「WordPressサイトの保守、専門業者に頼むと費用がかかる…」
「更新通知は見るけど、なんだか怖くて後回しにしている…」
もし、あなたが少しでもこう感じているなら、この記事はきっとお役に立てるはずです。
WordPressサイトの運営は、作って終わりではなく、安全で快適な状態を保つための「メンテナンス(保守)」が不可欠です。
しかし、多くの人がその重要性を見過ごし(もしくは知らされていない。これ結構おおいです)、ある日突然「サイトが表示されない」「見知らぬページが増えている」といった悪夢のような事態に直面します。
この記事では、専門業者に頼らず、あなた自身の力で大切なサイトを守るための、具体的で実践的な保守について解説します。読み終える頃には、自信を持ってサイトの安全を守るための第一歩を踏み出せるようになっているはずです。
目次
もし保守をサボったら…? 運営者が凍りついた「ある朝の出来事」
WordPressサイトの保守は、「面倒だから」「たぶん大丈夫」という油断が、取り返しのつかない事態を引き起こします。
これは、保守を怠ったためにサイト運営者が経験した悲劇。決して他人事ではありません。
「プラグイン更新」放置の悲劇 〜サイトが改ざんされた日〜
制作は別業者様に依頼していたようなのですが、知らず知らずのうちに「OptinMonster」を導入していました。(ご本人曰く、インストールしたこと自体、身に覚えはないようでした)
WordPressの管理画面にそのプラグインの「更新してください」という通知が表示されていました。
「よく分からないな…。サイトは問題なく表示されてるし、とりあえず放っておこう…」
その通知を無視し続けました。
ちなみに、更新に関しても制作会社様からはなんの説明もなかったようです。
これがまぁ多いので弊社としても困っています…。なんでシステムつかってるのに説明しないんだろう…と。無責任すぎません?
【とある日の朝】
「サイトを見ようとしたら、サイトが表示されないのですが…」
慌ててサイトを確認すると確かに表示されていませんでした。
実際にサーバー会社への問い合わせ後、弊社で対応させていただいた時の途中のメール文面です。
弊社の調査でも実際にファイルの改ざんされている形跡を確認いたしました。
実際に改ざんされたサイトはかなり多かったようです。
1,000,000 Sites Affected by OptinMonster Vulnerabilities
https://www.wordfence.com/blog/2021/10/1000000-sites-affected-by-optinmonster-vulnerabilities
そもそもなんですが、このプラグイン入れる必要あったのか?と。
何故いれたのだろう….と思ってちょっとだけしらべてみると、All in One SEOをいれると一緒にインストールされるようで。(弊社では採用していません。YoastSEO派。そんな派閥あるのかわかりませんが..w)
おそらくインストールされた制作会社様もなんとなくだったように見受けられました。なんの設定もしていなかったので…。だったら入れるな!って話です。削除するなりしてあげてほしかった..。
もちろん、このような悲劇は、WordPressサイトを運営すれば誰もがすぐに直面する、というわけではありません。 運良く一度もトラブルに見舞われず、何年もサイトを運営できるケースもあるでしょう。
しかし、忘れてはならないのは、脆弱性を放置したサイトは、言わば「鍵のかかっていない家」と同じだということです。 いつ空き巣に狙われるかは運次第かもしれませんが、だからといって、家の鍵をかけずに出かけるという選択をする人はいませんよね。
これから解説する「保守」は、この「鍵をかける」という行為と同じ、あなたの大切なサイトという資産を守るための、最低限にして重要な習慣です。
【最重要】これだけは絶対に!自分でやるWordPress保守の「2大必須タスク」
ここでひとつ。非常に重要な心構えをお伝えします。
残念ながら、サイバーセキュリティの世界に「これをやれば100%絶対に防げる」という魔法は存在しません。どんなに頑丈な金庫でも、時間をかければ破られる可能性があるのと同じです。
しかし、だからといって対策を怠っていい理由にはなりません。
ほとんどの攻撃者は、無防備なサイトや、簡単に侵入できるサイトを無差別に狙っています。これからご紹介する2つの必須タスクは、あなたのサイトを「侵入が面倒な、守りの固いサイト」に変え、事故に遭う確率を劇的に減らすためのものです。
タスク1:命綱になる「バックアップ」
サイトが改ざんされても、操作ミスでデータを消してしまっても、バックアップさえあれば、サイトを正常な状態に戻せます。 これが、保守における何よりもの「命綱」です。
■ なぜ必要?
万が一の事態からの「復元」のため。これに尽きます。
■ どうやって? プラグインを使おう
- おすすめプラグイン: All-in-One WP Migration。定番プラグインです。スケジュールを組んで自動でバックアップを取ってくれるので、一度設定すればOK。有料にはなりますが、さほど高いとは考えていません。あくまでも弊社の価値基準です。他社に頼むか自分でやるかの違い程度かと。
All-in-one-wp-migration-Pro (年間サブスクリプションプラン契約が必要)
ちなみに、弊社の保守サービスも手動バックアップに加えて、毎日こちらのプラグインで弊社のDropboxにバックアップを作成するようにしています。(サービス料金に含まれます) - 契約しているサーバー会社がバックアップ機能を提供していれば、そちらを使うのもありです。
使い勝手はサーバー会社によると思いますので、ご契約されているサーバ会社のマニュアルをご参照ください
■ いつ・どこに?
- 頻度: 毎日でも良いくらいです。
- 保管場所: サーバーの中(同じ場所)だけでは不十分です。サーバー障害でサイトと一緒に消えてしまいます。Dropboxなど、外部のクラウドストレージに自動で保存するように設定しましょう。
タスク2:サイトを守る「アップデート」
管理画面の「更新通知」、見て見ぬフリをしていませんか?
アップデートは、機能追加のためだけでなく、発見された脆弱性(セキュリティの穴)を塞ぐために行われることも含まれています。
更新を怠ることは、家に「どうぞお入りください」と貼り紙をするのと同じくらい危険な行為です。
■ 対象は3つ
- WordPress本体(コア)
- プラグイン
- テーマ
これら3つすべてが対象です。
■ 安全なアップデート
「更新ボタンを押したらサイトが壊れた」という事故を防ぐため、必ず以下の手順を守ってください。
- 【最優先】必ずバックアップを取るアップデート直前に、必ず手動でバックアップを実行します。何かあっても、比較的に素早くアップデート前に戻せます。
- 一つずつ更新する。一度にすべてを更新すると、どれが原因で不具合が起きたか分かりづらくなります。一つ更新したらサイト表示を確認を繰り返しましょう。
- プラグインの更新が終わったら、テーマ、WordPress本体を更新します。(アップデート時に対応しているwordpressのバージョンなども確認しておいてくださいね)
【慣れてきたら挑戦】サイトを快適に保つためのメンテナンスリスト
必須の2大タスクに慣れてきたら、さらにサイトを快適にするためのメンテナンスにも挑戦してみましょう。これらは月に1回程度でOKです。
- セキュリティチェック:攻撃の「入口」を隠し、守りを固める
SiteGuard WP Plugin
国産で人気の高い総合セキュリティプラグインです。多くの機能がありますが、特に「ログインページ変更」機能は、導入したら必ず設定してください。
なぜログイン画面のURL変更がこれほど重要なのか?
WordPressのログイン画面のURL(wp-login.php)は、全世界で共通です。これは、いわば「すべての家の玄関が、同じ住所にある」ような状態です。 そのため、攻撃者はこの決まったURLに対して、プログラム(ボット)を使い、考えられるユーザー名とパスワードの組み合わせを何万回と試す「ブルートフォース攻撃(総当たり攻撃)」を常に仕掛けています。
ログイン画面のURLを変更することは、この「家の玄関を、自分しか知らない秘密の裏口に変えてしまう」ようなものです。攻撃ボットは攻撃の入口そのものを見つけられなくなるため、機械的なブルートフォース攻撃を回避することができ、非常にパフォーマンスの高い防御策となります。
実際に、セキュリティプラグイン「Wordfence Security」の脅威レポートでは、脆弱性を悪用する攻撃と並んで、認証情報(パスワードなど)を窃取しようとする攻撃が常に大多数を占めることが報告されています。 まずは攻撃者に侵入の「入口」を悟らせないことが、基本的な防御の第一歩と言えるでしょう。- WPS Hide Login
こちらも管理画面URLを変更するだけにはなりますが、後述のWordfence Securityと併用であればこちらでもよいかと。 - Wordfence Security
より包括的で強力な防御機能を備えています。
サイトへの不正なアクセスを検知・ブロックするファイアウォール(WAF)機能や、サイト内にマルウェア(ウイルス)が設置されていないかをスキャンする機能など、非常に高機能です。
また、2段階認証の設定もできます(別プラグインでやってもよいですが多すぎるのもどうかと思いますので)
スマホに Authenticator などのアプリをインストールする必要があります。
後日改めて解説予定です。
- データベースの最適化 / コメントスパムの削除
記事のリビジョン(編集履歴)や不要なデータが溜まると、サイトの動作が重くなります。WP-Optimizeなどのプラグインで定期的に掃除しましょう。
少し余談ですが Wordfence Security をインストールしていると、下図のようにどんな攻撃が来ていてブロックしているのか?もお知らせしてくれます。保守させていただいているサイトでは毎日必ずといっていいほど攻撃がきています。通知が来るたびに、念の為チェックしにまわります。
いやいや…最近多すぎでしょ…
自分でやる?プロに任せる?後悔しないための判断基準
ここまで読んで、「自分にもできそう!」と思った方も、「やっぱり大変そう…」と感じた方もいるでしょう。最後に、後悔しないための判断基準をご案内しておこうかと。ご参考まで。
【こんな人は「自分で保守」に挑戦してみよう!】
- 個人のブログや、小規模なビジネスサイトを運営している。
- 保守にかけられるコストを、とにかく抑えたい。
- サイトの仕組みを理解することに興味がある。
- トラブルが起きても、自分で調べて解決する時間と意欲がある。
【こんな人は「プロへの依頼」を検討しよう!】
- ECサイトなど、サイトが1時間でも停止すると大きな売上損失が出る。
- 顧客の個人情報など、絶対に漏洩してはならない情報を取り扱っている。
- 本業が忙しく、保守に時間を割くことが難しい。
- PCやWebの専門的な作業に強い苦手意識がある。
保守を外部に依頼する場合でも、今回解説した内容は知っておいて損はありません。業者さんが何をしてくれているのかを理解でき、より良い関係を築けるはずです。
最後に。
私たち(弊社)は、日々多くのWordPressサイトの保守・管理に携わっています。その専門家としての立場から、一つだけ確実にお伝えしたいことがあります。
それは、「WordPressは便利なWEBサイト制作ツールであると同時に、常にインターネットの脅威に晒されている『システム』である」という事実です。
* WordPressに限った話でもありません。システムが動作しているサイトはすべてこういった状態にあります。
その手軽さから忘れがちですが、皆様が運用しているのは、セキュリティ対策が必須の「システム」です。だからこそ、私たちのような専門サービスが存在するのですが、ご自身で管理される場合でも、「セキュリティをおろそかにしていい」という選択肢は、決して存在しないということだけは、ぜひ心に留めておいていただけますと幸いです。
最初の一歩は「バックアップ」から
WordPressの保守は、難しく考えすぎる必要はありません。
まずは、今日にでも、前述の内容を実施し、All-in-One WP Migrationなどのバックアッププラグインの設定をしてみることから始めてみませんか?
その小さな一歩が、あなたの大切なサイトを未来の脅威から守る堅実な手段の一つです。
保守に関するご相談・お問い合わせ
- 「もっと具体的な運用方法を知りたい」
- 「自社サイトに最適なアップデート管理を提案してほしい」
- 「保守管理の一部だけ外注したい」
保守プランのご提案、お見積り、ご質問など、下記フォームより承っております。