「保守管理業務の契約をするほどでもない規模なので悩んでいる」
「月々の保守のコストがかかりすぎるので難しく、自衛策を知りたい」
WEBサイト(ホームページ、ECサイト)をつくり公開した後で、そのページをトラブルなく維持するために実施する保守管理といわれる業務があります。サーバーの管理やバックアップ、セキュリティ対策等がその内容ですが、ほとんどの企業でWEB制作会社に外部委託されています。
「保守契約を結ぶ」と、月々のメンテナンスや安全に維持するために必要な管理業務をお願いできるため、毎日問題なくWEBサイトが動き、誰でも安全に利用できます。もしトラブルが起これば、適切に対応して解決してもらえます。
しかし、保守管理業務はWEBサイトがある限りずっと続くため、業務の委託費用はランニングコストとしてどんどん積み上がってきます。どれだけ安くても月額5,000円必要ですので、年間6万円。小規模なWEBサイトであれば、それだけの費用を払って保守を毎月依頼するのは負担に感じてくるはずです。
その保守管理のために支払う費用でどんな保守をしてくれているかは契約内容によります。一般的には、サーバーやドメインの更新対応、バックアップデータの取得、外部からの攻撃監視・対策、CMSやプラグインのバージョンアップです。
外部委託費用が負担になってきたら、自社内でできる保守管理に切り替えましょう。ただ何の対策もせずに保守管理契約を切ってしまうのは危険です。トラブルがあったときにバックアップデータがなければWEBサイトは復活させられず消えてしまいますし、外部攻撃を防止するプラグインを入れるのと入れないのとでは攻撃を受ける確率が変わります。
また、WordPressで構築されているサイトは世界中からその脆弱性を狙われ、攻撃されやすい対象となっているといわれています。構造のわかりやすさや、そもそも使っている人が多いからという理由です。
しかしWordPressを使っていればセキュリティ対策用のプラグインも多く、無料で使えるものもたくさんあります。うまく活用すればよいですね。
今回は自社内で保守管理するためのセキュリティやバックアップのWordPressプラグインをご紹介します。
ランキング形式でインストールする優先度の高いプラグインから5つご紹介しますので、これから対策をスタートさせるのであれば上から順番に入れていってください!
5つ入れていただければ、何もしていない状態よりセキュリティ対策が強化され、バックアップも取れるので安心安全度が確実に増します。
では優先順位ランキング1位から発表していきます!
(※同じようなプラグインがいくつもあるものは、使っている人が多く機能がシンプルなものを”使いやすさ優位”と考え、ランキングに使用しています。)
1.バックアップデータ取得プラグイン「BackWPup」
まず何よりも大切なのがWEBサイトデータのバックアップです。
データの保護ができていなければ、トラブル時やサーバーの不具合でWEBサイトが消えてしまった時にリカバリすることもできません。
WEBサイトをどれだけしっかり保守管理していてもサーバーのミスや不具合でデータが消えてしまうこともあります。また、人間のしていることですのでヒューマンエラーで消してしまうこともあります。そのような不可抗力時にもバックアップデータがあれば損害を減らせます。
この「BackWPup」はWEB制作関係者の中でもいちばん使われているプラグインです。無料ですが安定して動作するので、心配なく大切なデータを任せることができます。
◯サーバー上のデータ、データベース上のデータのどちらもバックアップできる
WEBサイトを構成している2つのデータの定期バックアップに対応しているので、これを1つ入れておけば安心です。また、そのバックアップデータをサーバー内でなく外部の保存先に入れたり、メールで送ったりすることも可能。サーバーの不具合があったときのため、バックアップしたデータは外部へ送っておくと安心ですね。
さて、バックアップができたら次は外部攻撃からWEBサイトを守るための対策を行います。
2.不正アクセスブロックプラグイン「IP Geo Block」
外部から攻撃を受けるとWEBサイトがどうなってしまうか?というと、特徴的な被害は”改ざん”です。WEBサイトを書き換えられたり、勝手にファイルをサーバーに入れられたりします。自社被害だけでなく、その先の第三者に被害を与える可能性もあるため、”改ざん”は非常に怖い攻撃です。
手動で対策する方法もありますが、このような攻撃は日々変化し、手動では到底対応できません。非効率ですので、プラグインを入れるのが懸命な手段です。
様々なプラグインの中で、簡単な設定で強固に不正アクセスをブロックしてくれるプラグインとして支持を集めているのが「IP Geo Block」です。
◯海外からのアクセスを防ぐことができる
IPアドレスの制御をかけることで、国ごとのアクセスの許可・不可を選べます。
日本は許可でそれ以外はNGなど、厳しくアクセスに制限をかけるような設定も可能です。
日本語で開発されたファイルなので、すべて日本語。
セキュリティ対策というと難しいイメージがありますが、平易な言葉で書いてくれているのでどなたでも安心して利用できます。
このプラグインで海外のIPアドレスからコメントの書き込みができないようブロックすると、スパムコメントが激減します。スパム対策プラグインとして活用し、いろいろな言語で書き込まれる無意味なコメントをこれで一掃しましょう!
次はWordPressのログイン画面への攻撃を防止するプラグインです。
3.不正ログイン防止プラグイン「Limit Login Attempts」
ログイン画面への攻撃というと、パスワードを総当りで入れて不正ログインしようとする”パスワード総当り攻撃”です。この攻撃がいちばん多いので、まずはコンピュータがパスワードの検証を行い、手動ではできない規模の解析をしてパスワードを解読しようとします。
ログインされてしまえば、WEBページの”改ざん”や乗っ取りが可能になりますので、全力で阻止しなければいけません。
◯設定した以上のログイン認証失敗を繰り返すと自動的にロックを掛ける
何回目までログインのやり直しができるか、自由に設定できます。
インストールしただけで制御が始まります。初期設定もかなり厳しい設定になっているので、インストールするだけでも効果があります。
また、ログイン画面にロックがかかった履歴が残るので、攻撃対象になっているかどうかも目視できます。あまりロックがかかる回数が多ければ設定をより厳しくしておいたほうが安心でしょう。
どの国から攻撃を受けているかもわかるため、2で紹介した「IP Geo Block」にその国のIPアドレスからのアクセスを受け入れない設定をするといった対策も可能です。
4.ログインページのURLを変更するプラグイン「SiteGuard WP Plugin」
WordPressが攻撃を受けやすい理由のひとつに、構造のわかりやすさがあります。
初期設定のままではどのWEBサイトであってもログイン画面のURLが「〜〜/wp-login.php」となります。それは攻撃する側からすれば「ここに攻撃対象があります」と教えてくれているようなもの。
管理画面にロックをかけたら、次にその管理画面のURLも変更し、より攻撃する場所をわかりづらくしましょう。
◯インストールして有効化するだけでログイン画面のURLが変更される
これまでログインしていたURLが変更になるので、ブックマークされている方は必ず更新を。変更後のログインページは、管理画面の「SiteGuard」>「ログインページ変更」から新しいログインページがわかります。
そのほかにも機械的な攻撃に対応する機能がたくさんあります。すべての機能は以下の記事で解説していますのでもっと詳しく知りたい方は合わせてご確認ください。
→WordPressのセキュリティ対策プラグイン「SiteGuard WP Plugin」オススメ設定と注意点
5.ユーザーIDが漏れるのを防ぐプラグイン「Edit Author Slug」
前項で初期設定のままWordPressを使っているとログイン画面URLが共通なのですぐバレてしまうという指摘を書きましたが、実はユーザーIDも漏れてしまっています。
■サイトURL/?author=1
ブラウザにこのアドレスを入力すると画面が切り替わり、ログインID入りのURLが表示されてしまいます。初期設定のままではすべてのWordpressを入れたWEBサイトで同じ仕様です。
そのため、攻撃する側からするとログインIDを検出するのは手間いらずで簡単ということに。解析する必要もないので攻撃しやすい対象となってしまいます。
そこで、プラグインを使って、IDが見えないように対策しておきます。
「ユーザー」>「あなたのプロフィール」へ進むと、「投稿者スラッグ」という新しい項目が追加されています。「カスタム設定」でユーザー名と別のIDを設定します。アンダーバーは使わず、ハイフンを使います。
これで推測されづらくなりますので、攻撃対象となる確率は下がります!
7.まとめ
ここまでにWordPressでつくられたサイトのセキュリティ対策として必ず入れておくべきプラグインを優先度順にランキングで紹介しました。
WordPressを使っているとプラグインがたくさんあって便利ですが、弱点は初期設定のままだと多くのWEBサイトで共通している部分があり、攻撃する側としては狙いやすくなるという点です。
専門の業者さんと保守契約を結べばある程度は対策してくださいますが、自衛でもこれだけのことができます。こちらで紹介した5つは優先度順にインストールしていただき、安心安全なWEBサイトを構築してください!
ただ、とはいえWordPressでも、他どのようなサイト、システムにでも、固定のIPアドレスで管理画面やFTPに接続制限を行うのがいちばん安全な対策です。固定IPアドレスが必要なので導入が難しいことが多いですが、そのような対策を取って万全に対応することもできます。WEB制作時やシステム会社に相談の上、どこまでセキュリティ対策をするかご検討ください。