弊社では、他社様で制作されたWordPressのサイトを引き継いで保守・運用を行うことがあります。
「制作した業者と連絡がつかない」「全然サポートしてもらえない」などの理由からメンテナンス不足で不具合が出てしまっているサイトも見受けられます。

今回は、「便利さ、手軽さを求めてWordPressでのサイト運用を選択したはずが、逆に苦労していないですか？」というお話です。

昨今はWordPressに対する攻撃が増えており、セキュリティ対策、運用方法をしっかりしていないとトラブルに巻き込まれてしまうことがあります。
サイト改ざんや停止の状態になってしまうと復旧にとても時間がかかったり、バックアップからの復元がうまくいかず消失してしまったり、何度も改ざんされてしまったりと非常に大変です。

私達技術者もセキュリティ対策や不具合の復旧にリソースを奪われるよりは、気持ちよく制作を行いお客様へ納品し、納品後も気持ちよく使っていただけるようなサイト制作を行いたいと思います。

WordPress自体は素晴らしいツールですので、リスクを考慮したうえで適材適所で使用していくことが望ましいと考えます。

WordPressでのサイト運用の注意点

WordPressの便利さ、利点については皆さんご存知の通りと思いますが、その反面注意すべきところが多数あります。

WordPressやプラグインを最新に保つ、セキュリティプラグインなど対策を行う

これをしっかりしないと脆弱性をつかれてサイトが停止したり、マルウェアを仕込まれてしまったり、サイトが乗っ取られたりすることがあります。
WordPressのバージョンについては、サーバーによっては最新にすることができないこともありますので、その場合はサーバーの引越が必要になります。
また、WordPressのアップデートをしたが、使用しているプラグインがアップデートに対応しておらず使えなくなる、といった不具合が出たりもします。

関連記事はこちら↓

WordPressで推奨されるパーミッション設定について

WordPressサイトが改ざんされたら「Anti-Malware Security and Brute-Force Firewall」がおすすめ。

サイト表示が遅くならないように注意する

サイト表示を速くするプラグインもあるのですが、プログラムで動いているため遅くなることも多いです。
昨今ではサイト表示が遅いと機会損失につながりますので、遅くならないよう常にメンテナンスは必要となります。

関連記事はこちら↓

【Safari14から対応】次世代フォーマットWebPへ移行する（WordPress）

問い合わせフォームからのスパム対策

WordPressの問い合わせフォームに対してスパム対策を行わないと、ある日突然数千件といった迷惑メールが届いてしまったりすることがあります。
自社サイトであればまだ良いのですが、お客様へ納品したサイトだったりするとお客様が迷惑を被ってしまいますのでサイト管理者としては注意が必要です。

関連記事はこちら↓

【WordPress】Contact Form 7のスパム対策

突如トラブルに見舞われる

WordPressにおいては「何もしていないのに動かなくなった！」というどこかで聞いたことあるようなトラブルが多発します。
攻撃による改ざんやマルウェア設置の場合もあるのですが、大半は自動アップデートなどによるプラグインの不具合で、以下のようなものがよく起こります。

• なぜか予約投稿ができなくなる
• いつの間にかアクセス（Googleアナリティクス）が取れていない
• 絵文字が使えなくなった
• 問い合わせフォームからメールがいっぱい来る
• 表示が遅くなった

その他の注意点

不具合ではないのですが、お客様自身で自由に更新や編集ができる部分も注意が必要です。
サイトデザインに合わないスライドショー画像やバナーの設置、文字装飾などが行われることで、サイト閲覧者にとってはあまり望ましくないサイトになってしまうことがあります。

また、よく調べずWordPressの更新やプラグインのアップデートを行い、サイトが停止したり表示が崩れたりなども起こります。

弊社がおすすめするWordPressとの付き合い方

一度原点に立ち返り「WordPressはブログを簡単に導入できるツールである」という部分を尊重してみてはいかがでしょうか。
スタッフブログやお客様の声など、Webの技術者でなくても情報発信ができる非常に便利なツールですので、本来の使い方に限定してみるという考え方もありだと思います。

静的HTML + ブログ（WordPress）でのサイト制作

静的HTMLでのサイト制作はプログラムではないので、攻撃に対する改ざんやサイト停止のリスクがとても低いという利点があり、サイト表示も早いということがあげられます。
静的HTML + ブログ（WordPress）という構成にすることで、攻撃によりブログが停止してしまってもWebサイト全体が止まるわけではないので、機会損失を最小限に留めることができるのではないでしょうか。

企業サイトでは会社概要や業務内容のページなどを頻繁に更新はしないと思いますので、その都度、保守担当の技術者にお願いすれば良いと思います。

問い合わせフォームは別途実装する

WordPressの問い合わせフォームプラグインは使っているサイトが多いのですが、逆に多いことによって攻撃やスパムの対象になりやすいと思います。
ですので、問い合わせフォームは別途実装を行うのが良いかと思います。
サイト制作ができる技術者であればPHPで制作されている問い合わせフォームプログラムの実装もできると思います。

ニュース更新は専用のCMSを導入する

ニュース更新はWordPressでの実装も可能で得意分野ではあるのですが、ニュース更新専用の簡易CMSも多数あります。
弊社では安価なニュース更新CMSを都度購入してお客様へご提供しています。

ショッピングサイトは専門の外部サービスを利用する

WordPressは攻撃の対象になりやすいことから、ショッピングサイトや会員制サイト運用には特に注意が必要です。
サイト停止に伴う損失や会員情報の漏えいのリスクが伴いますので、外部のショッピングサイトサービスを利用しましょう。
クレジット決済や在庫管理、メールマガジンなど便利な機能のほか、セキュリティ対策もしっかりしている印象があります。

まとめ

いかがでしょうか。
安易にWordPressでのサイト制作を選択するのではなく、目的に沿った制作、機能の実装を行えば低リスクで運用のしやすいサイトになるのではないでしょうか。
運用しやすいサイトであれば運用コストも抑えられるはずです。
セキュリティ対策も重要な知識と技術ではあるのですが、限られたリソースはサイト更新・改修などに割り当てたいものです。

サイト制作、サーバーのご相談承ります

他社様が制作したサイトの運用の引き継ぎも行っておりますのでご相談いただければと思います。
新しいサーバーへの引越作業代行、WordPressサイトから静的HTMLへの作り変え、リニューアルの制作も承ります。
その他、独自ドメインの取得、ホスティングサーバー、サーバーの運用サポートも行っておりますので、サーバー周りでもお困りであればご相談くださいますようお願い致します。

サイト制作、サーバーのご相談はこちら

この記事を読んだ方はこちらも読まれています

デザインそのままMovable Type→WordPress移行 【WordPress】Contact Form 7のスパム対策

皆様こんにちは。ネットワーク事業部の生方です。

皆様はマルウェア対策はできていらっしゃいますか？
一般的にマルウェアというとパソコンやスマートフォン、サーバなどに感染するものというイメージが強いですが、実はネットワーク機器であるルーターに感染するものも存在し、急激に感染が拡大してきています。

今回はルーターに感染するマルウェアに注目し、その影響や対策法などについてご紹介していきたいと思います。

なぜルーターが狙われるのか

すべての通信が集約される

ルーターの役割は異なるネットワークの間を繋ぐことです。
社内や家庭内のネットワークからインターネットへ繋ぐためには、ルーターを経由して通信するのが一般的です。
そのため、ルーターの通信状況を把握したり、ルーターの動作を掌握することができれば通信のすべてを握ったも同然になります。

端末に比べてマルウェア対策しにくい

市販されているセキュリティ対策ソフトの大半は、パソコンやスマートフォンなどの端末にインストールして使用するものとなります。
そのため、端末自身に侵入してくるマルウェアは防ぐことが可能ですが、通信経路にあるルーターまでは監視・対策することができません。もしルーターがマルウェアに感染したとしても、異変に気づきにくいのが問題となります。

ルーターがマルウェアに感染すると何が起こるのか

通信情報を盗まれる

先にもお伝えしましたが、ルーターはネットワークに接続するための中継点で、基本的にはインターネットを利用するすべての通信が経由する機器となります。

そのため、ルーターが通信情報を盗み取るマルウェアに感染した場合、どんなホームページを閲覧しているかといった情報はもちろんのこと、入力しているID・パスワードといった重要なデータも盗まれてしまう可能性があります。

他のサーバ・パソコンへの攻撃に悪用される

ホームページなどが稼働するサーバに対して大量のデータを送り込み、動作不能な状態に陥れるサイバー攻撃を「DDoS攻撃」と呼びます。
企業や政府のサーバなどが狙われて、システムが停止することで甚大な被害になることもあります。

DDoS攻撃を行うためには、複数のサーバやパソコンなどから一挙に攻撃対象へデータを送信することになりますが、この攻撃の発信元としてマルウェアに感染したルーターが使用されるケースがあります。
自分の気づかないところで、いつの間にか自宅や会社のルーターが攻撃の踏み台となっていて、間接的に悪事に巻き込まれているということもありえます。

パソコンと異なり、ルーターは一度使用し始めると基本的には24時間起動させていて、メンテナンスする頻度も少ないため、一度乗っ取られると悪用されていることに気づきにくいということも狙われやすい理由です。

ルーターのマルウェア感染を防ぐには

ファームウェアを最新の状態に保つ

ルーターなどの周辺機器を動作させるソフトウェアを「ファームウェア」と呼びます。
パソコンのOSやソフトウェアと同様に、ファームウェアもセキュリティホールの修正や機能追加のためにバージョンアップが行われます。

ファームウェアが古いままルーターを使い続けると、セキュリティホールを狙われてマルウェアに感染する可能性が高くなります。
可能な限りファームウェアを最新の状態に保っておくことが重要になります。

ファームウェアをアップデートするためには、ルーターの管理画面にログインして行います。
機種によって、自動的にファームウェアがアップデートされる設定にしておくこともできますので確認しておきましょう。

ログインパスワードを強固なものに変更する

ルーターの初期設定をする場合、機種によってはメーカーが設定した共通のパスワードが使用されます。
例えば「password」「user」「admin」などといったようなパスワードが出荷時に決められています。
本来は初期設定時にランダムなパスワードに変更することが推奨されていますが、出荷時のパスワードをそのまま使ってしまっているルーターも多くあります。

そうなると、攻撃者にルーターの管理画面まで到達された場合にはあっさりとログインされてしまい、そのままルーターの設定や動作を乗っ取られてしまいます。

分かりやすいデフォルトのパスワードは使用せずに、ランダムなパスワードを設定するようにしましょう。

新しいルーターへリプレイスする

ファームウェアのアップデートはルーターのメーカーから随時公開されますが、発売からある程度の年数でサポートが終了して、ファームウェアの更新もストップします。
そのため、あまり長期間ルーターを使用していると最新のマルウェアに対しては対策ができなくなってきます。

ルーター本体の耐用年数は5年程度と言われていますが、5年も経過するとセキュリティだけでなく通信規格も大きく変化します。
セキュリティ面でももちろんですが、ルーターを置き換えることで通信速度も向上が期待できますので、5年以上同じルーターを使っている場合には思い切って最新機種にリプレイスするのがおすすめです。

ルーターのマルウェア感染をチェックしよう

横浜国立大学の情報・物理セキュリティ研究拠点が運営する「am I infected?」というサイトにて、お使いのルーターがマルウェアに感染していないかをチェックすることができます。

https://amii.ynu.codes/

検査方法は簡単で、メールアドレスの入力といくつかのアンケートに回答するだけで診断ができます。

5分程度で入力したメールアドレス宛に診断結果が届きます。メール内のリンクを開くと、診断結果が表示されます。

診断してみて、万が一感染の可能性が疑われた場合には、まずはルーターを再起動してみてください。
ルーターのマルウェアの一部は、再起動だけで消去できるものもありますが、それでも解消できない場合にはルーターの初期化・再設定を行うか新しいルーターへのリプレイスを検討してください。

おわりに

「am I infected?」の開発に協力したセキュリティー会社・ゼロゼロワンの調査によると、国内にある約19万台にも及ぶルーターが、外部からアクセスできる状態となっていたそうです。
このようにセキュリティの盲点となりやすいルーターですが、しっかりと対策をしていただければ安心してインターネットを利用することができます。
まずは上記のチェックサイトを利用して、ご自分の環境が安全かどうかを確認してみてください。

弊社ではネットワークに関する法人サポートを幅広く行っておりますので、ルーターのリプレイスやセキュリティ対策などが必要な場合にはお気軽にお問い合わせください。

この記事を読んだ方はこちらも読まれています

RushDrive メンテナンスのおしらせ RushDrive メンテナンスのおしらせ RushDrive メンテナンスのおしらせ