WordPressやプラグインをアップデートしてセキュリティを強化しよう

WordPressやプラグインをアップデートしてセキュリティを強化しよう 保守・セキュリティ対策

WordPressの本体やプラグインを、ずっと作った当時のままにしている…という企業さまは結構多いのではないでしょうか。

しかし、制作当初のバージョンのまま利用し続けていると、セキュリティホールや脆弱性が新たに見つかってもそのままになってしまい、不正ログインなどで攻撃されてしまうリスクが大きくなってしまいます。

一方で、安易にアップデートすると、Webサイトに思わぬ不具合が発生し、フォームが送信できなくなったり、記事の投稿ができなくなる可能性もゼロではありません。

何もなければ簡単にできるものの、何かあったときの対応やチェックに思わぬ時間がかかるため、制作会社でも積極的にバージョンアップを行わない傾向が強く、これがWordPressのセキュリティ低下の一つの要因になっています。

今日はそもそもアップデートしないと起こるリスク、安全にアップデートする方法と、適切なメンテナンス方法をご紹介します。

WordPressをアップデートしないと何が起こるのか

WordPressやプラグインは、頻繁にアップデートが繰り返されており、早ければ1ヶ月から、遅くとも年に1回は更新されているものがほとんどです。

機能性の向上やバグの修正なども多いのですが、最も重要なのがセキュリティ対策になります。

そもそも一般的なWebサイトは、構築時点で機能性は満たしているはずですので、機能向上という観点からアップデートする必要はほとんどありません。

一方で、古いWordPressやプラグインは、常にセキュリティリスクにさらされており、新たなリスクが見つかるごとに対策としてアップデートされているというのが実情です。

このため、適切にアップデートを繰り返していくことが重要になります。

ちなみにWordPressは全世界のサイトの約40%で利用されており、単純に利用ユーザーが圧倒的に多い故に攻撃にされやすいというリスクをはらんでいます。
参考:W3Techs https://w3techs.com/technologies/overview/content_management

安易なアップデートが不具合の原因になるケースも

プラグインは最新版にして、利用していないものは削除しよう

WordPressの本体やプラグインは、管理画面からワンクリックでアップデートすることができます。
最新のWordPressでは、プラグインのみですが「自動更新」という機能も登場し、そもそも手動でアップデートする必要もなくなってきました。
このため、アップデート作業自体は特に大きな手間はかかりません。

一方で、安易にアップデートをすると思わぬ不具合が発生するケースがあります。
特に深刻なケースは以下のようなものです。

  • 画面が真っ白になり、管理画面にもログインできなくなった
  • メールフォームの送信ができなくなった
  • TOPページは表示されるが、下層ページが表示されなくなった
  • 管理画面の記事投稿画面の仕様が変わって、使い方がよく分からない

これらは、WordPressのコアファイルやプラグインのアップデートによって起こりうる不具合の一例です。画面が表示されなくなるケースは稀ですが、すぐに気付くことができますので対応もしようがあります。

一方、フォームが正常に送信できないなどの不具合は、実際にテスト送信をしないと気づくことができず、深刻な不具合が露見しないまま長期間放置されてしまいかねません。

このため、プラソルではアップデート前後で次のような対応をすることをおすすめしています。

アップデート前
 データベースを含めバックアップを取っておく
アップデート後
 関連する機能の動作チェックをする

バックアップを取っておけば、万一深刻な不具合が発生しても元に戻すことができます。
また関連機能の動作チェックをすることは、不具合を発見するために重要になります。

適切なメンテナンス方法

アップデートを行うことは重要ですが、頻繁なアップデートに都度対応してチェックすることは手間もかかります。

メンテナンスとしては、半年に1回〜年1回などの期間を定めて、まとめてアップデートするとリスクを抑えながら効率的に対応することができます。

Webサイトの表示や機能そのものに影響のないプラグイン(管理画面内の利便性を高めるもの)については、自動更新をONにしてもよいでしょう。

また、本番環境の他にデモ環境を作成しておけば、そちらでアップデートしてチェック→問題なければ本番環境に反映といったフローを踏むことで、不具合の発生を抑えることができます。

手間ひまかかるメンテナンスですが、万一のセキュリティリスクを考えるとしっかりと対応しておくことをおすすめします。

なお、プラソルでは保守セキュリティ対策も行なっておりますので、興味がありましたらお気軽にお問い合わせください。

お問い合わせはこちら

こちらの記事もおすすめです

Webサイトのセキュリティ対策(WordPress編) | 大阪府のホームページ制作会社プラソル
最近Webサイトのセキュリティ対策について、ご相談をいただく機会が増えてきました。 特にWordPressで作られたサイトでは、以下のような事例があります。 ・気づかないうちに英語で書かれた謎の記事が大量に投稿されている ・迷惑メールが大量に届く ・ブラウザでサイトを開くと、セキュリティソフトが危険という警告を出す ・...
WordPressプラグイン「SiteGuard」でセキュリティ対策をしよう | 大阪府のホームページ制作会社プラソル
前回の記事で、WordPressのセキュリティ対策についてお話しましたが、今回はプラグインを使って手軽にセキュリティ対策ができる方法についてご紹介します。 その名も「SiteGuard」というプラグインです。 このプラグインを利用することで、WordPressの管理画面に対する攻撃に対しては、極めて堅牢な対処が可能にな...
今さら聞けないWebサイトのSSL化設定とは? | 大阪府のホームページ制作会社プラソル
SSL通信対応についてご存知でしょうか? 「最近名前は聞くけど、よくわからない。」 「対応した方がよいと言われたが、方法がわからなくて困っている」 という方もまだまだ多いかもしれません。 SSL通信は、簡単に言うとWebサイトの閲覧やフォーム送信などの通信を暗号化する仕組みのことです。 通信を SSL化することで次のよ...

 

 

]]>