中小企業のWebサイトセキュリティ

セキュリティ

※アフィリエイト広告を利用しています

いまやかなり多くの会社が自社のWebサイトを持っています。

ネットの普及率の増加、ビジネスにおけるWebサイトの重要さがあがったことも理由ですが、
昔に比べ、Webサイトの費用がだいぶ下がったこともあると思います。

その立役者は、WordPress(ワードプレス)です。
WordPressを使用すると、効率的にWebサイトの構築ができます。
豊富なプラグインやテーマを利用することで、複雑なデザインや機能を有したサイトが誰でも作れるのです。

Webサイトを外注デザイナー任せの会社でも、WordPressの恩恵に授かっているといえます。

しかし、良いことだらけではありません。

WordPressのデメリット

使っている人が多すぎるが故、めちゃくちゃ攻撃を仕掛けられる。

WordPressのシェアは全Webサイトの4割とも言われています。
その数の多さ、そしてWordPressにはプラグイン、テーマと呼ばれる第三者が作った機能を組み込むことも可能です。

WordPress本体の脆弱性だけではなく、プラグインなどの脆弱性も狙われます。

攻撃者目線になれば、鍵が壊れかけの家がたくさん並んでいるようなもんです。
やりたい放題ですよね。

セキュリティ対策は、サーバー管理会社とかデザイナーがやってくれてるでしょ

やってくれません。
よほど特別な契約(料金)でない限り、セキュリティ対策まではやってくれません。

サーバー管理会社は、サーバーの1領域を提供してくれます。
契約者はその領域を自由に使うことができるのです。
マンションみたいなものです。エントランスに多少のセキュリティはあるにせよ
各戸のドアに施錠されているかどうかなんて面倒は見てくれません。

デザイナーは、その名の通りデザイナーです。
デザインは得意でもセキュリティに精通している人は少ないと思います。
とは言っても、WordPressのセキュリティ脆弱性についてはご存じの上使っているかと思います。

構築当初はある程度セキュリティに配慮した設計になっていると思います。

しかし、ソフトウェアの脆弱性は日々発見され、不具合は解消されアップデートされていきます。
当初は問題ない設計だとしても、1ヶ月後、1年後、3年後がどうなっているかまで
デザイナーは見てくれません。

WordPressで意識しておかなければいけないポイント(最低限)

パスワードは複雑で長いものにする(してもらう)

以上です。
正直、一般人にできるものはこれくらいです。
自社でメンテナンスする際のアカウントのパスワードは複雑なものにしておきましょう。

WordPressでWebサイトを作ってもらうときに意識するポイント

依頼時に注意することで、将来的なセキュリティリスクを低減させることができます。

サーバー上にはフォームの情報を保持しないようにする

例えばお問い合わせフォームを設置したとします。
フォームに入れられた内容はメールにて自社に届きます。
そのような仕組みをとる際、サーバー上で入力したデータを保持しないようにする、ということです。
保持しておくと、万が一攻撃者にサーバーを乗っ取られた際、情報漏洩のリスクがあります。

できるだけプラグインを使わないようにする

プラグインは便利ですが、使えば使うだけセキュリティが増大します。
また、プラグインによってはWordPressの新しいバージョンに対応していないケースがあります。
WordPressをバージョンアップしたいのに、使用しているプラグインの制約でバージョンアップできないということもありえます。

サーバーは極力新しく出たプランを利用する

レンタルサーバー会社は、随時新しいプランを出しています。
その裏では、当然新しいハードウェア、新しいOS、新しいソフトウェアが土台となり
新しいサービスが構築されているでしょう。
(場合によっては見かけだけのプランもあるかもしれませんが)

一方、旧プランの裏側で動いているサーバーやOSが、きちんと脆弱性対応されているかどうかは
なかなか判断が難しいです。
一見きちんとしたサービスに見えても、古いプランのサポート対応は雑だったりすることも多々。
なんなら急にサービス終了を打ち出して強制的にプラン変更させられたり、ということもあります。

新しければ完璧、ということはもちろんありませんが、やはり会社として力を入れている新しいプランは問題が起きないよう慎重に対応すると思います。

メンテナンスをどうするか

日々のWordPressメンテナンスはどうしたらいいのでしょうか

ざっくり言うと、自分でやるか、誰かに頼むかですよね。

自分でやる場合

お勧めサービスの一つが「SiteLock」です。
こちらは1回設定してしまえば、サイト上のマルウェア検知、脆弱性検知などWebサイトのセキュリティに対するリスクを定期的にスキャンしてくれます。
仮にサイトが改ざんされてしまった場合など、お客様からの指摘で気づくのは避けたいですよね。
SiteLockを導入しておけば、異常を検知した際にメールで通知が来るので即座に対応が可能です。

ただし、ある程度の知識を持っている人か、もしくは相談できる人がいる場合に限ると思います。

誰かに頼む場合

WordPressDoctorというサービスがあります。
WordPressの専門家たちが脆弱性の対応やバックアップ、バージョンアップなども一手に引き受けてくれます。
ただし、至れり尽くせりなだけあって結構高額になってしまいます。
月数万円かけるだけの価値がWebサイトにあるのであれば、よいサービスだと思います。

組み合わせてしまおう

「SiteLock」で問題が見つかった場合など、何か対処が必要なときにWordPressDoctorに依頼するというのもお勧めです。
スポットで対応してくれます。
見積もりの上対応してくださるので、終わってからびっくりする請求をされることもありません。

場合によっては、デザイナーしかサーバーの情報を知らないことがあるので、
デザイナーにも何か問題があったときどのようにするかを相談しておくと良いと思います。
WordPressDoctoroにはサーバーの情報を伝える必要があるので、デザイナーとの連携も大事です。

ともあれ、なにかあったときに誰に相談するのか、どこに相談するのかを決めておかないと、
あたふたしてしまうので、対応方針をしっかり決めておきましょう。

タイトルとURLをコピーしました