WordPressサイトのセキュリティがご心配な方へ

WordPressサイトの脆弱性がご心配ではないですか?

セキュアなサイト運営の基本である常時SSL、そしてOS・ミドルウェア・テーマ・プラグイン・WordPress(メジャー/マイナー)のアップデート、WAFの導入、脆弱性診断、WordPressソースコードレビュー、その他豊富なソリューションを弊社ではとりそろえ、お客様のWordPressサイトのセキュリティ対策をお任せいただいております。

常時SSLについて

常時SSLに関しては、侵入・改竄に対し大変有効な防御策であるにも関わらず、日本国内では、まだ十分に導入が進んでいないのが実情です。また、多くの方が『フォーム』など、個人情報が流れる一部のページだけSSL化を施せば安全だと誤った解釈をしており、それが導入が進まないひとつの要因となっております。

現実のハッキング被害の多くは、フォーム以外からの侵入です。特に『Firesheep』や『SSL Strip』のような脅威に対してはフォームだけのSSLでは効果がなく、その危険性を早くから認識した欧米では、積極的に常時SSLの導入が進められてきました。

また、Google Chrome では、SSL化未対応サイトには安全でないことが明示されるようになり、SEO的にも、SSL対応サイトは順位表示で優遇するとのアナウンスがありました。世界的常時SSL導入の流れは、今後も加速するように思います。

弊社の常時SSLはHTTP/2を利用することで、スピードを犠牲にすることなく、セキュアな環境を実現いたします。弊社は高い技術力と経験で、導入時のデメリットを最低限に抑えます。例えば「http://」から「https://」に代わる件や、URL変更に伴うトラフィックの減少、『いいね!』などSNS評価が0に戻ってしまうなどの問題は、適切なリダイレクトなどのチューニングを施すことで、ほぼ問題なく対応することが可能です。「いいね!」などSNS評価も、思いのほか早いペースで回復していきます。

アップデートについて

WordPressは脆弱性が多いとよく聞かれることはありませんか。ある意味正しいのですが、正確とは言えません。

WordPressの脆弱性は主にプラグインやテーマに発生していることが多く、その場合でも適切にバージョンアップを行っていれば、それほど脅威になることは稀です。

アップデートをしないとどうなるか?

機能のアップデートであればそれほど慌ててバージョンアップを行わなくても問題が発生することもありませんが、脆弱性に関するアップデートの場合は、可能な限りできるだけ早くアップデートを行わないと、脆弱性情報が公開されてしまうことで一斉に攻撃が始まったりしてしまうため、Webサイトを危険にさらすことになってしまいます。

脆弱性の内容次第では、サイトのコンテンツを書き換えられてしまうこともありますし、フォーム等の入力内容をデータベースに保管していた場合、個人情報の漏えいにも繋がってしまいますので、企業の信頼性を落としてしまうことに繋がってしまいます。

WordPressサイトのアップデートを行う方法

WordPressサイトのアップデートには大きく分けて3つのアップデートの必要があります。それぞれ、WordPressコア、プラグイン、テーマファイルのアップデートに関しては、WordPressに管理者でログインし、管理画面からアップデートを行うことが可能です。

WordPress本体(コア)のアップデート
WordPressコアのバージョンには、マイナーアップデートとメジャーアップデートと呼ばれるものがあります。マイナーアップデートとは主に緊急性の高いバグの修正であったり、脆弱性のアップデートが含まれます。なお、機能の追加などがマイナーアップデートで行われることはありません。

マイナーアップデートのバージョン表記の例 4.8.0 → 4.8.1 ※ 3つ目の数値が変更されます。

メジャーアップデートとは、主に機能の追加であったり、大規模な改修などが含まれます。メジャーアップデートでは使われなくなった(非推奨)WordPressの関数などが削除されたり、管理画面が変更されることや様々な機能の改修、新たな機能の追加など、大きな機能変更が伴うことも多いため、プラグインやテーマがそれらに対応していない場合、WordPressサイトが停止してしまうことも可能性としては考えられます。

メジャーアップデートのバージョン表記の例 4.7.5 → 4.8.0 ※ 2つ目より前の数値が変更されます。

プラグインのアップデート
WordPressのプラグインと呼ばれる拡張機能については、それぞれのプラグインの作者(個人・企業等)が独自にアップデートを行っているため、そのタイミングもバージョン表記も一定の基準はありますが、厳密に管理されているわけではありません。しかも、まれにバージョンアップそのものに不具合が含まれていることもあるため、バージョンアップの直後に再度バージョンアップが行われることがあるなど、手動ですべてのプラグインをアップデートするにはそれなりの手間がかかってしまいます。

しかし、WordPressの脆弱性として報告される多くのものがプラグインやテーマであったりすることから、バージョンアップを行わないという選択肢はWebサイトそのものを危険にさらすことになりかねないため、アップデートを自動化することも求められています。

WordPressテーマのアップデート
WordPressサイトの見た目などを決定するテーマと呼ばれる機能についても、WordPressの公式ディレクトリから導入しているテーマファイルであるならバージョンアップが発生します。テーマファイルを直接編集してしまうとこのバージョンアップで編集結果が上書きされてしまうため、通常は子テーマとして改修用のファイルを作成しアップデートに備えます。

プラグインと同様、テーマファイルに関しても、制作者が独自にアップデートを行うため、そのタイミング等は調整が難しくなります。また、制作会社などに頼んで作成してもらったテーマファイルなどの場合、アップデート自体は発生しないため、WordPressコアのバージョンアップなどに対応する場合には、制作会社に依頼するか、もしくは自信で改修を行うなどの必要があります。

アップデートを自動化する

WordPressコア、プラグイン、テーマファイル等のアップデートを自動化するには、専用のプラグインを使用する方法と、KUSANAGIの自動アップデート機能を使用する方法などがあります。

KUSANAGIの自動アップデート機能では、アップデートを行う曜日や時間帯などを選ぶことが可能ですので、最もアクセスの少ないタイミングを指定して自動アップデートを実行することも可能となりますので、是非ご利用の検討を行ってみてください。

セキュリティ対策をアウトソーシングする

弊社では、セキュアなサイト運営の基本である常時SSL、そしてOS・ミドルウェア・テーマ・プラグイン・WordPress(メジャー/マイナー)のアップデート、WAFの導入、脆弱性診断、WordPressソースコードレビュー、その他豊富なソリューションをお客様にご提供しています。

またバージョンアップについては、たとえば他社制作のWordPress、カスタマイズされたWordPress(テーマ、テンプレートだけでなくコア部分のカスタマイズも含む)に於いても、実施可能です。もしバージョンアップ時にトラブルが発生した際は、バージョンアップ前と同じ状態になるまで、弊社が責任を持って調整致します。

更により強力なセキュリティ対策サービスのため、サイバーセキュリティの業界の権威、イーガーディアングループのHASHコンサルティング株式会社 徳丸 浩氏を顧問とし、一層の安全性担保に努めております。

情報漏洩、改竄などによるイメージ悪化、顧客からの信頼喪失となる前に、是非、弊社「プライム・ストラテジー株式会社」までご相談ください。

お客様の課題を解決するソリューション、
条件に沿ったベネフィットあるご提案をさしあげます。

03-6551-299603-6551-2996

受付時間 9:00-18:00 (月曜日~金曜日)
お問い合わせフォームへ
To top