保守

人気記事

新着記事

  • 詳細解説 サイバー攻撃 種類

    2024.01.23 WEB制作

    サイバー攻撃の種類をカテゴリごとに分かりやすく解説!
    サイバー攻撃は企業・個人どちらにとっても非常に危険です。被害を受けた側が損害賠償などの金銭的リスクを負う場合もあるため、事前の対策が重要になってきます。しかし、「サイバー攻撃」といっても多様な種類が存在することはご存知でしょうか?「~攻撃」とつくものは全てサイバー攻撃の一種とひとくくりにされがちなので、全容を一気に理解するのは少し難しいかもしれません。セキュリティ対策をするのであれば、まずはサイバー攻撃の種類を把握しておきましょう。同じサイバー攻撃に分類される用語でも、攻撃に使うソフトウェアを指す場合や攻撃手法を指す場合などさまざまです。今回はサイバー攻撃の種類をカテゴリごとに分類して分かりやすく解説します。1.サイバー攻撃とはサイバー攻撃とは、ネットワークを通じた悪意のある攻撃全般を指します。故意にサイトをダウンさせる、改ざんする個人情報を不正に入手するマルウェアを送り込む攻撃の幅は非常に広く、かつ日々新たな手口が生まれるため完璧に対策することは困難です。かつては嫌がらせや遊び半分の個人による攻撃がほとんどでしたが、現在では個人情報の売買や金銭の詐取を目的とした計画的な犯行が増加しており、手口も年々複雑化しています。2.マルウェア攻撃の種類マルウェアはネットワークを通じて攻撃するソフトウェアの総称です。つまり、「マルウェア攻撃」は悪意あるソフトウェアを利用したサイバー攻撃全般を指します。マルウェアについての網羅的な情報は「Webサイトのマルウェア対策はどうすべき?対策から対処法まで徹底解説」で取り扱っていますので、ぜひ参考にしてください。この記事では特に「マルウェア攻撃」に該当するいくつかのサイバー攻撃について解説します。ランサムウェア攻撃ランサムウェアはマルウェアの一種で、身代金を要求するプログラムが組み込まれているマルウェアを指します。「ランサムウェア攻撃」はメールなどを用いてランサムウェアを仕込み、利用者から金銭を脅し取ろうとする攻撃を意味する言葉です。ルートキット攻撃キーロガー、バックドアなど複数のマルウェアを集めたパッケージ、つまり集合体のことをルートキットと呼びます。ルートキット攻撃の厄介な点は、存在を隠蔽する機能を持つプログラムが含まれるパターンが多いことです。不正な侵入を検知するマルウェア対策ソフトであっても検出が難しいことで知られています。3.ターゲットによるサイバー攻撃の分類サイバー攻撃は当初、無差別に攻撃を仕掛ける「ばらまき型」が主流でしたが、近年ではあらかじめターゲットを決めてから攻撃を行う「標的型」の形を取ることも増えてきたようです。ターゲットによって種類分けする方法も頭に入れておきましょう。ばらまき型攻撃(無差別型攻撃)ターゲットを定めず無差別に攻撃を行う手法のこと。有名な企業から「重大なトラブルが発生しました。ログインしてください」などと記されたメールを受け取った経験はないでしょうか。「使ったことがないサイトからメールが届く」「こちらの名前が書かれていない」などの特徴があればばらまき型攻撃にあたります。成功率は低いものの、大量に送るとそのうちの何人かは引っかかる人が出てくる手口です。標的型攻撃機密情報を盗み取ることなどを目的として、特定の個人や組織を狙った攻撃のこと。近年増加傾向にあります。取引先になりすましたり、業務関連のメールを装ったりするため、ばらまき型よりも気づかれにくいのが特徴です。先ほどの例でいえば、メールにあなた個人の名前や実際の取引先の名前などが書いてあったらどうでしょうか。登録した覚えのないサイトからメールがくるよりも信ぴょう性が高くなることが分かると思います。ターゲットを絞ることで攻撃の成功率を高める手口です。[word_balloon id="2" size="M" position="L" radius="true" name="" balloon="talk" balloon_shadow="true"]同じメールを10ヶ所以上に送る攻撃を「ばらまき型」の標的型メール攻撃と呼ぶこともあるなど、正確な区分はあいまいです。[/word_balloon]APT攻撃(高度標的型攻撃)APT攻撃は標的型攻撃の一種。ターゲットの調査などの準備から攻撃の実施までが特に慎重で長期間にわたって行われるものを指すことが多く、国家へのサイバー攻撃などもAPT攻撃に含まれます。日本で起きた大規模なAPT攻撃の被害例として挙げられるのは、2015年に起こった日本年金機構の情報漏洩事件※です。職員100名以上に標的型メールを送信し、添付ファイルに仕込まれたマルウェアが原因で125万件もの個人情報が流出するという大規模な被害が発生しました。サプライチェーン攻撃サプライチェーン攻撃は関連企業、子会社、取引先などのサプライチェーンへの攻撃を経由して標的となる企業へ侵入する手口のサイバー攻撃です。セキュリティがしっかりしている会社でもサプライチェーンからの情報漏えいで被害を受けるパターンがあるため、自社の情報を所持している他社のセキュリティ対策についても普段から確認しておきましょう。4.フィッシング攻撃の種類フィッシング攻撃とは、悪意あるサイトやファイルにユーザーを誘導する手口のことです。個人情報の窃取、もしくはマルウェアへの感染を目的としたサイトへの誘導・改ざんフィッシングサイトへの誘導リンクやマルウェアを含む添付ファイルを送付するフィッシングメールの送付などがフィッシング攻撃に含まれます。個人情報を利用して金銭をだまし取ることや、マルウェアに感染させて別の攻撃の踏み台にすることなどがフィッシング攻撃の目的です。標的型のフィッシング攻撃「フィッシング攻撃」と単に呼称する場合は一般的に不特定多数のユーザーを対象にしたばらまき型の攻撃手法を指しますが、以下のように特定の個人や団体を標的にしたフィッシング攻撃が近年増加しています。スピアフィッシング攻撃企業・組織の従業員など特定の個人を対象にした標的型フィッシング攻撃のこと。先ほどご紹介した日本年金機構の事例もスピアフィッシングにあたります。一般的なフィッシング攻撃よりも見分けがつきづらく、近年増加中の悪質な手口です。水飲み場攻撃攻撃対象が日頃からアクセスするWebサイトを改ざんし、閲覧するだけでマルウェアに感染させる標的型攻撃の一種が「水飲み場攻撃」です。例えば攻撃対象の業界が「インフラ」だった場合、インフラに関わるサイトに不正アクセスし、閲覧するだけでマルウェアに感染させるよう改ざんします。いつものサイトに訪れるだけで被害を受けてしまうため、対策が難しいことで知られています。マルバタイジング攻撃マルバダイジング攻撃は、オンライン広告のリンク先にマルウェアを仕込んで感染させる攻撃手法です。広告は通常のリンクより信頼度が高く誤ってクリックしやすい位置にあることも多いので、普段からの対策に気をつけなければいけません。5.Webサービスを利用したサイバー攻撃の種類Webを利用したサービス・ツールは内部のシステムに影響を及ぼすサイバー攻撃にさらされるリスクを常に負っています。特にHTMLなどを用いて個人や企業で制作したWebサイトは自分で脆弱性を発見・修正する必要があるため、どこかにセキュリティホールが潜んでいるリスクが高まります。もちろんWordPressなどで作ったサイトも対策を怠るとサイバー攻撃を受けやすくなるので注意が必要です。どのような攻撃が考えられるのか、あらかじめ知っておきましょう。脆弱性を利用した攻撃まず想定されるのは、ソフトウェアに生じた脆弱性を悪用したサイバー攻撃です。ソフトウェアを開発するのも人間ですから、どこかにセキュリティ的な穴が生じる可能性は十分に考えられます。その穴を突いて内部のシステムに侵入する手法を何種類かご紹介します。ゼロデイ攻撃ソフトウェアに脆弱性が見つかった場合、通常はアップデートなどを通じて開発元から修正パッチが配布されます。この修正パッチが公開される前に脆弱性を突く攻撃をゼロデイ攻撃と呼びます。修正プログラムが提供される前の攻撃なので、ゼロデイ攻撃が行われた場合は利用者側で予防対策を取るのが格段に難しくなります。バッファオーバーフロー攻撃サーバーやパソコンが想定するより大きな値を書き込むことで内部のシステムにバグを起こし、情報を不正に上書きする攻撃です。SQLインジェクション攻撃SQLとは、サーバーなどにあるデータベースを操作するための言語のことです。このSQLを利用して不正なコードをデータベースに送り、内部情報の窃取やデータの改ざんなどを行います。XSS(クロスサイト・スクリプティング)攻撃サイトの脆弱性を利用して悪意あるコードをページに埋め込む攻撃のこと。本来のページを閲覧するためにやってきたユーザーに、個人情報を不正に送信するなどのスクリプト(指示)を実行させます。なりすまし・不正ログインを利用した攻撃システムに脆弱性がなくとも、人為的なセキュリティホールを突く、過去の漏えいデータを悪用するなどしてなりすましや不正ログインをする攻撃パターンもあります。パスワードリスト攻撃別の攻撃で得たパスワード情報を利用して、他のサービスへ不正にログインしようとすること。同一のIDとパスワードを使いまわしている人は一定数いますが、パスワードリスト攻撃の被害に遭いやすくなるため避けた方がよいでしょう。ブルートフォース攻撃ブルートフォースは日本語で「総当たり攻撃」と訳します。考えうるパスワードの文字列を手当たり次第に入力し、不正ログインを試みる攻撃方法です。リバースブルートフォース攻撃ブルートフォースのリバース(逆)、つまりパスワードを固定してIDを手当たり次第に入力する攻撃手法です。IDを固定にしてパスワードをひたすら入力すると、不正アクセス防止のために一時ロックがかかってしまうサイトは数多くあります。しかし、毎回IDを変更してログインを試みるリバースブルートフォース攻撃はロックがかからないため、無限に試行作業ができるという攻撃者にとってのメリットがあります。DoS攻撃・DDoS攻撃DoS攻撃は、単一のコンピューターからウェブサイトやサーバーに対して過剰なアクセスやデータを送付するサイバー攻撃です。また、複数のコンピューターを用いた同様の攻撃をDDoS攻撃と呼びます。DoS攻撃は攻撃を行う端末からのアクセスを遮断すればいいため比較的対策が容易ですが、複数の端末を用いるDDoS攻撃は全ての攻撃端末を検知するのが難しいのが特徴です。DoS攻撃もDDoS攻撃もサーバーを落とすための攻撃なので、それ自体は個人情報を盗んだりマルウェアを仕込んだりする効果はありません。しかし、他のサイバー攻撃を行うための目くらましとして使用される場合も多くあります。6.まとめサイバー攻撃は非常に多くの種類があり、攻撃に用いられるソフトウェアを指す「マルウェア攻撃」から脆弱性を突いた手口まで、さまざまな切り口で分類することが可能です。特にWebサイトの脆弱性を悪用したサイバー攻撃は、運用初心者の対策ではセキュリティが万全でないことが多々あります。「自社サイトのセキュリティが不安…」という方は、一度Webサイトのセキュリティ診断を受けてみることをおすすめします。くわしくはお問い合わせください。>>>無料セキュリティ診断はこちらから<<<※日本年金機構+「日本年金機構における不正アクセスによる情報流出事案について」

  • 2024.01.18 WEB制作

    Webサイトのマルウェア対策はどうすべき?対策から対処法まで徹底解説
    この数年でマルウェアの感染被害は急激に拡大しており、大きな損害につながった企業も少なくありません。Webサイト運営にマルウェア対策は必須といえるでしょう。マルウェア対策は、想定される被害と感染経路を把握して早めに対処することが重要です。この記事ではWebサイトのマルウェア被害や対策について詳しく解説します。感染したときの対処法も合わせてご紹介するので、ぜひご活用ください。1.Webサイトでよくあるマルウェア被害マルウェア対策の第一歩は、どのような被害があるのか把握することから始めましょう。Webサイトのマルウェア感染では主に以下のような被害が報告されています。PCの動作や起動の異常覚えのないメール送信やポップアップ表示データの消失・改ざん・破壊機密情報の流出・悪用他のPCやシステムへの感染拡大 などこれらは業務の妨げになることはもちろん、個人情報や顧客情報の漏洩ともなれば社会的信用を失う恐れもあります。さらに、復旧作業や賠償問題で大きな損失が出るケースも想定できます。そういった被害が出る前に、感染しにくい体制を整え、万一感染した場合は被害を最小限にとどめる準備をしておくことが大切です。2.Webサイトに必要なマルウェア対策とはwebサイトのマルウェア対策は感染経路をできる限り減らすことと、侵入をいち早く察知する監視が基本です。以下のような複数の対策を同時に実行しましょう。サーバーのセキュリティポリシーの確認利用するサーバーがマルウェアに感染し、そこから侵入される恐れがあります。特に安価で誰もがアクセスできるクラウドサーバーやレンタルサーバーは狙われやすいため、事前にセキュリティポリシーをよく確認しましょう。OSやアプリケーションの更新OSやアプリケーションを最新バージョンに更新すると脆弱性が改善できます。日々新しくなるマルウェアに対抗するには、その対策が盛り込まれた最新プログラムが必要です。更新されたらなるべく早く適用しましょう。不要なアプリやサービスの削除サーバー上に脆弱性が残る古いサービスやアプリを放置していると、そこからマルウェアに侵入されることがあります。定期的に使用状況を確認して不要なものは削除しましょう。アカウント管理の徹底誘導や乗っ取りの窓口になりやすいアカウントはアクセス制限を設けて管理を徹底します。特に不特定多数のアカウントを受け付けるタイプのWebサイトはリスクが高いため対処は必須です。また、テスト配信などのアカウントも忘れずに削除しましょう。アクセス制限の設置Webサイトの設定情報や個人情報、非公開ファイルをのぞかれる事例も増えています。重要な情報のファイルやディレクトリへは、インターネットから侵入できないようにアクセス制限をかけましょう。サーバーログの確認と保管不審な動きをいち早く発見するためにサーバーログを定期的に確認するのも重要です。Webサイトへのアクセスやアプリケーションの挙動、データベース操作などのログを取得し、保管しておきましょう。異常があった際の原因究明にも役立ちます。セキュリティ対策ツールの導入手作業でのマルウェア対策には限界があります。自社サイトに適したセキュリティ対策ツールを導入しましょう。Webサイトの脆弱性検査、侵入防止、侵入や攻撃状況の把握、ソフトウェアによってはマルウェアの駆除まで可能です。社内ルールの構築と周知徹底マルウェアは何気なく持ち込んだUSBやメールの1クリックからでも入り込みます。マルウェア対策は社内ルールとして、すべての従業員に周知徹底できる体制づくりが大切です。社内でセキュリティルールを設定する際のポイントは「【社内向け】セキュリティ意識を高めるルールの策定方法を解説」にて解説していますので、そちらも3.マルウェア対策は感染時の対処法まで考えるいくら対策をとってもマルウェアを完全に防ぐのは難しいものです。マルウェア対策は、感染した場合を想定して最小限の被害に抑える対処法まで考えて備えましょう。マルウェアに感染した際は以下の手順で対処します。<マルウェア感染時の対処法>感染したPCをネットワークから遮断感染したサービスの停止セキュリティベンダーへの分析依頼感染経路の特定すべてのPCのマルウェア駆除または初期化感染拡大を防ぐには「ネットワークからの遮断」のスピードがカギを握ります。感染時の対処法は対策と合わせて全社員に周知しておくと安心です。また、マルウェアの分析や経路特定、駆除などは専門知識が必要な場合もあります。早い段階でセキュリティ担当者やベンダーに連絡し、対応を依頼しましょう。4.Webサイトのマルウェア対策は保守サービスが便利日々進化するマルウェアに万全に備えるのは、よほど詳しい担当者でないと難しいのが現状です。また、他の業務と並行しながら十分な対策をとるのは難しいという担当者も多いと思います。Webサイトの保守は外注でプロに任せるのもひとつの方法です。保守サービスは高いと思われがちですが、実際のメリットや費用をみてみると十分検討の余地があると分かります。マルウェア対策を外注するメリット専門知識がなくても常に最新の対策がとれる定期的に脆弱性をチェックできるマルウェア感染時の特定や対処を任せられるコンテンツ管理やSEO対策も同時に行える対策コストの削減につながる保守サービスはマルウェア対策を万全にするだけでなく、感染時はシステム関連の対応をすべて任せられるため、Web担当者は社内や顧客の対応に集中し、より早い復旧が可能になります。保守サービスの費用は月額3万円程度からです。業務委託による担当者の業務効率アップや自社で感染に対処する場合の復旧コストを考えると、コストパフォーマンスは決して悪くありません。保守サービスの内容と費用の例月額費用と初期費用のバランスやサービス内容に各社特徴があるため、自社の運用方法や予算に適したプランを選びましょう。各社に共通する保守サービスの内容は、コアアップデート・バックアップからの復元・検証環境・脆弱性スキャン・メールサポートの5つですが、より手厚い保守を受けたい場合は株式会社ECマーケティング「WordPressまるごとおまかせ」保守サービスがおすすめです。5.まとめWebサイトのマルウェア被害は年々増加しており、対策は必須です。情報の漏洩や改ざん、消失など大きな損失や信用の失墜につながるリスクにしっかりと備えましょう。ただし、サイトのマルウェア対策は、OSやアプリの更新、アカウント管理、アクセス制限、サーバーのセキュリティ確認やログの保管など多岐にわたります。また感染時に備えて、対処法まで含めた社内ルールを構築し、周知する必要もあります。専門的な知識や膨大な作業を必要とするサイトの保守は外注するのも一つの手です。常に万全な対策がとれる上、コストパフォーマンスも悪くありません。この機会にぜひ検討してみてはいかがでしょうか?

  • 2024.01.18 WEB制作

    マルウェア感染はオフラインでも起こる!感染経路と有効な対策とは
    世間でマルウェア感染が騒がれるなか、「うちはオフラインだから大丈夫」と安心していませんか?実はオフライン環境でマルウェア被害を受けた事例はいくつもあり、決して安全とはいえないのです。この記事では、オフライン環境でのマルウェア感染経路と有効な対策について解説します。重要な情報を扱うからこそのオフラインです。油断せずしっかりと対策していきましょう。1.オフライン環境こそマルウェア対策が重要マルウェア感染といえばインターネットからの侵入。オフライン(クローズド)環境ではマルウェア感染は起こらないと考えている人は少なくありません。しかし実際は、オフライン環境でのマルウェア感染はいくつも発生しています。マルウェアの侵入経路はインターネットだけとは限らないからです。例えば、持ち込んだUSBの接続や新たなソフトのインストール、従業員のスマホから感染した事例もあります。システムのアップデートのために一時的にネット接続したタイミングで侵入されたというケースも報告されています。さらに、オフライン環境ではインターネットを介した自動更新ができないため、セキュリティソフトが脆弱になっているケースも多くみられます。このように、オフライン環境はマルウェアに対して決して万全ではなく、少しの油断が感染を招きます。重要な情報を置くオフライン環境こそ、しっかりとしたマルウェア対策が重要です。>>>マルウェア対策について詳しくはこちらから<<<2.オフライン環境でのマルウェア感染経路インターネットにつながっていないオフライン環境では、どのようにマルウェアに感染するのでしょうか?主な感染経路をご紹介します。外部のUSBメモリやHDマルウェアに感染したUSBメモリやHDを持ち込み、パソコンに接続したことで内部システム全体に感染が広がるケース。シンプルな方法で最も報告件数が多い事例です。ソフトウェアのインストールシステムに必要なソフトウェアのインストールやアップデートで、一時的にインターネットにつながったことが原因で感染した例も多いようです。避けられない作業なだけに狙われやすいのでしょう。機器メンテナンス用の保守端末機器のメンテナンスのために持ち込まれた保守端末から機器に感染する事例もあります。メンテナンス業者は企業としての信頼性はもちろん、デバイスの管理状態まで確認するといいでしょう。すでに感染した製品の導入新たに導入した製品が製造元でマルウェアに感染しており、その製品を接続したため自社にも感染が広がった事例もあります。感染原因が外部にあるため防ぐことは難しいでしょう。ポータブルWi-Fiやスマホ従業員が持ち込んだポータブルWi-Fiやスマホのテザリング機能で、一時的に内部パソコンがインターネットに接続されてしまい感染することもあります。ソーシャルエンジニアリングソーシャルエンジニアリングとは悪意ある人間によって不正アクセスを図られることです。攻撃者が関係者を装って入り込み感染デバイスを接続する、内部の人間にUSBを拾わせてアクセスさせるなど様々な手法があります。3.オフライン環境で有効なマルウェア対策オフライン環境では通常のセキュリティとは違う視点でのマルウェア対策も必要です。以下の対策を心がけましょう。オフライン用のセキュリティソフトを使う必ずオフライン用のセキュリティソフトを使いましょう。オンライン環境からオフライン環境にファイルを転送する前に解析して感染を防ぐ、持ち込みデバイスの接続を管理・防止する、ネットワーク監視や脆弱性悪用の防御など、オフライン環境の保守に特化した機能が搭載されています。更新プログラムはすぐに適用する進化が早いマルウェアの対策には脆弱性を修正した最新のプログラムが有効です。ベンダーから更新プログラム届いたら、すぐに適用しましょう。外部端末の持ち込みを制限・監視する感染源となりえる端末の持ち込みは、ガイドラインや運用ルールを設けます。持ち込みが必要な場合は、事前のセキュリティ対策ソフトのインストールやウイルス解析を義務付けるといいでしょう。ベンダーの持ち込みや通信回線に対しても同様です。周辺機器にまで気を配るカメラ、プリンター、スマートスピーカーなど思いがけない周辺機器がインターネットを利用している場合もあります。完全なオフライン製品か改めて確認し、端末には必ずセキュリティソフトを入れましょう。従業員の行動管理を徹底する従業員による情報漏洩や感染を防ぐために、危機意識や行動ルールの周知徹底も欠かせません。セキュリティ製品のネットワーク監視や脆弱性の悪用防止機能を活用するのもおすすめです。>>>社内のセキュリティルールについて詳しくはこちらから<<<4.マルウェア対策は感染時の対処と復旧策まで考える常に進化を続けるマルウェアは、オフライン環境でさらに対策をとったとしても、完全に防ぐことは難しいといわれています。マルウェア対策は、防止策と同時に感染した場合の被害を最小限にする対処法と復旧策まで考えておくことが重要です。ただし、攻撃の入口となりえるデバイスの監視体制、異常が起こったデバイスと他所の切り離し方法、早急に復旧できるバックアップ体制まで整えるとなると、それにかかる知識と手間は大変なものです。自社に専門の担当がいない場合は、オフライン環境のセキュリティに詳しい外部の保守サポートに依頼するのも方法のひとつです。最新の知識で有効な対策をとれるだけでなく、感染が起こったときの復旧サポートまでしてくれる会社もあります。サービス内容に応じて費用は様々あり、業界特化型など選択肢も豊富です。重要なシステムや情報が感染した場合のコストや手間まで考えて検討してみましょう。5.まとめオフラインでのマルウェア感染事例は多数報告されており、インターネットに接続されていない場所でもマルウェア対策は必要です。オフライン環境での感染経路は、持ち込みのデバイスやUSB、ソフトウェアのインストール、周辺機器の接続など油断によるものが多くみられます。また自動アップデートがされないためソフトウェアが脆弱になりやすいことも要因の一つです。オフライン環境のマルウェア対策は、その状況に沿った専用のセキュリティソフトや行動管理が必要です。また感染した場合の対処・復旧にも備えましょう。知識に不安がある場合は保守サービスの利用もおすすめです。

  • 2024.01.17 WEB制作

    【WordPress】サイト復旧の方法とサイバー攻撃を未然に防ぐ対策
    サイトの運用にはセキュリティの管理が必要不可欠です。ログインに二段階認証を導入する、セキュリティ用のソフトをインストールするなど被害を予防するための方法ばかりが注目されがちですが、問題が発生した際に効率的な対処を行うための準備をしておくのも重要なセキュリティ対策の一つです。この記事では、WordPressで制作したサイトがハッキングなどの被害を受けたときのサイト復旧の手段と、攻撃を防ぐための基本的な対策をお伝えします。サイバー攻撃を受けたらサイト復旧は必須一口にサイバー攻撃といっても悪質さや被害の範囲は場合によって異なり、被害発生後の対処によって被害の程度が大きく変わることもあります。不正アクセスを受けた段階で対策を行えば被害をかなり抑えることができますが、異変が起きたサイトを復旧せず放置すると被害が拡大してしまいます。「セキュリティの警告が出ているけれど、何が起きているか分からないし実害は出ていないように見えるから放置する」は一番NGなパターンです。一度サイバー攻撃に遭ったサイトは復旧せず放置しておくと次の攻撃の発信源となってしまい、ユーザーや取引先などにも影響を与える可能性も十分に考えられます。サイトや企業自体の信用度にも関わるので、サイトを運用していく上ではセキュリティ対策と並行して何かあった時の復旧方法の構築が必須です。WordPressサイト復旧の方法・手順サイト復旧の方法は問題が発生した原因によって異なることがありますが、今回は当社のエンジニアが実際にWordPressのサイト復旧を行った事例を参考に手順をご紹介します。①サイトをクローズして原因を分析被害が外部に広がるのを防ぐためにサイトをメンテナンス状態にします。当社の事例では、WordPressで制作した該当サイトにアクセスすると外部のスパムサイトへ誘導される仕様に改ざんされていました。サイトをクローズしてから分析してみると、バージョンが古いまま放置された状態だったことが分かりました。その脆弱性を突かれたことが原因であることを把握したうえで、どこのファイルに原因があるか特定し修正する作業に入ります。②WordPressをインストールし直す改ざん被害が起こった場合はWordPress内部のコアファイルまで書き換えられている可能性が高く、原因を特定するのは困難です。コアファイルの内容はどんなサイトであっても大差ありません。そのため、一つ一つ原因を探さずに、全データを取得してから最新版のWordPressをクリーンインストールするのが一般的です。再インストールすることで、WordPressのコアファイルを問題が起こる前の状態に戻すことができます。③データの問題を解決して再アップデータに問題があった場合は原因となっているファイルを削除して、再度上げ直します。復旧後のサイトに問題がなければこれで作業は完了です。古いバージョンを最新版にアップデートした状態で、攻撃を受けたサイトを回復させることができます。【復旧対策と併せて】WordPress版セキュリティ対策チェックリスト問題が起きた後の対処法と問題が起こる前の対策は、片方ではなくどちらも並行して行うことで効果を発揮します。以下の事項を参考に、自社サイトのセキュリティが万全かしっかりとチェックしておきましょう。WordPress本体・テーマ・プラグインを更新WordPressは古いバージョンへの障害対応が早くに終了してしまうため、旧バージョンのまま放置されたテーマやプラグインの脆弱性を突いたサイバー攻撃が非常に多いです。>>>実際にサイバー攻撃を受けた事例<<<WordPress本体・テーマ・プラグインは全てこまめに更新し、使っていない機能は「無効化」ではなく削除するのが基本です。特に細かい障害に対応して出されることが多いマイナーアップデートは自動更新設定を切らずに常に最新の状態を保てるようにしてください。>>>自動更新設定について気になる方はこちらから<<<セキュリティ用プラグインを導入WordPressにはサイトのセキュリティを向上させるためのプラグインがいくつか存在します。ログインを二段階認証にしたり、不正ログインを検知したりといった機能を追加することができるので、必ず一つはセキュリティ用プラグインを導入しておきましょう。詳しくは「【プロが教える】WordPressテーマ選びのコツをセキュリティ面から解説」をご覧ください。管理画面のログイン設定基本的なことですが、ログイン設定をきちんと行うことも重要です。よくありがちなのは「ログインID、パスワードをドメイン名と同じものに設定している」パターンでしょう。忘れないように分かりやすい文字列を使いたくなるかもしれませんが、容易すぎるものは解析されやすく不正アクセスを招く要因になってしまいます。前述した二段階認証の設定なども含め、管理画面のログイン設定はデフォルトのままではなくしっかり対策しておくようにしましょう。バックアップの取得サイト復旧時にバックアップのデータがあれば比較的簡単に復旧できます。障害発生時に備えて、定期的なバックアップができるよう設定してください。WordPress保守サービスならサイト復旧にも対応専門的な知識のない人が自力でサイト復旧を行うのは困難です。もし自社で万が一の事態に備えた対策ができていないと感じているようなら、保守サービスを導入してみてはいかがでしょうか。プラグインの管理やバックアップの取得などの基本的なセキュリティ対策はもちろん、攻撃を受けた際の復旧もプロの力に頼ることができます。当社のWordPress保守サービスは月額3万円~、1日あたり約1,000円程度で経験豊富なプロのエンジニアがサイト運用におけるリスクマネジメントを代行いたします。また、保守だけでなくゼロからのサイト制作やSEO検索流入を増やすコンテンツ作成も対応しております。まとめWordPressのサイトがサイバー攻撃を受けた場合は、放置せず被害を最小限に抑えるための対処をしっかり行うことが重要です。どんなにセキュリティ対策を行っていたとしても、攻撃に遭うリスクをゼロにすることはできません。基本的な対策を行いつつ、障害発生時の対応方法も社内で共有してすみやかにサイト復旧を行える体制を作っておくことが大切です。

  • 2024.01.16 WEB制作

    WordPressのバージョンを下げても大丈夫?注意点・確認方法をカンタン解説
    バージョンを最新版に更新しておくのはWordPressにおけるサイト運用の基本です。最新バージョンにアップデートすることで機能面において使いやすくなるだけでなく、セキュリティの脆弱性にも対応できます。しかし、更新後何らかの理由でバージョンを下げなければならない事態が発生する場合があるのも確かです。結論から申し上げるとWordPressのバージョンを下げることは推奨しませんが、トラブルに対応するうえでどのように対処すべきかどうかは知っておきましょう。この記事では、WordPressのバージョンの下げ方やメリット・デメリット、注意点などをご説明します。テーマ・プラグインのダウングレードについても解説するので、ぜひ参考にしてください。1.WordPressのバージョンを下げる理由WordPressのバージョンを下げる(ダウングレードする)理由はいくつかありますが、大まかにいえばどれも「不具合に対応するため」であると言えます。アップデート後にサイトの表示崩れが起こる、管理画面にログインできないなどのトラブルは運用上かなりの確率で起こりえます。多くの場合プラグイン・テーマとの互換性が悪くなることが一番の原因ですが、アップデートした後に起こったのであればバージョンを下げて元に戻せばたいていの問題は一旦解決します。他にも「新しいバージョンが使いにくい」という理由で元のバージョンを使いたい方がいるかもしれませんが、不具合がないのにダウングレードするのはおすすめできません。例えば「ブロックエディタではなくクラシックエディタを使いたい」という場合はWordPress公式が提供しているプラグインを導入することで解決します。ダウングレードしなくて済むよう、調べて対策しましょう。2.WordPressのバージョンを下げるときの注意点「最新バージョンに更新したらサイトが動かなくなってしまった」などの事態を解消したいのであれば、バージョンを一時的に下げる必要があります。バージョンを下げるときは以下の事項に注意しておきましょう。セキュリティ面でのリスクがある過去のバージョンにはセキュリティ的な脆弱性が見つかっている可能性があります。2022年に発表されたJVNの情報※によれば、WordPressの6.0.3より前のバージョンには「メール投稿」機能に関係する複数の脆弱性が存在しているそうです。システムに脆弱性がある状態でサイトを運用していると、サイバー攻撃の被害に遭うリスクが増加します。まだ脆弱性が発見されていないバージョンであっても、公式に発表されている最新版以外は安全性が確保されていません。ダウングレードする場合はセキュリティ面でのリスクが生じることに留意してください。不具合解消後はなるべく早く最新バージョンに戻すダウングレードすることで一時的に問題は解消するかもしれませんが、前述したようにそのまま放置していてはリスクが残ってしまいます。必ず不具合の原因を探して解決して最新バージョンに戻しておきましょう。3.WordPressのバージョンを下げる方法WordPressをダウングレードする方法はいくつかありますが、基本的には「バックアップを復元する」やり方が基本的に失敗なく簡単にできるのでおすすめです。バックアップを取っていない場合は、以下に紹介する他のやり方も試してみてください。バックアップを復元する正確にはダウングレードに分類される作業ではありませんが、アップデート直後に不具合が起こった場合はこのやり方が一番簡単です。アップデート前に取得したバックアップを復元し、プラグインをすべてオフにしてから再度アップデートします。くわしいやり方は「WordPressアップデートの手順を初心者向けに解説!不具合への対処方法も」 をご覧ください。プラグインを利用するWordPressにインストールできるプラグインの中には任意の過去バージョンに戻せるものも存在します。ダウングレードプラグインとして一般的に知られている「WP Downgrade」は管理画面上から作業できるようになっているため初心者向けにもおすすめです。ただし、導入しているプラグインとの相性によってはバージョンを下げることで他の不具合が生じる可能性があるので注意しましょう。手動で過去のバージョンをインストールするサーバーにファイルを送るためのソフト(FTPソフト)を利用して内部のデータを編集しなければならないため初心者向けではありませんが、手動でダウングレードを行うという手もあります。WordPressの公式サイトから過去に公開されたバージョンをダウンロードして、サーバーに旧バージョンのデータをアップロードします。触る必要のないファイルを不用意に編集するとサイトに重篤な不具合が生じることもあるので、十分に注意しなければならない方法です。4.WordPress内のプラグイン・テーマをダウングレードしたいときはWordPressの本体(コアファイル)だけでなく、プラグイン・テーマにもバージョンを下げる手段があります。「WP Rollback」などのダウングレード専用プラグインを使うやり方が一番楽ですが、WordPress用のプラグインと同様に互換性の問題が生じる可能性があることには注意してください。少し前のバージョンであれば、公式サイトのプラグインページから過去のバージョンをダウンロードすることもできます。ダウンロード後に更新したプラグインを削除してからFTPソフトを使って過去バージョンをインストールすることで、アップデート前に戻ります。まとめWordPressのダウングレードは一時的な問題の解消にはなりますが、根本的な原因を特定して最終的には最新バージョンにアップグレードしなければなりません。もし自分のサイトで生じた不具合の原因や対処方法が分からない場合は、復旧をプロに任せるのも一つの手です。※JVN+ #09409909 WordPressにおける複数の脆弱性

  • 2024.01.16 WEB制作

    【プロが教える】WordPressテーマ選びのコツをセキュリティ面から解説
    WordPressで制作されたサイトをより魅力的にするには、作りたいサイトに合ったテーマを選ぶことが非常に重要です。しかし、有料無料問わず多種多様なテーマがあるので「どれを選べばいいかわからない」と悩んでいる方もいるのではないでしょうか。もちろん機能性も大切ですが、安全なサイトを運用するためにセキュリティ面にも注意を払って選ぶ必要があります。今回はWordPressのテーマ選びをするときのポイントを解説し、気になる疑問を解消します。WordPressで制作されたサイトをより魅力的にするには、作りたいサイトに合ったテーマを選ぶことが非常に重要です。しかし、有料無料問わず多種多様なテーマがあるので「どれを選べばいいかわからない」と悩んでいる方もいるのではないでしょうか。もちろん機能性も大切ですが、安全なサイトを運用するためにセキュリティ面にも注意を払って選ぶ必要があります。今回はWordPressのテーマ選びをするときのポイントを解説し、気になる疑問を解消します。1.WordPressのテーマとは前提として、テーマとはWordPressで制作したWebサイトのデザイン・機能のテンプレートを指します。無料で利用できるものと有料で購入するものがあり、有料版は買い切りタイプとなっているのが一般的です。また、テーマにはWordPressの管理画面からインストールできる「公式テーマ」と、Webサイトなどで配布されているテーマを自分でWordPressにアップロードして利用する「非公式テーマ」があります。知名度がある公式テーマとしては、日本人が制作した無料テーマ「Lightning」が挙げられます。2.WordPressテーマのセキュリティ問題なぜ公式テーマの方が安全かというと、非公式の自作テーマは公開後にアップデートせず脆弱性を放置しているパターンもかなり多いからです。2015年にはポートフォリオ用有料テーマ「Photocrati」で脆弱性が発見されたという例※もあります。不適切なテーマの使用はサイトの改ざんや情報漏えいなど深刻なトラブルを引き起こすリスクがあるので、判断がつきにくいようであれば公式テーマを使うのがおすすめです。3.WordPressのテーマ選びQ&Aテーマ選びはサイトを作るうえで重要ですし、プラグインと違って後から変更するのは容易ではありません。よく起こりがちな疑問を解消してから決めるようにしましょう。Q.選んではいけないテーマはある?絶対的な基準はありませんが、選ばない方がよいのは「アップデートされていないテーマ」です。WordPress本体(コアファイル)には定期的なアップデートがあるので、ある程度の頻度で更新しなければ更新に対応できなくなってしまいます。最初は問題なく使えても、あとから脆弱性が見つかったり最新バージョンとの互換性が悪くデザインが崩れたりといったトラブルが発生することもあります。定期的にアップデートしているかどうか、事前に確認しておきましょう。Q.無料テーマはセキュリティ的に問題ない?有料無料の違いはSEO対策などの機能やカスタマイズの柔軟性に拠るところが大きいので、無料だから危険があるというわけではありません。ただし、無料テーマの中には作成したままアップデートせず放置されている自作テーマがかなりあります。特に制作者が不明瞭で更新情報がないテーマはセキュリティ的に危険なので避けるようにしましょう。また、有料でもサイバー攻撃の被害に遭うリスクがあるので、価格以外の面にも注意を払うことが重要です。Q.サイト制作後にテーマ変更は可能?使っているテーマに問題がある、デザインを変えたいなどの理由でテーマを変えることは可能です。ただし、それまで利用していたテーマの機能が使えなくなることでサイトの表示に関わる深刻なエラーを起こすことがあります。実際に変更する場合は専門的な知識を持った人が実施してください。4.WordPressテーマ選びのポイント安全なテーマを選ぶにはいくつかコツがあります。WordPressに導入するテーマをご自身で検討しているのであれば、以下のポイントを押さえておきましょう。更新頻度が高いアップデート情報がないテーマは脆弱性を突かれたサイバー攻撃に遭う可能性が高く、かなり危険です。デザインや機能性に優れていたとしても選ぶのは避けましょう。WordPressのコアファイルアップデートに合わせて定期的に更新しているかどうか必ず確認して、数ヶ月以内に最新バージョンが公開されているものを導入してください。公式テーマを利用する公式テーマはWordPressを公開している団体が選んだテーマなので、定期的なアップデートなどのセキュリティ対策が整っています。もちろん定期的な確認は必要ですが、本体のアップデートによる互換性の不具合も比較的起きにくいので、デザイン面や機能性などに不満がなければ公式テーマを利用するのがよいでしょう。利用者が多く作成者が明確WordPressの管理画面からインストールできる公式テーマは種類が限られており、特に日本語で多機能なサイトを作るには不十分かもしれません。非公式テーマにも著名なものは数多くあるので、何にするか迷っている方は利用者が多いテーマを利用するとよいでしょう。また、作成者が明確かどうかも一つの基準になります。例えば、国内の筆頭である「SWELL」は企業ではなく個人で制作されたテーマですが、その開発者である了氏は公式サイト ※から最新情報を発信しています。企業でテーマを制作している場合もあるので、信頼性を高めたい・カスタマイズしたいといった場合は開発元をくわしく調べてみましょう。サポートが充実しているテーマに不具合が生じたときなどには、カスタマーサポートセンターがメール相談などに対応してくれるかどうかも気にしておきましょう。個人が制作した買い切りの有料版テーマはカスタマーサポートがないことが多いので、注意が必要です。人気テーマであればQ&Aや事例が充実しているためサポートがなくても自分で調べれば解決できることもあります。しかし、細かいサポートを必要としている初心者は人気だからといって安易にテーマを決めてしまうのは危険かもしれません。自分(自社)で対策ができる範囲を把握したうえで適切なテーマを選びましょう。自分でサイトを制作・維持する自信がなければ、テーマ制作も含めたサイト保守サービスを利用するのも有効です。5.まとめサイトのセキュリティを維持するためにはアップデートの管理を定期的に行っているテーマを選ぶようにしましょう。WordPress専門のサイト制作・運用を依頼すると、会社によっては自作テーマでサイトを制作できます。保守管理の専門家がいる企業が制作したテーマであればセキュリティチェックを行った状態で納品されるので、リスクが低い状態での運用が可能です。当社のWordPress保守サービスではオリジナルのテーマを使用したサイトの制作も承っています。もちろん外部テーマで既に作成済みのサイトでも保守管理を行いますので、「自社でセキュリティの管理をしている人が誰もいない」「テーマを変えたいけれどよく分からないので放置している」などのお悩みがあればぜひ利用を検討してみてください。※ddryo+My Profile

  • WordPress 保守 自分でやる方法

    2024.01.10 WEB制作

    WordPressの保守は必要!自分でできる作業内容や外注との比較も解説 
    WordPressで制作したサイトにはセキュリティを維持するための保守管理が必要不可欠です。しばらく更新していないからといって放置していると、マルウェアなどのセキュリティ被害に遭う危険性があります。ウェブサイトの保守にはある程度専門的な知識が必要ですが、初めてでも自分でできる作業があるかどうか検討している方も多いのではないでしょうか。この記事では、初心者でも自分でできるWordPress保守のやり方や、外注との比較などをご紹介します。1.WordPressの保守はセキュリティ上必要WordPressの保守とは、制作したサイトのセキュリティを管理する作業のことを指します。ユーザーが安心して利用できるサイトを運営するには定期的なアップデートや保守用のプラグインの導入が必要不可欠です。しかし、個人サイトでは特に保守管理を行わずにサイトを運用していることが多いです。普段からサイトをチェックしていない場合は、攻撃されたことに気付かずいつの間にか被害に遭っていたという事態にもなりかねません。企業サイトの場合は保守の必要性がより高まります。過去には企業サイトが攻撃の対象になり、情報漏えいやサイト改ざんといった深刻なサイバー攻撃の被害に遭ったという事例も多数あります。>>>脆弱性を突いたサイバー攻撃の事例についてはこちらから<<<特にアップデートをしないまま放置したり、古いプラグインを削除せず無効化したままになっていたりしている場合には注意してください。「小さいサイトだから」「大きいサイトだから」ということは関係なくどんなサイトにもリスクはあるので、セキュリティを脅かす危険因子を減らすという意識を持っておきましょう。2.自分でできるWordPressの保守作業セキュリティリスクからサイトを守るためにはさまざまな対策が必要です。中には外注するには予算が足りないため、自分でできる作業がないか検討しているという方もいらっしゃるのではないでしょうか。より安全で確実なサイト運営には専門知識を持ったプロの対応が必要ですが、自分で保守を行いたい場合はまず以下の作業をやってみましょう。バージョンアップへの対応WordPressには定期的なバージョンアップがあります。バージョン更新にあたっては、機能拡充のほかにもセキュリティ面での脆弱性を補う修正が入っていることもあるため、放置せずしっかり対応することが大切です。しかし、バージョンアップ後はサイトの表示崩れやエラーが起こってしまうことがあります。保守を行っていない場合、「バージョンアップするとサイトがおかしくなるから触れない」という理由で放置せざるをえなくなります。バージョンアップをしなかったからと言ってすぐサイトに大きな被害が出ることはそう多くありませんが、脆弱性が見つかったタイミングでサイバー被害に遭うリスクが格段に高くなります。データのバックアップバージョンアップ時など、サイトに不具合が生じた際には問題が起こる前の状態に一度復元してから原因を特定しなければなりません。そのため、何らかの手段でバックアップを取っておく必要があります。バックアップを取る方法はさまざまで、契約しているサーバーなどの環境によっても変わってくる場合があります。弊社の保守サービスではバックアップ用プラグイン「BackWPup」を使用しています。不正アクセスや不具合のチェックサイトの不正アクセスや不具合が起こっていないかどうか監視する作業も保守においては重要です。システムによるチェックを行うことで、バージョンアップ時にサイトに不具合が発生したり、万が一セキュリティが破られてしまったりといった場合に素早く対応することができます。サイトが正常に動いているかどうか監視する「死活監視」、改ざん被害の検知などがこれにあたります。また、定期的にサイトの脆弱性診断を行った方がよいでしょう。サーバーの管理レンタルサーバーを利用している場合はサーバー会社がアップデートなどの管理を行っているため基本的に必要のない作業ですが、クラウドサーバーやVPSなどの環境でサイトを運用している場合はサーバーの保守運用まで行う必要があります。こちらはWordPress自体の保守から少し外れる上にファイヤーウォールの設定やOSに関する知識も必須になってくるため、さらに専門的なスキルを持つ人向けだと言えるでしょう。知識に自信がない方はレンタルサーバーの利用か保守サービスの外注をおすすめします。>>>サーバー保守について詳しくはこちらから<<<3.自分でor外注、WordPressの保守はどちらを選ぶべき?自分で保守を行うかどうか検討中であれば、まずはそれぞれのメリットを把握したうえでご自分の状況に合ったものを選ぶのがおすすめです。自分で保守するメリット費用を抑えられる保守サービスでしっかりセキュリティ対策を行う場合、最低でも月額3万円程度かかるのが一般的です。会社によっては月々5,000円程度でサービスを行っているところもありますが、保守としてのサービス内容はかなり限定的で障害発生時の復旧もサポートしていません。対して自分(もしくは自社)で保守を行う場合は基本的に人件費以外の費用はかかりません。WordPressは利用者数も莫大なので、保守管理を専門にした書籍も大量に出版されています。書籍でWordPressに対する体系的な知識をつけて保守担当としてホームページを運用する戦略がうまくいけば、これが最もコストのかからない方法だと言えます。 保守サービスを利用するメリット知識を持っている人がいなくてもサイト運用ができるサイト運用には保守が必須ですが、ここまで述べてきた通り安全に保守を行うにはかなり専門的な知識が必要です。自分でできないと判断した場合は外部サービスを利用するのがよいでしょう。業務効率が上がる保守運用は基本的にリスク管理の一環として行うものなので、やればやるほど利益が上がるというわけではありません。日々時間と労力が必要となってくるため、知識がない人に一から勉強させて保守を任せるよりは外注した方が業務効率の向上につながります。コンテンツ管理なども一括で行えるホームページで利益を上げるには、求める顧客像に合ったコンテンツを提供する必要があります。保守サービスの中にはコンテンツ制作やSEO対策なども任せられる場合があるので、売上向上やウェブマーケティングの知見を持ったスタッフがいない場合は特に利用を検討すべきでしょう。保守運用の知識がない場合は外注サービスがおすすめ特に企業サイトを運営している場合はリスクを回避するために必ず保守をすることをおすすめします。コスト面を考えると自分でできるならやった方が良いかもしれませんが、自分(自社)に保守運用の知識がない場合は外注サービスに任せるのがよいでしょう。万が一障害が起こったら、原因を特定・解決できるスキルを持つ人がいなければ意味がありません。保守サービスであれば、ほとんどの場合は障害復旧までがサービスに含まれています。またセキュリティ診断で定期的にサイトに脆弱性がないかチェックできますし、SEO対策などサイト内部のサポートも受けることができます。4.まとめ保守サービスは自分でやっても外注しても問題ありませんが、もし自分でやる場合は最低限「アップデート・バックアップ」は行っておくようにしましょう。さらにバージョンアップ時にはテストサイトを作ってサイトに不具合がないか確認すれば、より信頼性の高いサイトを作ることができます。くわしくは「【初心者向け】WordPressでテストサイトを作るメリット!テスト環境について解説」をご覧ください。当社の保守サービスでは、バージョンアップや死活監視、定期的なセキュリティ診断なども含めて1日当たり1,000円程度のコストでセキュリティ対策を行うことができます。自分で保守を行う自信がない場合はご利用を検討してみてください。

  • 安全なプラグインの選び方

    2024.01.10 WEB制作

    WordPressのプラグインとは?安全性を高める選び方をプロが直伝
    WordPressのプラグインは充実したサイトを運営するのに不可欠なツールです。サイトの利便性を高めるものから内部のSEO対策向けのものまでさまざまなプラグインがあり、機能の幅を広げてくれます。プラグインの導入自体は非常に簡単ですが、一方でセキュリティ対策を十分に行っていないものを利用しているとサイトに脆弱性を生む要因になってしまうので注意が必要です。この記事では、WordPressの初心者向けにプラグインの基礎知識と安全に利用するための選び方を分かりやすく解説します。セキュリティ対策の専門家が安全性を高めるためのコツもお伝えするので、ぜひ参考にしてください。1.プラグインとはプラグインとは、WordPress上の機能を拡張できるツールのことです。基本的にはWordPress本体やテーマに備わっていない機能を補うために使用します。管理画面上で手軽に操作できることがほとんどなので、専門的な知識がなくても簡単にサイトをカスタマイズできます。お問い合わせフォームの設置やサイト全体のバックアップ、セキュリティの向上もプラグインを使って実装可能です。2.プラグインの安全性WordPressのサイトを制作するにあたって、テーマとプラグインの導入はほぼ必須です。セキュリティ対策のために、まずは安全性を見極めるポイントを知っておくとよいでしょう。プラグインのインストール自体に危険性はないWordPressは非常に多くの人が使っているオープンソースのCMSです。したがって、拡張機能であるプラグインは誰でも作ることができます。中にはセキュリティ面で避けた方がよいものも存在しますが、プラグインを入れたから「危ない」とは言えません。インストール数が多くインターネット上にレビューなどがたくさんあがっているプラグインであればすぐに危険が及ぶことはないでしょう。危険なのは古いプラグインプラグインの性能は開発者に依存します。中には作るだけ作ってアップデートへの互換性がないまま放置していることもあるので、注意が必要です。日々安全性を高めるためのアップデートを行っているWordPressでセキュリティを維持するにはプラグインのアップデートも不可欠。定期的な更新がないプラグインはセキュリティホールが見つかりやすく危険です。最悪の場合、サイトの改ざん被害や情報漏えいの恐れもあるので注意しましょう。安全性を気にするのであれば、導入前にアップデートへの対応を行っているかどうかチェックしておくのがおすすめです。最終更新が1年以上前になっているものは対応していない可能性が高いので、あまり推奨できません。3.おすすめプラグインの特徴これからプラグインを導入するのであれば、以下の特徴を満たすものを選ぶようにすると安全です。頻繁にアップデートしているアップデートの頻度は脆弱性に随時対応しているかどうかを表す重要な指標です。開発・更新が終了しているプラグインを使用していると、前述したようにサイバー被害のリスクが高まるほか、WordPressのアップデートにともなって障害が発生する確率が高まります。かならずアップデートの頻度を確認しておきましょう。テーマとの相性がいい導入しているテーマによっては、プラグインの機能と重複していたり、相性が悪いとうまく動作しなくなってしまったりと不都合が生じる可能性があります。特に利用者が多いテーマを使用している場合はあらかじめ口コミなどをチェックしておくのがおすすめです。利用者が多い利用者が多いからといって必ずしも安全であるとは限りませんが、広範囲で採用されているプラグインはセキュリティ面でのサービスがしっかりしていることが多いです。アップデートへの対応など基本的な対策をするという前提ではあるものの、インストールされた数が多いかどうかはプラグインを選ぶうえでの一つの指標になります。4.保守管理エンジニア直伝!セキュリティプラグインWordPressの保守管理サービスを提供している当社が実際に導入しているセキュリティ対策プラグインをご紹介します。プロだけでなく初心者でも比較的簡単に使えるプラグインなので、何を導入するか迷っている方はぜひ参考にしてください。SiteGuard管理画面にログインするためのページをカスタマイズできるプラグインです。URL変更、管理ページへのアクセス制限、画像認証追加、ログインアラート(メールでの通知)などを搭載することができるようになります。Wordfence脆弱性を悪用したサイトへの干渉を感知するシステムを備えたプラグインです。不審なトラフィックの検知、マルウェアスキャンやログイン時の二要素認証などを導入できます。BackWPupこちらはバックアップ用プラグインです。アップデート時の障害やサイバー攻撃の被害にあったときなどには、まず元あったデータを復元する必要があります。レンタルサーバーを利用している場合はサービスの一環でバックアップできることもありますが、バックアップ機能がついていない場合はこのプラグインでデータを取っておきましょう。Easy Updates Managerプラグインなどの自動更新をアシストするプラグインです。WordPressにはプラグインごとに自動更新のON/OFFを切り替えられる機能がありますが、中にはデフォルトで自動更新機能がないプラグインも存在します。自動更新の設定を細かく管理するにはこのプラグインが必須です。プラグイン設定のほか、デフォルトではONに設定されているWordPress本体のマイナーアップデートの自動更新をOFFに設定する用途にも使うことができます。ただし、自動更新をOFFにするとセキュリティ面でデメリットが生じるリスクもある点には注意しておきましょう。くわしくは「WordPressは自動更新にするとデメリットがある?プロの設定方法を紹介」をご覧ください。5.まとめプラグインはWordPressの利便性を高めるのに役立ちますが、安全性を考えるとむやみにインストールすることはおすすめできません。必要な機能に絞ったうえで、利用者が多く定期的なアップデートを行っているプラグインを選ぶようにしましょう。テーマとの相性も重要です。より安全にサイトを運営するには、セキュリティ対策用のプラグインを導入するとよいでしょう。もしご自身のサイトの保守管理に心配な点があるようでしたら外部の保守サービスに任せるのも一つの手です。当社ではWordPressサイトの無料診断を行っています。「自社サイトのセキュリティに自信がない…」という方はぜひ一度お問い合わせください。

  • 死活監視とは?おすすめツール、費用など

    2024.01.10 WEB制作

    WordPressの死活監視って自分でできる?おすすめツールの選び方や費用を紹介
    WordPressのセキュリティを維持するための保守・管理にはさまざまな作業が必要ですが、その中でも「死活監視」は必要不可欠である一方、初見だとなかなか意味が分かりにくい単語です。死活監視とは、簡単に言うとサイトが落ちていないか監視することを指します。システムを整備して自分で行うこともできますが、本格的な運用にはかなりの知識が必要。そのため、中~大規模なサイトでは外注サービスで死活監視を行うのが一般的です。この記事では、死活監視の仕組みやツールの選び方、費用などをご紹介します。1.死活監視とは死活監視とは、サーバーやサイトが正常に動いているか監視するための作業の一つです。WordPressの死活監視というと、「サイトが止まっていないか、落ちていないか」をチェックするサイト監視を指します。具体的には、死活状態を判断するためのコマンドであるPingなどを使い、サーバーまでの通信の疎通が取れているか信号を送って把握します。なんらかのトラブルが起こった場合はpingに応答しなくなるため、それに反応して管理者への通報などが行われるという仕組みです。特に大きい規模のサイトでは、障害発生時の迅速な対応が大切になってきます。サイトに異変が起こっているか確認するために死活監視は必要不可欠な作業であると言えるでしょう。2.WordPressの死活監視をする方法WordPressで死活監視を行う方法はいくつかあります。いずれの方法にもメリット・デメリットがありますので、ご自身のサイトの規模や状況、自社内でスキルを持った人がいるかどうかで判断するのがよいでしょう。手動で監視する小規模なサイトや個人ブログであれば、定期的に手動でサイトにアクセスして問題なく表示できるかチェックするだけでもやらないよりはセキュリティ対策になります。ただ、完全に手動でチェックするとなると業務の手間が増えてしまいますし、確認漏れなどのリスクも高まります。また、口述するようなツールでの監視と比べると毎分ごとの監視などはかなり困難になるのでセキュリティ面での安全性はどうしても弱くなります。そのため、目視での監視は脆弱性のデメリットをあまり気にしない個人サイトに限定しておくのがベターです。死活監視ツールを使う死活監視を自動で行うことができるツールは有料無料問わずたくさん存在します。ツールを用いると自動で1分に1回などのペースでサイトの認識作業を行ってくれるので、手動でチェックするよりも業務効率は格段に上がります。該当するサイトのURLをツール上に登録しておくと、サイトがダウンしたときやトラブルが起こったときに通知が来るという仕組みが一般的です。無料のツールを使う場合は監視対象にできるURLが限られていたり、認識作業の頻度が低くなったりするなど機能の制限があります。メディア運営や大規模なサイト運営には有料ツールを用いた方がよいでしょう。3.WordPress死活監視サービスのコスト比較本格的なセキュリティ対策として死活監視を取り入れるのであれば、目視で監視するよりもツールを使って管理するのが現実的です。各種ツール・サービスにかかる費用を把握しておくことで、どういった方法を取り入れるのが最適か判断できるようにしましょう。小規模サイトの監視は無料ツールがおすすめ無料で利用できる死活監視ツールはいくつかありますが、100件までのURLならお金をかけずに利用できるケースが多いです。死活監視以外にもセキュリティサービスが充実しているツールだと1件~数件しか登録できないケースもあります。サーバー監視などの機能を増やしたい、大量のURLを登録したいという場合は有料サービスがおすすめです。セキュリティ機能の高いツールは月額3,000円~1万円改ざんの検知機能など、より豊富なサイト監視システムが備わっているビジネス向けプランは3,000円~1万円程度の月額費用がかかるのが一般的です。サービスによって「監視できるURL数が増える」「セキュリティ内容が豊富になる」「データ差分の保存期間が長くなる」など無料のときと比較して拡張される機能が異なります。コーポレートサイトやメディアの運営にあたって社内に保守管理を行えるスタッフがいるならば、これらのツールを利用してセキュリティ対策を行うとよいでしょう。アップデートやバックアップなど、WordPressの運用に関わる他の基本的なセキュリティサービスまで一括で行う保守サービスも存在します。相場は3万円~なので通常の監視ツールより価格帯は高くなりますが、その分アップデートの対応や障害発生時の復旧までサービスに含まれています。全ての保守運用を外注で済ませることができるので、社内でWordPressのセキュリティに詳しい人がいなくても簡単に取り入れられるのがメリットです。4.死活監視以外に必要な保守作業死活監視はあくまでサイトに異変が起こっていないかチェックするための手段です。すなわち、死活監視を行うだけではいざトラブルが生じた際に対応する手段がないということになってしまいます。サイトのセキュリティを確実に守るためには他にも必要な保守作業があります。もし死活監視の導入を検討しているのであれば、併せてこれらの作業も行っておくようにしましょう。アップデートの管理サイトのトラブルというと、表示崩れなどのデザインの問題からデータの改ざんなどの深刻な被害まで、さまざまなパターンが考えられます。これらの問題はプラグインやWordPress本体、テーマなどをアップデートせず放置していることが多いのが実情です。アップデートをするとプラグインとの相性によっては表示崩れが起こったりするので、サイト運営者の中にはアップデートをせず放置してしまう場合もあります。しかし、健全なサイト運営にはアップデートへの対応をしっかり行うのが非常に大切です。WordPress内でアップデートがあった場合はサイトが問題なく動作するか確認しながら問題があれば早急に対応するようにしましょう。バックアップもしもアップデートなどが原因でサイトに異変が生じたときは、一度元あったデータを復元しなければなりません。そのため、アップデート前には必ずバックアップの取得も行っておく必要があります。アップデート時以外にも、なにかあったときにサイトの状態を戻すことができるよう定期的なバックアップは必須です。定期的なセキュリティチェックサイトの安全な運用にはアップデートの有無や改ざんチェックなど、サイト全般の脆弱性をこまめにチェックしておくことが重要です。また、バージョンアップに起因するセキュリティホールは公表前にアップデートを促すことが多いので、そういった情報を見逃さないよう収集しなければなりません。自社で保守作業をまかないきれない場合、保守サービスの利用も検討してみてください。5.まとめWordPressの死活監視とは、サイトが正常に稼働しているかチェックする作業のことです。目視で監視を行うこともできますが、本格的なセキュリティ対策を行うなら自動で死活監視を行ってくれるツールを導入するのがおすすめです。また、死活監視以外にも必要な保守管理を一括して行ってくれるサービスもあるので、サイト運用の状況によっては外注でセキュリティ対策をすることも検討してみるとよいでしょう。

  • WordPress 脆弱性の事例 エンジニアの実例紹介

    2024.01.10 WEB制作

    WordPressには脆弱性がある?実際の被害・復旧事例を紹介
    WordPressは誰でも手軽にサイトを作ることができるCMSの一種で、初心者プロ問わずさまざまな人が利用しています。 多くの人が使っているツールですのでインストール自体に危険性はありません。しかし、セキュリティ対策を自分で講じる必要があるため、脆弱性を突かれたサイバー攻撃が起こりうるリスクも存在します。 この記事では、実際に起こったWordPressでの被害・復旧事例をご紹介します。  WordPressサイトの被害事例は数多いWordPressはオープンソースのツールなので、脆弱性が見つかったときなどの保証はありません。定期的なアップデートなどのセキュリティ対策を行っていれば被害に遭うリスクはかなり減りますが、十分に対策を行わなかったことが原因で被害に遭ってしまう事例も多数あります。WordPressの脆弱性情報を発信しているJVN(Japan Vulnerability Notes)のサイト内検索によれば、2023年1月~11月の11か月間で公表されたWordPressプラグインの脆弱性報告は743件です。平均して1日1~2件と考えると、その数がかなりのものであることが分かります。脆弱性が見つかった場合はすぐに修正アップデートが公開されるので、なるべく早くアップデートすることがセキュリティ対策につながります。事例①WordPressへの大規模攻撃WordPress本体の脆弱性がサイバー攻撃につながったケースはそこまで多くありませんが、過去には大きな被害が発生した事例も存在します。最も有名かつ悪質な事件としては、2017年に発生したWordPress本体のプログラムの脆弱性を突いたサイバー攻撃があげられるでしょう。脆弱性が見つかったのはRest APIと呼ばれるシステムです。WordPressのRest APIはWordPressの外部から内部のデータを取得する用途で利用されています。プログラムの脆弱性を悪用したサイバー攻撃が起こった結果、約80万件ものページが改ざん被害に遭いました。※1事例②人気YouTuberのサイト改ざん被害がニュースに2023年、料理系YouTuberとして人気を集めているリョウジ氏のサイトが改ざん被害に遭ったという事件が発生しました。知名度の高い人物のサイトだったこともあり、この事件は大きなニュースとして話題を呼びました。https://twitter.com/ore825/status/1664934082847862784?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1664934082847862784%7Ctwgr%5E0f2a0c1afc6c0223093b583ed6db0c3746c8db2d%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fwww.itmedia.co.jp%2Fnews%2Farticles%2F2306%2F06%2Fnews106.htmlリョウジ氏のポストによれば、公式サイトのランディングページがウイルスを含むページにリダイレクトしてしまう仕様に改ざんされる被害が発生したとのこと。問題が発覚した後、リュウジ氏は「セキュリティの高いbaseのページを使用します」とXで発信したことでも話題になりました。不正アクセスが起こってしまった原因は公表されていませんが、のちにリュウジ氏はWordPressについて「任せている管理会社では扱いが難しい」とセキュリティ対策の難しさについても発言しています。https://twitter.com/ore825/status/1665523424226168833?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1665523424226168833%7Ctwgr%5E0f2a0c1afc6c0223093b583ed6db0c3746c8db2d%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fwww.itmedia.co.jp%2Fnews%2Farticles%2F2306%2F06%2Fnews106.html事例③脆弱性への危機感を悪用したフィッシング「サイバー攻撃」といえばシステムの脆弱性を利用して不正アクセスされるイメージが強いかもしれませんが、この脆弱性への危機感を悪用したフィッシングの被害も報告されています。WordPress向けにセキュリティプラグインを提供しているpatchstockの報告※2によれば、2023年12月に「WordPressの脆弱性を修正するためのパッチを配布している」という旨のフィッシングメールが複数流通していることが確認できたそうです。WordPressからのメールを装って違和感のないデザインで送られてきますが、気付かずにウェブ担当者がメールのリンクを踏んでWordPressにパッチをインストールするとマルウェアが仕込まれてしまうという凶悪な事案です。WordPress保守エンジニアの復旧事例過去の事例だけ聞いても「レアケースなので自分には関係ない」と思うかもしれませんが、このような被害は日々大量に発生しています。WordPressの保守サービスを提供している当社のエンジニアが実際に体験し、復旧に携わったトラブル事例をいくつかご紹介します。脆弱性をつかれサイトが改ざんされる古いバージョンのWordPressに脆弱性が発見され、アップデートを行っていなかったサイトが改ざんされるという被害が発生。該当のサイトにアクセスすると外部の別サイトに誘導される仕様になっていました。全データを取得し、サーバー上に新しいバージョンのWordPressを再度インストール、データから問題のあるファイルを削除することで同じサイトを復旧することに成功しました。脆弱性からマルウェアを埋め込まれる該当サイトにアクセスするとマルウェアが増殖し続け、外部サイトへ誘導される改ざん被害の事例です。プラグインに脆弱性があり、マルウェアを埋め込まれてしまったのではないかと推測されます。特に長期間アップデートしていないプラグインはマルウェア感染リスクが高いので、十分な注意が必要です。マルウェア対策については「Webサイトのマルウェア対策はどうすべき?対策から対処法まで徹底解説」をご参照ください。他のサーバー利用者の影響で改ざん被害ホスティングサーバーのディレクトリ(フォルダ)に脆弱性があり、同じサーバーの別ユーザーがマルウェアに感染したことでサーバー経由の感染が発生しました。サイトのコアファイルやテーマ、プラグインだけではなくサーバーの脆弱性にもリスクがあることが分かる事例です。まとめWordPressに脆弱性が見つかり、改ざんなどの被害が起こった事例は数多く存在します。セキュリティ管理ができていれば攻撃を受けることはほとんどありませんが、古いバージョンのまま放置されているサイトはサイバーテロの格好の餌食となってしまいます。ご自身のサイトセキュリティが不安、どうなっているのかきちんと把握できていないという方は、WordPressの保守サービスをぜひご検討ください。保守のプロがあなたのサイトをしっかりと守ります。※1 WordFence+「Feeding Frenzy to Deface WordPress Sites」※2 patchstack+「Fake CVE Phishing Campaign Tricks WordPress Users Into Installing Malware」

  • WordPressプラグイン 自動更新すべき?

    2024.01.10 WEB制作

    【WordPress担当者必見】プラグインの自動更新機能について!停止方法も解説
    WordPressのサイトを上手に運用するには欠かせない拡張機能であるプラグイン。用途や目的に応じてさまざまなプラグインを導入する機会があると思いますが、インストール後の管理に意外と手間がかかるとお困りの方も多いのではないでしょうか。特にアップデート周りは定期的なチェックが欠かせません。プラグインのなかには自動でアップデートを行ってくれる自動更新機能を持つものがありますが、セキュリティ面を考えるとOFFにしておいた方がいいのではないかという意見もあります。この記事では、プラグインの自動更新についてメリットとデメリットを整理しつつ、ON・OFFを切り替える方法について分かりやすく解説します。WordPress本体の自動更新については「WordPressは自動更新にするとデメリットがある?プロの設定方法を紹介」をご参照ください。1.プラグインも自動更新が可能に2020年9月に公開されたWordPressのバージョン5.5から、プラグインとテーマの自動更新を設定できるようになりました。自動更新をONにすると、プラグインなどのアップデートが公開された後すぐに自動で更新が行われる設定になります。この自動更新はデフォルトでは無効化されているため、もしONにしたい場合は管理画面の設定を変更する必要があります。(後述)2.自動更新のメリットプラグインの自動更新にはいくつかのメリットがあります。ポイントを押さえたうえで導入するか検討するとよいでしょう。管理が楽になる手動で行っていたアップデート作業を自動化できるのが大きなメリットの一つです。手動で更新するとなるとこまめな設定の確認が欠かせませんし、アップデート情報を管理できる人がいない場合はアップデートをしないまま放置してしまうことになりかねません。アップデートをせず古いままにしておくと、脆弱性を悪用したサイト被害につながってしまう恐れもあるためかなり危険です。定期的にチェックする時間がないという人は自動更新にしておくのがよいでしょう。セキュリティ対策になるプラグインのアップデートは、機能向上のほかにセキュリティに問題が見つかった時に行われることもあります。その場合、悪用による被害を防ぐためにセキュリティの脆弱性を修正したあと問題があったことを公開することも多くあります。安全性に穴がある状態をなるべく短くするためには早めのアップデートが肝心。自動更新にすることで、セキュリティ対策を強化することができます。>>>セキュリティのプロが教えるプラグインの選び方<<<アップデートし忘れを防げるWordPressの本体(コアファイル)のアップデートはデフォルトで自動更新になっています。そのことに安心してプラグインの更新を忘れて放置してしまうのは避けた方がよいでしょう。うっかりアップデートし忘れるのを防ぐには自動更新が最適です。3.自動更新のデメリット自動更新には主にセキュリティ面でのメリットがある一方、互換性の問題でデメリットが生じることがあります。以下で紹介するデメリットの方が大きいと判断した場合は、自動更新を無効化しておくのも一つの手です。不具合に気付きにくい・原因が特定できないプラグインのアップデートを行った後、たまにサイト内でエラーが起きることがあります。手動更新であればテスト環境を構築してあらかじめエラーを防いだりその場で原因を特定したりすることができますが、自動更新にしてしまうとそうもいきません。特にサイトのデザインを調整するためのプラグインなどは互換性が悪くなると表示が崩れるといった不具合が発生しやすいので、自動更新の設定には注意が必要です。バックアップを取ってから更新することができない不具合が起こった時の対処法として、事前に取得しておいたバックアップを復元するという手段があります。そのため、アップデート前にはあらかじめバックアップを取って元に戻せるようにするのがセキュリティ的に安全であると言えます。しかし、自動更新にしてしまうとアップデート直前のデータを取っておくことができません。頻繁に更新があるサイトだと、少し前のバックアップを復元したため最新の記事が消えてしまったなどのトラブルにつながる恐れもあります。4.自動更新の有効化・停止を切り替える方法管理画面の「プラグイン」メニューには各プラグインに「自動更新」の列があります。有効と無効のアクションリンクがあるので、そこから変更するようにしましょう。詳しくはWordPress公式のヘルプも参照してみてください。5.まとめWordPressのプラグインは自動更新の設定が可能ですが、いくつかのデメリットもあります。もし不具合の修正なども含めたサイト運用の管理ができるのであれば手動更新にしておくのもよいでしょう。あまり自信がない方は自動更新にしておいた方がセキュリティ面を考えると安全です。WordPressの運用ができずお困りでしたら、当社の保守サービスの利用もご検討ください。

  • WordPressテストサイトとは?ステージング環境、テスト環境

    2023.12.27 WEB制作

    【初心者向け】WordPressでテストサイトを作るメリット!テスト環境について解説
    WordPressでより安全にサイトを運用するにはテストサイトの構築が欠かせません。特にアップデート時や大幅なデザイン変更時などには、不具合がサイト本体に及ぶリスクを回避するためのテスト環境がとても大切です。この記事では、サイト保守におけるテストサイト・テスト環境について初心者向けに分かりやすく解説します。1.テストサイト・テスト環境(ステージング環境)とはサイト保守における「テスト」とは、主にシステムが正常に作動するか検証する作業を指します。ソフトウェアをアップデートやデザインの修正、サイトの制作などさまざまな場面で行われる大切な作業です。テスト環境は、テストを行うための環境のことを指します。テストを行いたい元サイトのコピーを同じサーバー内で作り、アップデートなどを適用して問題なく動作するかチェックする役割を持っています。「ステージング環境」という単語は正確には本番環境(サイト本体)により近いテスト環境のことを指す用語ですが、サイトの保守運用においてはほとんど同じ意味で用いることが多いです。「テストサイト」はテスト時にできるコピーサイトのこと。本サイトと違い、ユーザーには見られない設定にするのが一般的です。2.【初心者向け解説】テスト環境のざっくり構築方法2選一口にテスト環境と言っても様々な手段があります。ここでは、WordPressでアップデート時やデザイン修正時などに用いられる一般的かつ比較的簡単なやり方を2つご紹介します。新しいドメインを用意するレンタルサーバーなどで新しいサブドメインを用意して、テスト用として同じサイトをコピーして作成するのが最もスタンダードな方法です。会社によってはサーバー管理の画面内にテスト環境構築用のツールが用意されていることもあります。自分でテストサイトを作れるか知りたい方は、まず自分の契約しているサービスを確認してみてください。会社ごとにテストサイトの作りやすさはかなり異なるため、まだ契約していない場合は構築のしやすさを一つの基準にするのもおすすめです。WordPressのプラグインで作成する上記の方法はWordPress以外でもあらゆるサイトに適用できますが、WordPress特有の方法としてプラグインを利用するというものもあります。テスト環境を構築できるものはいくつかありますが、例えば著名なプラグインとして知られるWP StagingではWordPressの管理画面内でアップデートなどの検証が可能です。多くのプラグインには無料版と有料版があり、無料版だとかなり機能が制限されます。3.テスト環境(ステージング環境)が必要な理由テスト環境の構築は、サイトのセキュリティ維持には不可欠です。具体的な根拠も把握しておきましょう。エラー発生時の対応を事前に行えるアップデート時は特にプラグインなどとの互換性でエラーが発生してしまうことが多い傾向にあります。特にデザインや表記などに関わるプラグインは、互換性が悪くなるとサイトの表記がおかしくなるなどの不具合が発生しがちです。もしテストサイトで事前にアップデートの検証を行わなかった場合、実際にサイト内でトラブルが起こってから対処することになってしまいます。ユーザーからの信頼性を損なわないためにも、前もってテストを行うことは非常に重要です。WordPressはアップデート時のトラブルへの保証がないWordPressはオープンソースのCMSなので、プラグインやテーマの中には公式ではない企業や個人が作成したものも多くあります。そのため、定期的なアップデートに際するプラグインやテーマなどの互換性までは保証されていません。自由度が高く誰でもサイトを作ることができるのはWordPressのメリットですが、カスタマイズ性が高い分他のツールと比較すると「アップデート時のトラブル」が多いのも事実。自分の身は自分で守るためにも、テスト環境を作ってあらかじめ検証する必要があると言えます。4.テスト環境を作るときの注意点テスト環境を作るにはサイトの保守運用に対する一定の知識が必要です。あいまいな情報でテストサイトを作ってしまうと自サイトに悪影響を及ぼす可能性もあるので注意しましょう。本サイトに近い環境にするテスト環境を構築するときは同じサーバーを使うなど、極力同じシチュエーションで検証することが重要です。もしテスト環境と本番環境が大きく異なっていた場合は、正しい検証を行うことができずテストでは問題なくとも本番ではバグが発生してしまうケースもあるので注意が必要です。検索結果に出てこないようにするGoogle検索などで出てくる設定にしてしまうと、クローリング(プログラムによるサイトの自動巡回)を受ける=インデックスされる可能性があります。テストサイトは本来のサイトと全く同じ情報を掲載しているため、クローリングを受けると本サイトの方まで重複サイトとカウントされてしまう場合も。重複サイトと判断されてしまうと、サイトの検索順位が下がってしまうなどSEO上よくない影響が多々あるため、以下の方法でアクセス制限をかけるのが一般的です。アクセス制限をかけるサイトがインデックスされるのを防ぐ、セキュリティ面でのリスクを低減するなどの理由から、テストサイトは一般のユーザーがアクセスできないよう制限をかけるのが一般的です。アクセス制限をかける方法としては、大きく分けてIP制限とBasic認証(ユーザー認証)の2種類があります。IP制限は特定のIPからのアクセスのみ許可する制限方法で、Basic認証はIDとパスワードを使ってログインを許可する方法のこと。セキュリティ面を考慮して両者を併用する場合もあります。WordPressでアクセス制限をかける場合は、どちらもサーバー内のファイルを編集する方法を取るのが一般的です。Basic認証であれば、プラグインを用いるという手もあります。5.まとめWordPressにおけるテストサイトとは、アップデート時などに不具合が生じないか検証するためのサイトのこと。テスト環境の構築は、デザイン崩れやアクセスエラーなどのトラブルを未然に防ぐには必要不可欠です。また通常のサイトとは異なり、一般のユーザーからは見られないようにアクセス制限をかけるなどの対策が必要です。もし自社の体制でテスト環境の構築ができない場合は、保守という形で外部に委託することも可能です。信頼性の高いサイトを運用したい方は、テストサイトでの検証を含む保守サービスの利用をおすすめします。

  • 2023.12.26 WEB制作

    【初心者向け解説】WordPressのコアファイルとは?
    今や世界中でシェアが広がっているWEBサイト作成ツール、WordPress。サイト構築の専門的な知識がなくても簡単に制作ができるため、プロアマ問わずさまざまな人が利用しています。サイトを作るのは簡単ですが、データのバックアップを取ったり、拡張機能を入れたりといったプラスアルファの作業となると、やや難しい専門的な用語も登場します。この記事では、アップデートやバックアップなどについて調べている方向けに「コアファイル」という単語の意味や使い方について解説します。自分のWordPressのコアファイルがどこにあるのか確認する方法もご紹介しますので、ぜひ参考にしてください。1.WordPressのコアファイルとはコアファイルとは、WordPressに含まれるすべてのファイルのことを指します。WordPressをサーバーにインストールすると、さまざまな種類のファイルがサーバー内のフォルダ(ディレクトリ)内に設置されます。このファイル全体をコア(中心部)のファイルという意味で「コアファイル」と呼ぶのが一般的です。「サーバーにコアファイルをインストールする」というのは「自分のパソコンにファイルをダウンロードして使う」のと同じ要領になると考えると分かりやすいかと思います。コアファイル内に入っているデータはサイト内部のシステムに影響を及ぼしているものも多いので、インストール後は基本的にはコードをいじったりしないのが鉄則です。また、コアファイル内には3種類の基本フォルダを中心に色々な種類のファイルが含まれています。WordPress本体のアップデートを行うと、このファイルの中身が置き換わっていくという仕組みでWordPressは日々更新されています。2.WordPressのコアファイルに含まれる基本フォルダ3種コアファイルを開くと、「wp-includes」「wp-admin」「wp-content」3つのフォルダといくつかのファイルが中に入っていることが確認できます。この3つのフォルダは機能によって内部のデータを分類するためのもの。それぞれのファイルを開くと、フォルダの内容に即したファイルを確認することができます。 wp-includeswp-includesはWordPressシステム全般に関するファイルを格納するフォルダです。具体的には、API・クラス・関数といったプログラムファイルやメール送信機能などが格納されています。WordPressの設計全体に関わっているファイルが入っているので、このフォルダ内に入っているファイルのカスタマイズには特に専門的な知識が必要です。wp-adminwp-adminは管理画面に関するファイルを格納しているフォルダです。WordPressの管理画面のURLをよく見ると「wp-admin」という文字列が含まれていることが分かります。このフォルダ内のファイルに異常が起こると、管理画面にアクセスできなくなるといったトラブルが発生することも。こちらもシステムの運用に関わる重要なフォルダです。wp-contentwp-contentはテーマやプラグインなどのサイト構築に関するファイルを格納するフォルダです。サイト全体のシステムに関わるファイルはほとんど入っていないため、デザインのカスタマイズをしたい場合はこのwp-contentフォルダに入っているファイルを編集することもあります。3.WordPressのコアファイルはどこから確認できる?コアファイルはサーバーの中にインストールされるものなので、契約しているサーバー内のフォルダ(ディレクトリ)を参照すると確認できます。サーバー内にログインする方法は契約している会社によって異なってきますが、主要なレンタルサーバー会社の場合はファイル管理(ファイルマネージャー)のページからアクセスすることができます。4.まとめコアファイルとは、WordPressに入っているファイル全体を指します。ファイルの内容を確認したい場合は、WordPressの運用を行っているサーバー内のフォルダ(ディレクトリ)をチェックしてみてください。また、このファイルに入っているデータはWordPressのシステム根幹にかかわる非常に大切なデータなので、安易にコードの中身を書き換えたりするのはおすすめできません。もしカスタマイズしたい場合は、専門的な知識を持った人に依頼して行うのがよいでしょう。

  • 2023.12.25 WEB制作

    WordPressの保守サービスの費用・相場は?失敗しない選び方をプロが解説
    情報漏えいなどネット上でのセキュリティリスクが重要視されている昨今、WordPressのサイトをサイバー攻撃などのリスクから企業サイトを守るための保守サービスが欠かせない存在になりつつあります。保守サービスを初めて導入する方は、どのくらいの費用が妥当なのか知っておくのが非常に大切です。現在保守サービスを利用している場合も、今の対応内容が相場に適しているかどうか定期的にチェックしておきましょう。当記事では、WordPressの保守サービスに必要な費用の相場や、初めて保守を導入したい人向けの失敗しない選び方をご紹介します。1.  WordPressの保守とは?基本的なサービス内容「保守」とは、WordPressで制作したサイトのセキュリティを管理する作業のことです。WordPressはオープンソースのサイト制作ツールなので、利用にあたってはセキュリティ面での保証がありません。また、プラグインやテーマなどの拡張機能との互換性にトラブルが生じることもあります。そのため、サイトを正常に動かし続けるには障害対応などを含めたセキュリティ管理が必要です。自分で保守作業を行うこともできますが、ある程度専門的な知識が必要です。そのため、企業サイトでは保守サービスという形で外注するのが一般的です。一般的には、以下のような内容がサービスに含まれます。アップデートの管理WordPressには定期的なアップデートがあります。アップデートへの対応のほか、不具合が発生してしまったときの問題解決も保守作業に含まれます。バックアップの取得アップデート後のトラブルに対応するために、あらかじめバックアップを取得して万が一の時に復元できるようにしておく必要があります。また、思わぬトラブルが発生したときのために定期的にバックアップを取っておくことも重要です。障害への対応どんなにセキュリティ対策を行っていても、なんらかの障害が起こるリスクはゼロではありません。データ改ざんや情報漏えいなどの被害が発生した際に復旧を行うのも保守作業の一つです。また、障害が起きたときなどに利用できるメール・電話でのサポートもサービスに含まれている場合もあります。サイトの死活監視サイトが動いているか監視することを「死活監視」といいます。改ざん被害などが発生した場合などにすぐ対応できるよう、死活監視ツールなどを用いて稼働状況をチェックしています。定期的なセキュリティ診断保守がされていないサイトでは、アップデートをせず放置していたり、セキュリティ面でリスクが高いと判断できるプラグインを使用していたりといったケースが多々見られます。サイト内部の脆弱性を見つけるセキュリティ診断を定期的に行うことも、安全なサイト運用には欠かせません。具体的な内容としては定期的なアップデートやバックアップの取得、障害が起こった時の対応など。保守作業はサイト制作者が自分で行うこともできますが、セキュリティを確保するにはサイト運用に関する専門的な知識が必要な場合になることもあります。そのため、企業のコーポレートサイトやオウンドメディアの運営では外部に委託する形で保守を行うのが一般的です。2. 保守にかかる費用の相場保守サービスを外部に委託する場合、どのくらい費用がかかるか気になる方は多いのではないでしょうか。サービスによって相場はさまざまで料金形態も会社によって異なりますが、多くの場合は月額制で料金が決まっています。一般的な費用相場について何点かポイントを絞って解説するので、必要なサービスがどのくらいの相場なのか把握しておきましょう。相場は月額5,000円~5万円一口に保守サービスと言ってもサービスの幅はとても広く、最低限の診断やチェックのみのサービスから手厚いサポートをしてくれる会社まで多様な選択肢があります。最も安いサービスでは1万円を切りますが、サイトの状態を監視するのみのサービスであったり、最低限のバックアップと復旧のみを行ったりという場合がほとんど。低予算のサービスでは障害が起きた時のサポートがないので、しっかりとした障害対応まで含めたい場合の予算は3万円以上になります。初期費用がある場合もWordPressの保守は導入時にセキュリティ診断やテーマやプラグインのアップデート情報などをチェックする必要があるため、初期費用を設けていることがあります。初期費用が無料であることを売りにしていることも多くありますが、保守サービスはすぐに終わるものではなく中長期的に利用するもの。最初に費用が抑えられるかではなく、ランニングコストがかからないかもしっかり考慮することが大切です。一律価格・オプション価格によっても異なる5,000円程度の保守サービスは一見安く見えますが、最低限必要な障害対応やメールサポート、セキュリティ診断などのサービスがオプションになっているので結局3~5万円と一律価格で提供しているサービスとほぼ同額になってしまうケースも多くあります。 ある程度専門的な知識が必要、かつトラブル発生時に特別なサポートが必要な分野なので、予算を比較する際は額面だけの数字で判断しないように注意しましょう。3.初めてでも失敗しない保守サービスの選び方費用以外にも保守サービスを選ぶときに大切なポイントはいくつかあります。複数のサービスを検討するときは、以下の要点を踏まえていざというときに困らないサービスを選べるようにしましょう。必要なサポートの種類を整理する社内の状況や自分のスキルによって保守サービスに求めるサービスは異なってくるはずです。それらを整理してから検討するのがおすすめです。例えば、社内に定期的なアップデートを行える人材がいる場合はサーバーの保守管理や死活監視のみのプランで安く済ませるのも有効かもしれません。もし人事異動や退職でWordPressを操作できる人が誰もいない状態であれば、サイトの運用までセットで行ってくれる会社を選ぶのが最適です。必要なサービスを整理するうえで特に注意しておきたいのは障害対応時や運用時の体制サポートです。安いプランはサポートがない場合がほとんどで、同じ数万円のサービスでもメール・電話など、対応方法が異なります。サポートしてくれる範囲なども会社によって違ってくるので、パッと見の料金で選ばずによく比較検討しておきましょう。実績のある会社を選ぶ十分な比較検討が必要とはいえ、サイトや資料の説明だけでは障害時にどうやって対応してくれるのかは分かりにくいと思います。一定のサービス水準を担保してくれる会社を見分けるコツは、実際にサポート対応をした実績があるかどうかを調べることです。これまでに保守や障害への対応をした経験がある会社はイレギュラーなケーススタディも豊富なので、自社サイトの仕様に合った柔軟な対処が可能です。WordPressは企業によって活用の仕方が大きく異なってくるので、フレキシブルに幅広いサポートを行ってくれるかどうかが重要なカギになります。起こりうるリスクまで考えた会社選びが重要保守サービスは起こりうるリスクに対応するための大切な要素です。導入にあたっては費用ももちろん重要ですが、それよりも大切なのは自社に合ったサービスを提供しているかどうか。サイバー攻撃などの重大なリスクに備えて慎重に選ぶようにしましょう。まとめWordPressの保守はサイトのセキュリティを守るうえで必要不可欠なサービスです。外部に委託するときの相場は月額5,000円~5万円ほどですが、安全にサイトを維持するには3万円以上の予算が必要だと考えてください。保守サービスを選ぶときは費用だけでなくサービスの内容までしっかり把握したうえで選ぶのがポイントです。さまざまな事態に対して柔軟に対応できる会社を選択するようにしましょう。ECマーケティングの保守サービス当社のWordPress保守サービスではサイバー攻撃などの障害への対策はもちろん、サイト改善案の提示や表示速度アップの施策なども提案いたします。AIを利用した最新の脆弱性診断ツールを用いて定期的に確認してレポートを作成するので、自社サイトの状況を常に把握できます。また、毎月お送りするレポートでアップデートやバックアップなどの基本的な保守管理状況を確認することも可能です。WordPress構築・管理実績200件以上の経験を生かして高度かつ柔軟なセキュリティサポートを提供しています。

  • WordPress セキュリティリスクと対策

    2023.12.25 WEB制作

    WordPressは安全?セキュリティリスクへの対策チェックや実際の被害事例を解説
    世界、国内ともにシェア1位のCMS「WordPress」。関わりがなくても名称だけは知っている、という人も多いのではないでしょうか。WordPressは非常に多くの人が利用しているサイト作成ツールです。個人のサイトはもちろん、企業のホームページやオウンドメディア運営などにも利用されています。その一方で、WordPressのセキュリティに関するトラブルも増加しています。しっかりと対策を打っていればサイバー攻撃などの被害に遭うリスクを未然に防ぐことができますがセキュリティ面での対策ができていない場合は万が一のトラブルに備えてリスクヘッジをしておく必要があるでしょう。この記事では、WordPressに存在するセキュリティリスクや実際の被害事例、簡単にできるセキュリティ対策のチェック方法などをご紹介します。1.WordPressのセキュリティリスクWordPressはサイト構築の専門知識がなくても簡単にサイトを作ることができるため、国内海外問わず様々な人が利用しているツールです。W3Techの調査によれば、世界市場で約62.6%のシェアを有しています。WordPressは商用利用も可能。無料で誰でもソフトウェアを利用できるようオープンソース(OSS)になっているのが大きな特徴です。そのため、WordPressそのものにセキュリティに対する確かな保証はありません。セキュリティチームによるアップデートは日々行われていますが、リスクへの対策が甘いまま利用しているとサイバー攻撃の対象になってしまう場合も考えられます。また、WordPressだけでなく別の機能を拡張するためのプラグインに脆弱性が見つかり、そこからハッキングなどの被害を受けることもあります。WordPress自体もプラグインも対策をしっかりしていれば基本的に危険性はありませんが、情報漏えいやデータ改ざんなどのリスクを回避するにはある程度専門的な知識を持って定期的に情報収集を行う必要があるでしょう。2. セキュリティの基本的な対策チェック本格的なWordPressの運用・保守には高度な専門知識が必要です。しかし、WordPressを触るのが初めての人でもできるセキュリティを守る簡単な対策方法もいくつかあります。ご自身のサイト運営に不安がある、まったく対策をしていないという方は、まず基本的な対策ができているかチェックしてみましょう。使わない機能(プラグイン)は削除しているかプラグインとは、WordPressで作成したサイトにさまざまな拡張機能を追加できるツールのことです。サイトのレイアウトを変更するなど見た目に関係するものから、データのバックアップやセキュリティ対策など内部の機能を充実させるものまで種類は多岐にわたります。昨今、SEO集客目的で取り組む企業が増えているオウンドメディアで導入されていることが多いSEO用プラグインがトラブルの発端となるケースもあるので注意が必要です。表示崩れが起きることを恐れてバージョンアップ自体を避けるサイト運営者も少なくありませんが、古いプラグインをそのまま放置しておくのはリスクが高く非常に危険です。長期間バージョンアップされていないプラグインは脆弱性が見つかって攻撃の対象になってしまうリスクが高まります。定期的にプラグインの内容を確認して、使っていないものは削除しましょう。プラグインは削除する以外にも無効化するという選択肢がありますが、無効化していてもファイルはそのまま存在するため危険性は残ってしまいます。過去の事例では無効化しているプラグインから被害に遭うパターンも報告されているので、被害を避けるためにもなるべく削除しておくのがおすすめです。ユーザー名・パスワードは推測されにくい文字列になっているかWordPressは初期設定時に自動でユーザー名とニックネームが同一になります。ニックネームはサイトに飛べば誰でも見ることができる投稿者の名前なので、ログイン時に必要なユーザー名と全く同じにしてしまうとセキュリティ上のリスクが高まります。ユーザー名は推測されにくい、なおかつニックネームとは違う文字列に変更しておきましょう。パスワードは名前や誕生日などを避けてなるべく無作為な文字列にするのがおすすめです。よりセキュリティ面を重視するなら、ログイン時にSMSやメールでの二要素認証ができるプラグインの導入もおすすめです。常に最新バージョンを使っているかWordPressは脆弱性への対応などで定期的にアップデートされています。最新バージョンのWordPressを使っている場合はデフォルト設定でソフトウェアが自動更新されるようになっているので、基本はONにしておきましょう。プラグインやテーマも設定で自動更新をONにすることができます。なるべくONにするかアップデートを欠かさず行うようにしてください。3. 不正アクセス・脆弱性の事例紹介WordPressの脆弱性を利用した不正アクセスやサイバー攻撃などの事例はこれまでにも数多く報告されています。ここからは実際に起きた事例をいくつかご紹介します。WordPress本体の脆弱性を狙った80万件もの大規模被害2017年、WordPress内のプログラムであるRest APIの処理に脆弱性があることが発覚。その直後。このシステムの脆弱性を悪用した攻撃が多発しました。WordPress向けのセキュリティプラグインを提供しているWordfenceが2017年2月に発表した情報※1によれば、80万件ものページが改ざんの被害に遭っていたとの情報も。改ざんされたホームページは詐欺サイトなどにアクセスする仕様になっており、大きな話題を呼びました。プラグインの脆弱性を突いたサイバー攻撃2023年、WooCommerce PaymentsというWordPress内の決済プラグインに存在する欠陥を利用した攻撃が発生※2しました。同年7月に発表されたWordfenceの情報※3によると、1日で15万7000のWebサイトに対して130万回以上の攻撃が行われました。WordPress本体が原因で起こった大規模な被害は2017年以降起こっていませんが、このようなプラグイン起因のサイバー攻撃は現在もたびたび発生しています。WordPressのプラグイン脆弱性報告は年700件以上筆者の集計では、2023年1月~11月の11ヶ月間でJVN(Japan Vulnerability Notes)に公表されたWordPressプラグインの脆弱性報告は743件。平均して1日1~2件と考えると、その数がかなりのものであることがわかります。上記で紹介したような脆弱性を悪用したサイバー攻撃を防止するため、多くの場合は脆弱性を公表する前にプラグインのアップデートが行われます。未然に被害を防ぐためにもこまめな情報収集やバージョンアップが重要です。>>>その他の脆弱性事例はこちらから<<<4.初心者向け・不正アクセスされているか調査する方法セキュリティに穴がある状態でサイトを運営していると、これまでに紹介したようなサイバー攻撃を受けるリスクが高まります。自社サイトが不正アクセスを受けていないかどうか簡単にチェックしたい場合は以下の方法を試してみてください。検索結果やGoogle Analytics、Google Search Consoleを確認するサイバー攻撃によってサイトの改ざん被害が起こった場合、Googleなどの検索エンジンでの検索結果に異常が発生することがあります。まずは検索エンジンから自社サイトをチェックしてみましょう。悪質なサイトへの誘導が発生すると、サイトのドメインがブラックリストに入ってしまうこともあります。ブラックリスト入りが起こるとサイトのトラフィック(ユーザーの訪問回数)が著しく減少するので、トラフィック数などが分かるGoogleアナリティクスを見てみるのも一つの手です。トップページを直接確認するページの改ざんが起こると、リンクが変わったり文字サイズが変わったり、場合によっては全く別のページに置き換わっていたりといった被害に遭うことがあります。まずはトップページを確認してみるのもよいでしょう。また、サイトにアクセスした際ブラウザに「サイトが危険にさらされています」といったメッセージが表示されたときも注意が必要です。脆弱性を確認したい場合はセキュリティ診断も今不正アクセスが起こっているわけではないものの、サイトのセキュリティに不安があるといった場合はセキュリティ診断サイトを利用すると簡単にセキュリティのレベルをチェックすることができます。多くのセキュリティ診断サイトはページのURLを入力するだけで診断してくれるので、知識がなくても容易に確認することができます。ただし、無料で診断できるツールには確実性があるわけではないので、企業サイトの脆弱性をチェックしたい場合は別途プロによる有料サービスの利用を検討しましょう。>>>お試し無料診断はこちらから<<<5.まとめWordPressはオープンソースのサイト作成ツールなので、登録やサイト制作自体にリスクはありますが、運用する上でのセキュリティ的な安全は必ずしも保証されていません。特にアップデートや使わないプラグインの整理など基本的なリスク対策ができていない場合は注意が必要です。そのまま放置しておくとデータの漏えいやサイトの改ざんなど深刻な被害に遭うこともあるので、早急に対処しましょう。※1 Wordfence+A Feeding Frenzy to Deface WordPress Sites※2 TECH++15万サイトに影響、WordPress人気プラグイン狙った大規模攻撃発生※3 Wordfence+Massive Targeted Exploit Campaign Against WooCommerce Payments Underway

  • WordPress アップデートの手順

    2023.12.25 WEB制作

    WordPressアップデートの手順を初心者向けに解説!不具合への対処方法も
    WordPressは世界で最も高いシェアを誇るサイト制作ツールで、無料でも利用できる手軽さと高いカスタマイズ性に人気が集まっています。何でも自由にできる反面、自分でサイト運用をしなければならないため初心者にとってはハードルが高い、難しいと感じている方も多いのではないでしょうか。特にアップデートの管理を行わないとセキュリティ面でのリスクが高まってしまうので、やり方や確認方法をしっかり理解しておく必要があります。この記事では初心者向けに安全なアップデートの手順を詳しく解説し、起こりがちな不具合への対処方法をご紹介します。1.アップデートされているか確認する方法まずはご自身のサイトがきちんと最新バージョンにアップデート(アップグレード)されているか確認しましょう。ちなみに2020年に公開されたバージョン5.5からはアップデートの自動更新がデフォルトでONになる設定になっているので、何も設定を変更していなければ最新バージョンになっているはずです。最新バージョンが何か知りたい方はWordPress公式のリリースアーカイブを参照してみてください。一番上に記載されている「最新リリース」が最も新しいバージョンです。サイトのバージョンは管理画面から確認管理者権限を持っている場合は管理画面のダッシュボードからバージョンを確認することができます。前述した最新バージョンとサイトのバージョンが一致していれば最新バージョンへのアップデートができているということになります。最新バージョンへのアップデートができていない場合は以下のように「WordPress●.●.●が利用可能です!今すぐ更新してください」と表示されるので、なるべく早く更新するのが安全です。自動更新の有効化は管理画面の「更新」からチェックWordPress 本体、プラグイン、テーマなどは自動でアップデートしてくれる設定にすることも可能です。管理画面の「更新」画面から確認することができます。自動更新の有効化はメリットもデメリットもあるため、本格的なサイト運用を行いたい場合は使い分けるのがおすすめです。サイトヘルスを確認してみる2019年に実装されたバージョン5.1以降、「サイトヘルス」という機能が利用できるようになりました。サイトヘルスとはサイトの健康度、つまりセキュリティ管理の状況を表示してくれる便利なツールです。更新していない項目がないかチェックできるほか、無効化されているのに削除していないテーマやプラグインなど、セキュリティ的にリスクが高い状態になっていないか通知してくれるので、定期的に確認してみるのがよいでしょう。管理画面の「ツール」項目の中にあり、更新していないプラグインやテーマがあった場合は改善が必要との表示が出てきます。2.WordPressのアップデート手順もし最新バージョンになっていない場合は、なるべく早急にアップデートすることをおすすめします。前述したように自動更新にすることもできますが、手動でアップデートを行いたい場合は以下の手順でやってみるのがおすすめです。安全にアップデートをしたいのであれば①~⑤までの手順をしっかり踏んで更新することを推奨します。しかし、ただ最新バージョンにアップデートしたいだけなら④本体を更新の作業のみでも一応可能です。なお、当記事では主にWordPress本体(コアファイル)の更新についてご紹介しています。コアファイルとはどの部分のことを指すのかくわしく知りたい方は、「【初心者向け解説】WordPressのコアファイルとは?」の記事もご参照ください。①バックアップを取るアップデート後に不具合が生じてしまった時に備えてバックアップを取っておきます。やり方は複数ありますが、初心者におすすめなのはレンタルサーバーのバックアップシステムかバックアップ専用のプラグインを使う方法です。特にバックアップ用プラグイン「BackWPup」は利用ユーザーが多い上に、自動バックアップ機能なども備わっていて非常に使いやすいのでおすすめです。当社のサービスでもこのプラグインを使ってバックアップを取っています。アップデート後にサイトへ直接不具合が出てしまうのを防ぎたい場合は、バックアップを取ってからテスト用に別のサイトを用意し、アップデートが無事にできるか検証することもあります。テストサイトについてくわしく知りたい方はこちらから。②テーマ・プラグイン・PHPが更新されているか確認する本体の更新と他ツールの更新は同時にできないので、もしアップデートできていなければ先に済ませておきましょう。確認したい場合はサイトヘルスを見るのが簡単です。更新していないまま本体をアップデートしてしまうと、デザイン崩れやエラーが出る可能性が高まります。③プラグインを無効化するプラグインは無効化してから本体の更新作業を行うようにしましょう。プラグインの機能を有効化したままアップデートしてしまうと、不具合があったときにどのプラグインが不具合を引き起こしているか判別が難しくなってしまいます。WordPressの管理画面サイドバーから「プラグイン」→「インストール済みプラグイン」で有効化/無効化を変更可能です。④本体を更新管理画面のダッシュボードから「更新」をクリックし、青いボタンで表示されている「今すぐ更新」をクリックします。これで更新は完了です。⑤プラグインを再度有効化アップデートが終わったら、プラグインを忘れずに有効化しておきましょう。問題がないか詳しく検証したい場合は1つずつ有効化してエラーが起こらないか確認していくのが鉄則です。不具合が出てしまった時の対処法は次章で詳しくご説明します。3.アップデート時の不具合への対処方法アップデート時には不具合が発生する可能性がかなりの頻度で存在します。不具合への対処方法はいくつかあるので、もしお困りの場合は以下の方法を試してみてください。バックアップを復元するエラーが起きた箇所によっては管理画面にアクセスできないこともあります。アクセスできる場合は新しいバージョンのまま原因を探すこともできますが、設定を変更できなくなってしまったときは最後に取得したバックアップを復元してから原因を特定していきましょう。「バックアップを復元→原因になりそうな要因を変更(以下で説明)→再度アップデート」の手順で進めていき、問題なくアップデートができるようになるまで続けてください。テーマ・プラグインなどが最新版になっているか確認するテーマやプラグインなどがアップデート対応の最新バージョンになっていないことが原因だった場合の対処法は簡単です。まずはテーマ・プラグイン・PHPなどのアップデートができているか確認し、できていなければアップデートしてから本体のアップデートを行ってみましょう。それぞれの項目のアップデート状況を確認したい場合は前述のサイトヘルスを確認するのがおすすめです。プラグインを無効化するアップデート時のエラーはプラグインの互換性が原因であることが多いです。前章の手順でもプラグインをあらかじめ無効化しておく必要があると述べましたが、まずはこの作業をきちんと行っているかチェックしてみてください。全てのプラグインを無効化してみて、問題が解決したら一つ一つ有効化して原因となっているプラグインを特定しましょう。バージョンに対応していないプラグインが見つかった場合はそのプラグインの使用を控え、似た機能を持った別のプラグインを用いるようにしてください。テーマをデフォルトに戻す使用中のテーマが原因であった場合はデフォルトに戻せば解決するはずです。一度デフォルトに戻してみましょう。「Twenty Twenty-One」、「Twenty Twenty テーマ」と、「Twenty Nineteen 」 3つのテーマどれに変更してもかまいません。管理画面の「外観」→「テーマ」から選択可能です。>>>セキュリティ的に安全なプラグインの選び方<<<それでも解決しない場合はプロに相談他にも考えられる不具合の原因はありますが、上記でご紹介した以外の方法で問題を解決する場合はコアファイル内のコードを削除・変更するなどの専門的な知識が必要です。また、現在使っているテーマがアップデートに対応していないとなるとテーマを変える必要がありますが、元のテーマに紐づいたデータの処理や新たな不具合に直面する可能性もあります。もし自分で取れる方法では解決できないと思った場合は、サイト運用のプロに相談するのも一つの手です。まだアップデートの不具合が発生したことがなくてもリスクを回避する目的で導入を検討してみてください。>>>WordPress保守サービスについて詳しくはこちらから<<<4.WordPressのアップデートは手動でやるべき?手動更新は管理が煩雑な反面、プラグインなどが原因で発生する不具合への対応も迅速にできます。放置してしまうとセキュリティ的な危険が生じる可能性があるので、初心者は基本的には自動更新にしておいたほうがよいでしょう。>>>WordPressの自動更新について詳しくはこちら<<<もっとサイトとしての信頼性を気にするのであれば、自動更新をONにすると不具合が発生したときの対応が遅くなってしまうのがデメリットとして挙げられます。そのため、例えば当社の保守サービスでは不具合が比較的発生しやすい大きなアップデート時には手動で更新作業を行っています。5.まとめWordPressのアップデートを手動で行う場合は、プラグインやテーマなどのアップデートが済んでいるか確認してから実行するようにしましょう。また、更新前にバックアップを取ったり影響がありそうなプラグインを無効化したりといった準備をしておくことも大切です。セキュリティを守って安全にアップデートを行いたい方は、プロに任せられる保守サービスも検討してみてください。