自分でできるWordPress保守の基本：一番大事なことは更新・アップデートです！　

仕事や趣味で小規模なWordPressのサイトを運営している方へ向けた、サイト保守・運用の基本です。

セキュリティ対策の保守はなぜ必要？

サイバー攻撃・脆弱性・不正アクセス・サイト改ざんなどという言葉を聞いたことがありますか？

「自分のサイトには、サイバー攻撃なんかされる意味がない、攻撃しても誰も得しない…」と思う人も多いかもしれません。

しかし、サイバー攻撃によるサイト改ざんは、誰でも被害に遭う可能性があります。

なぜなら、
攻撃者は、機械を使って、脆弱性のあるサイトを探してターゲットを決めているからです。

検索エンジンが機械でサイトを検査するように、攻撃者は特別なツールで攻撃可能な相手＝脆弱性あるサイトを探しています。

ツールを使えば、管理画面に入らなくても、どんなプラグインを使っているかを調べられたりもできてしまいます。

サイトの内容や管理者個人やとは関係なく、ただ単に「脆弱性があり、それが機械で見つかった」というだけの理由で攻撃をしてくるケースがとても多いのです。

WordPressのセキュリティ保守が必要な理由の第一に、「サイトに脆弱性がないようにする」ということがあげられます。

WordPressサイトの脆弱性

WordPressの脆弱性は、どのように発生するのでしょうか。

サイトが完成した時点では、コア（本体機能のファイル群）・テーマ（表示部分や一部の基本機能に関するファイル群）・プラグイン（拡張機能のファイル群）は最新版であるはずです。

これらのファイルは、アップデートがなされます。アップデートの目的は、機能の向上・バグの修正など様々です。

この過程で、脆弱性が発見されたり、そこに修正を加えたりしています。

長い間脆弱性があったが、誰にも気付かれず、悪意のある攻撃にも使われなかった、というケースもあります。

親切な人が、使用中のプラグインの脆弱性を見つけて開発者に報告し、修正版がリリースされる、ということもよくあります。

これは、WordPress使用者が皆使っているコアのファイル群にも起こることです。

最近では、2022年3月11日に、WordPressのコアファイルのセキュリティアップデートがありました。

これは、最新のものが更に新しくなった、ということではなく、過去にリリースされた古い本体ファイル群（3.7系）にまで遡って適用されています。

3.7系の最初のリリースは2013年ですので、9年前からあるコアファイル群とそれを使っているサイトにも、リスクがあったと言えるのです。

サイト開設当初は最新だったＷordPressも、時間がたつと古くなります。

脆弱性はその過程で、脆弱性が発生することが多いのです。

サイト自体は、投稿が増えて、最新情報が掲載されているかもしれませんが、その内臓にあたるファイル群部分にも手入れをしないと、いつの間にかリスクの高いサイトになってしまいます。

比較的新しいWordPressでは、コアファイルを自動更新する設定がなされていることがあります。

特に、セキュリティ更新は、自動で行われる設定になっていることが多いです。

テーマによっては、「自動更新がされない・通知もない」という設定になっていることがあるので注意してください。

自分でできるWordPress保守

ご自身のサイトや、会社のサイトのリスクを減らすために、まずできることは

コアファイル・テーマ・プラグインの更新

です。

有料でも様々なサービスがありますが、できるだけコストをかけずにできることは、こまめな更新です。

これに尽きると言っても過言ではありません。

Windowsの更新や、携帯のOSやアプリ更新と同じように、お使いのサイトのファイル群も時々アップデートが必要なのです。

これが、自分でできるセキュリティ保守の要になります。

簡単に、アップデートの手順を説明します。

WordPressコアのバージョン確認

まず、ご自身のWordPressサイトのバージョンを確かめましょう。

WordPressの管理画面にログインして、最初に表示されるダッシュボードにある「概要」に表示されています。

サイトヘルスをチェック

管理画面のサイドバーから、ツールを選択し「サイトヘルス」を確認します。
（WordPress5.2以降のバージョンにある機能です）

ここでの注意事項を見て、PHPのバージョンが古くないかを確認します。

古い場合は、例えば「サイトが PHP の古いバージョン (xxxx) を実行しており、更新をおすすめします」というようなアラートが表示されます。

PHPのバージョンは、お使いのレンタルサーバーのコントロールパネルで変更します。

この、「サイトヘルス」はサイトごとに安全性を確認し、有用な情報を提供してくれますので、時々チェックすると良いと思います。

サイトヘルスの活用方法の詳細については、こちらの記事をご覧ください。

サイトヘルスの画面例です。

PHPは古くありませんでしたが、プラグイン更新のアラートがありました。

バックアップをとる

更新をする前に、念のためバックアップをとることをお勧めします。

特に、長い間更新をしないでいた場合、バックアップはより重要です。

稀に、テーマやプラグインの更新によって、サイトの見た目が変わってしまったり、一部のプラグインが動作しなくなったりすることがあります。

その時の為の保険として、バックアップを取っておきましょう。

FTPやレンタルサーバーのコントロールパネルを経由したバックアップが難しい方は、プラグインを利用してもバックアップが可能です。

バックアップ方法がわからない場合は、All-in-One WP Migration、BackWPupなどのプラグインでバックアップデータを作成することもできます。

↓プラグインを使ったバックアップの作成方法

ワードプレスのファイル、データベースを自動でバックアップしてくれるプラグイン「BackWPup」

更新する

ダッシュボードの、「更新」という項目に入ると、更新に関する情報が表示されています。

必要なものを更新しましょう。

WordPress本体は、セキュリティ更新が自動で行われていれば、比較的安全です。

ただし、サイトによっては、自動更新をしない設定になっている場合もあるので、注意してください。

テーマは、デフォルトテーマ（最初からWordPress本体に入っているテーマ）については更新情報がきちんと表示されます。

一部の有料テーマは、このページに更新情報が出ないこともありますので、テーマの入手元のサイトから、最新情報を確認しましょう。

オリジナルのテーマの場合は、テーマの更新等をしないことが多いと思います。

デザイナーさんや制作会社に制作を依頼する際には、納品の際にメンテナンスの方法について確認しておきましょう。

プラグインの更新は、とても重要です。

Adovanced Custom Fieldや、Contact Form 7などは、頻繁にプラグインのアップデートがあり、WordPressの進化に合わせて修正や改善が進んでいます。

その間に、バグ修正だけでなく、セキュリティ改善も行われますので、こまめにチェックし、更新することをお勧めします。

手動で更新する場合は、必要なプラグインをひとつずつ更新し、更新後サイトの動作を確認します。

サイトの表示内容に関わるプラグインの場合は、更新したら、トップページ・投稿ページ・固定ページ、特別な動作があるページ（問い合わせフォームや販売ページ等）のページを開いて、異常がないことを確認します。

プラグイン更新の頻度

WordPresssのプラグイン更新は、できるだけこまめにした方が良いと思います。

新しいバージョンが出たらすぐに！が望ましいです。

というのも、セキュリティ更新の場合は、その内容が発表されていることが多いのです。

どのプラグインにどのような脆弱性があったか？という詳細が発表されます。

これは私たちにとっても有用な情報ですが、サイトへの攻撃をする人達にとっても同じです。

攻撃者は攻撃方法を同じように確認し、攻撃の方法を増やしていきます。

攻撃者にしてみれば、皆が気が付かないうちに最新の脆弱性を突いた攻撃をしたい、というわけです。

ですので、更新はできるだけ早く行うと、より安全になります。

本来は、更新の内容や理由を確認できることが望ましいです。

しかし、プラグインによっては、セキュリティ対応の更新があった場合でも、明確にそれを表示しない場合もあります。

初心者の方の場合は、更新の理由が、バグ修正であろうが、セキュリティ更新であろうが、それを確認できていなくても構いません。

更新は通知を見かけ次第することをお勧めします。

頻繁にサイトの投稿や編集をする人は、ログインする度にプラグイン更新のチェックをしても良いと思います。

常に最新の状態であれば、毎回バックアップを作らなくても、問題が起こりにくくなります。

プラグインについては、自動更新の設定をしてしまっても良いと思います。

但し、大幅なプラグイン修正などがきっかけで、サイト表示に影響が出る可能性もゼロではありません。

サイトをあまり使わない人は、1ヵ月に1回はサイトの状況を確認し、バックアップをとりましょう。