WordPressの不正アクセス、脆弱性を突いた攻撃、乗っ取りや改ざんなのどの被害が相次ぎますが、どうしてWordPressが狙われるのか、その対策は何かをまとめてみます。
WordPressを狙うのは効率がいい
世の中の半分以上のウェブサイトがCMS(コンテンツ・マネージメント・システム)で校正されたサイトになり、そのCMSの中でもWordPressは30%を超える大きなシェアを持っています。
悪意を持った行為をするなら対象が多く、システムに関する情報量が多い方が効率がいいというわけで、普及率の高いWordPressは狙われやすいのです。
また、普及率が高いと、管理不十分なWordPressサイトの存在も多く存在しますので、そういったサイトは格好のターゲットとなるわけです。
公開後ほとんど更新していないサイトもありますが、こういったサイトはメンテナンスも行っていないケースが大半なので、サイトを見ただけで、狙いやすいサイトだとわかってしまいます。
サイトの作りや内容から「これはお店や会社のスタッフが自前で作ったな。」とわかるものもありますが、この手のサイトも運用する側の知識不足(=危機管理の意識がない)で管理が甘々だったりするパターンが多いです。
これだけはやっておきたいWordPressの運用管理
「WordPressサイトは狙われやすい。」という意識を持ち安全に運用をしていくために、これだけはやっておきたいという対策があります。
WordPress本体のアップデート
WordPress本体のアップデートは最大のセキュリティ対策です。
常に最新のWordPressで運用するよう心がけましょう。
プラグインやテーマのアップデート
WordPressにインストールしているプラグインやテーマも最新バージョンを使うようにします。
プラグインはダッシュボードで確認してアップデートできますが、テーマは公式テーマ以外の場合ダッシュボードでは確認できないので、テーマの配布元を定期的に確認し、新しいバージョンがあったらアップデートするようにします。
レンタルサーバーのプログラムアップデート
WordPressをインストールしているレンタルサーバーで使用するプログラムのアップデートも忘れてはいけません。
WordPressを動作させるにはレンタルサーバーのMySQL(データベース)とPHPというプログラムが必要です。
MySQLはレンタルサーバ側でアップデートしていきますが、PHPは新しいバージョンが提供されても、ユーザー側で切り替えなければ新しいバージョンは使用できません。
契約しているレンタルサーバーからのお知らせメールをきちんと確認したり、定期的にレンタルサーバーの管理画面にアクセスして状況を確認しながら、レンタルサーバーのプログラムも最新のものを使うようにしましょう。
ブログ上の表示名はニックネームにする
テーマによっては記事の投稿者名が表示されますが、初期設定のままだと投稿者名はダッシュボードにログインする際のユーザー名になります。
この状態だとログイン名を晒していることになってしまうので、投稿者名をユーザー名から変更します。
ダッシュボードのユーザーメニューでニックネームを設定し、ブログ上の表示名をユーザー名ではなくニックネームに変更します。姓名を記入している場合はそちらでもOK。ユーザー名でない表示にすることがポイントです。
まとめ
WordPressサイトの運用は、記事やページの更新やメンテナンスだけでなく、CMSのメンテナンスも欠かせない作業です。
これがきちんとできないサイトは、悪意を持った攻撃の被害にあう可能性が高くなります。
乗っ取り等ではありませんでしたが、メンテナンスをせず古いままの状態で公開していたため、表示等に不具合が出てユーザーからクレームが入る、クレームが入ったことさえ気づかずに対応が遅れ炎上、結果運用に嫌気が差してサイトを閉鎖・・・という顛末をみた経験があります。
これはすべて運用側の怠慢から発生したトラブルでしたが、いい加減な気持ちで運用しているとこういったことも起きることがある、ということです。
ウェブ担当者さん、オーナーさんは、WordPressのシステムに関わるメンテナンスも忘れずに実施するようにしましょう。
