpress-develop/src at 7.0 · WordPress/wordpress-develop
WordPress Develop, Git-ified. Synced from git://develop.git.wordpress.org/, including branches and tags! This repository…

不要なファイルは削除するか、アクセス禁止(403 Forbidden)に設定しておきましょう。

【アクセス制限の手順(.htaccessを利用する場合)】 WordPressのインストールディレクトリにある .htaccess ファイルに、以下のコードを追記することで外部からのアクセスを遮断できます。

<FilesMatch "^(license\.txt|readme\.html)$">
    Require all denied
</FilesMatch>

※サーバー環境(Apacheのバージョンが古い場合など)によっては、代わりに Order allow,deny と Deny from all の記述が必要になることがあります。編集時は必ず事前に .htaccess のバックアップを取得してください。

2. 本体・テーマ・プラグインを常に最新状態に保つ

これが一番の基本です。古いバージョンのまま放置していると、既知の脆弱性を狙い撃ちされます。

実は、WordPressサイトが攻撃される原因の多くは、WordPress本体(コア)ではなくプラグインの脆弱性を突かれたことによるものです。
WordPressセキュリティで有名なWordfence社の調査レポートでも、サイトが侵害される原因の半数以上がプラグイン経由であることが指摘されています。

脆弱ランキング
https://www.wordfence.com/blog/2016/03/attackers-gain-access-wordpress-sites/
https://www.wordfence.com/blog/2016/03/attackers-gain-access-wordpress-sites

「便利だから」と多数のプラグインをインストールし、更新せずに放置するのは非常に危険です。使っていないプラグインは無効化するだけでなく完全に削除し、稼働中のプラグイン・テーマ・本体は定期的にアップデートして、常に最新のバージョンを維持してください。

3. WAFやセキュリティプラグインの導入

悪質なアクセスやログインの試行(ブルートフォース攻撃など)を防ぐために、サーバー側で提供されている WAF(Web Application Firewall) を有効にしましょう。
また、WordPress内でも「SiteGuard WP Plugin」などのセキュリティ系プラグインを導入し、ログインページのURL変更やログイン試行回数の制限などを行うと効果的です。

WordPress の安全性を高める
WordPress ではセキュリティを非常に重要なものと考えています。しかし、他のどんなシステムでも同様ですが…

結論:状況に合わせた保守と安全な運用を

「セキュリティ」と聞くと専門的な知識が必要で難しく感じるかもしれません。しかし、サイトの規模や性質に合わせたポイントを押さえることで、誰でも安全に運用することが可能です。

1. 個人サイトは「基本対策の徹底」が最大の防御

アクセス数がそれほど多くない個人サイトや小規模なブログであれば、高額なセキュリティサービスは必ずしも必要ありません。 

「本体・テーマ・プラグインを常に最新に保つ」 ことと、レンタルサーバー標準の 「WAFなどのディフェンス機能」 を有効にする。

この2点を徹底するだけで、自動化された攻撃プログラム(ボット)による無差別な攻撃の大半を防ぐことができます。日常の基本的なアップデート作業こそが最大の防御になります。

2. リスクを極限まで減らす「静的WEBサイト」という選択

今回の話の例外となるのが、HTML、CSSのみで構成された 静的WEBサイト です。
これらはデータベース(MySQLなど)を持たず、サーバー側で動くプログラム(PHPなど)も存在しないため、WordPressなどの動的サイトが抱える脆弱性のリスクを根本から排除できます。

「数年に一度しか更新しない」「絶対に改ざんされたくない」といった用途であれば、そもそもWordPressを使わずに静的サイトとして制作することも、極めて有効なセキュリティ対策の一つです。

3. ホームページは「作ってから」がスタート

ホームページはインターネット上における、あなたのビジネスや活動の大切な「顔」です。
万が一放置してサイトが乗っ取られたり改ざんされたりすると、訪問者を危険なサイトへ誘導してしまう「加害者」になるリスクすらあります。

ホームページは決して「作って終わり」ではありません。定期的なメンテナンスと保守を継続し、安全で信頼されるサイトを育てていきましょう。

コメント

タイトルとURLをコピーしました