制作会社が教えてくれない、納品後に必ず行うべきWordPressセキュリティー上重要な運用方針７選

制作会社が教えてくれない、納品後に必ず行うべきWordPressセキュリティー上重要な運用方針７選について解説いたします。

１　本番サイトテストサイトのユーザーのパスワードの強度を高めます

ワードプレスがハッキングされてしまう原因の２割前後は管理者権限のパスワードが弱いことになります。
本番サイトとテストサイト双方のパスワードが１２文字以上の半角英数記号を含むランダムな文字列になっているか確認し、なっていない場合は再設定します。

弊社にマルウェア駆除をご依頼いただいた事例で、テストサイトの管理者権限のパスワードが開発の利便性からIDと同じになっていたというサイトがございました。
こちらのサイトの場合まずテストサイトの管理者権限が総当たり攻撃でハッカーに奪われ、その後バックドアを仕掛けられ本番サイトも改ざんされ不正なユーザーを追加されるなどしてサーバー全体にマルウェア被害が広がってしまうという事例がございました。

２　テストサイトを放置しないようにしてください

昨今のマルウェアはサーバー内にある複数のサイトに感染を広げます。この為、テストサイトや何らかの開発の為のデータの残骸がサーバー内に放置されていますと、そのサイトの脆弱性をハッカーに攻撃され、サーバー全体が改ざん被害にあう事がございます。

サーバー内に、アップデート等が長期間されていないような放置サイト(テストサイトがそのようになっている事例が多いです)を置きっぱなしにされないことをお勧めいたします。

３　定期的なアップデート

制作会社様の一部は、サイトの動作安定性の為、アップデートをしないように言ってくる場合がございますが、これはセキュリティー上は大きな危険をはらみます。
なぜならワードプレスがハッキングされる原因で最も多い(６割)のが古いプラグインやワードプレス本体の脆弱性を突かれることだからです。

また、そのために、制作会社がアップデートができないように自動アップデートを停止してしまっている事例がございます。

こういった場合、時間がたてばたつほど脆弱性が発見され、またハッカーに利用されワードプレスがマルウェアに感染してしまう確率が高くなっていきます。

制作会社がアップデートしないように言ってきても下記の運用方針を取っていただくことをお勧め致します。

・ワードプレス本体の自動セキュリティーアップデートを止めないようにします

・テストサイトでアップデートを数カ月に一回は行い、動作確認の上本番サイトも最新のプラグインやワードプレス本体を保つようにします

上記が難しい場合は、危険な脆弱性を常日頃から把握して、ピンポイントでご対応いただくことが最低限必要かと存じます

(また１，２年に一回はやはり動作確認を行いサイト全体をアップデートいただくことをお勧めいたします)

４　非有効化しているプラグインの放置

制作会社様の制作過程で、様々なプラグインの利用が検討され、その後そのまま非有効化されているのに不使用のプラグインが放置されていることがございます。
ワードプレスのプラグインの脆弱性は、プラグインが非有効化されていても、直接そのプログラムにアクセスして脆弱性を突かれることがございます。

非有効化されているプラグインがある場合は、その理由を制作会社様に聞いていただき、不要な場合はサーバ上から削除いただくことをお勧めいたします。

５　複数のサイトがサーバー上にある場合のセキュリティー

制作会社様のサーバーをそのまま利用するような契約になっている場合は、その制作会社様が管理しているサーバー上にセキュリティーが弱い放置サイト(複数のサイトがホストされている)などがございますと、御社サイトにはセキュリティ的に問題が無くてもその別のサイト経由でマルウェア被害を受けることがございます。
制作会社様のサーバーをそのまま利用いただく場合は、この点をご確認いただくことをお勧めいたします。

可能であれば、御社サイトだけが分離したサーバーアカウントにホストされている方が安全です。

６　セキュリティープラグイン

制作会社様は基本的には制作に特化している為、セキュリティープラグインを導入していないか、していても管理画面のログインだけのセキュリティーを高めるような片手落ちのセキュリティー対策を行っている場合が多いです。

セキュリティープラグインで重要な機能はログインの強化だけではございません。
その他に重要なセキュリティー機能は下記のような項目となります。

・ログイン画面のセキュリティー強化
・様々なワードプレス上の重要ファイルの保護
・XMLRPCのセキュリティー対策
・マルウェア検査機能
・ワードプレスのバージョンの漏洩を防止
・脆弱性をスキャンされる対策
・ハッカーのIPブロックなどのIP関連のセキュリティー機能
・脆弱性検査
・スパム対策

セキュリティープラグインはこのような包括的なセキュリティー機能を有するものを利用いただくことをお勧めいたします。

【無料】ワードプレス:マルウェアスキャン＆セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

All-In-One Security (AIOS) – Security and Firewall

Wordfence Security – Firewall, Malware Scan, and Login Security

７　保守契約がカバーする範囲の確認

制作会社様とサイトの保守契約を結ばれる場合は、セキュリティー関連の条項の有無や内容を確認しておくことをお勧めいたします。
サイトがマルウェア感染してしまい、どちらに責任があるか揉めることがございます。

ただ、制作会社様には、セキュリティー関連の知識がそれほどない場合もあり、またワードプレスは基本的には運用責任がサイトの企業様側にある事が多く、厳密に制作会社様がマルウェア感染の責任を負う事は非常に難しいか、困難である場合が多いです。

この為、マルウェア感染してしまった場合は、制作会社様がそもそもマルウェア駆除等の対応が難しい事もございます。
こういった場合は外部の専門家の助けを借りたり、保守契約元の企業様と連携・協力しながら早めにマルウェア駆除等のご対応をまずは済ませてサイトを復旧する事が先決かと当社では考えます。

基本的にはハッキングの責任はハッカーにございます。不正アクセス禁止法で罰せられるべき事案となりますが、ハッカーは世界中に散らばっており、複数のサイトやIPを経由してハッキングを行うため、ハッカーの特定やその刑事的な責任追及が成功することはそのコストから鑑みても(※)ほとんど不可能というのが実情でございます。

※ハッカーを特定などして追い詰めるよりも、マルウェア駆除して再感染を防ぐ対策を行いサイトを早めに復旧する方がコスト的に極めて低くなります

WPドクターは年間数百件のマルウェア感染サイトのマルウェア駆除を請け負っており、またその経験を活かし、セキュリティープラグインのリリースも行っている、マルウェア駆除の専門家集団です。
お気軽にマルウェア駆除・セキュリティー対策のご相談お送りください。

WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼・ご相談はWPドクターまでお気軽にお送りください