皆様こんにちは。WebPros Japanの中の人です。
世界中で多くの方が利用されているWordPressは非常に便利なCMSです。直感的に操作できるインターフェイスはもとより、多くのプラグインが開発・公開されており手軽に使えるプラグインも多々あり、便利なCMSである反面、セキュリティ対策も必ず抑えておく必要があります。
本記事では、WordPressにおけるアップデートの現状とアップデートせずともセキュアに運用できるセキュリティ対策をご紹介します。
WordPressはどうしてアップデートが頻繁なのか?
また、世界中で多くの人が使っているため、さまざま様々なナレッジが蓄積されています。多くの人がいろいろな用途や、様々な使い方をしては問題点を検出し、その解決策が編み出されています。
さらに利用者としてこれ以上なくありがたいのは、これらが共有されているという事。
日本でも利用者の多いWordPressは日本語で問題点を検索しても、検索できるサイト数が多く、すぐに解決できるケースも多々あります。
しかし、これは諸刃の剣でもあります。
多くの人が利用し、多くのナレッジが公開されている。という事は以下2つの事を顕在化させています。
- ・利用者が多い
- ・セキュリティホールがある
この事から、サイバー攻撃を仕掛ける側としてはWordPressで構築されたサイトを狙うのはある意味容易です。特に既知の問題が放置されているケースなどでは、あっという間にサイバー攻撃の標的にされてしまうでしょう。
そこで、利用者であるみなさんが行う注力すべきこと事は、セキュリティ対策です。
おそらく、どこに行っても、誰と話しても必ず言われること事があると思います。
それは、“アップデートをきちんと行う事”です。
アップデートとはどのような理由で行われるのか、一般的に考えるのは昨日機能の強化や新機能の追加などですが、アップデートにはセキュリティの強化も含まれます。
既にリリースされているバージョンにセキュリティ上の問題がある場合、パッチという形で対策が提供されること事もありますが、中には大掛かりなアップデートを必要とする場合があります。
そのため、アップデートは非常に大事なセキュリティ対策の一つです。
WordPressのアップデートにおける課題及び対策
よく、○○の一丁目一番地。などと言う言葉を耳にしますが、WordPressに限らず、ソフトウェアのセキュリティ対策という話であれば、アップデートは一丁目一番地と言えるでしょう。
しかし、「セキュリティの問題」=「セキュリティホール」が発見されてからアップデートが行われるまでは時間が掛かるケースもあります。
これは開発に時間がかかって掛かっている等の問題があります。
こういった場合、放置するしかないのでしょうか?
今回ご紹介するWP Guardianは、これらの問題に取り組める画期的なサービスです。
WP Guardianはバーチャルパッチと呼ばれるサービスです。
一般的にセキュリティホールが見つかると、その穴を塞ぐために、セキュリティパッチが公開されます。これをインストールする事で、セキュリティホールは塞がります。
しかし、このパッチが開発されるまでの間は、セキュリティホールは穴のままです。
そこで、バーチャルパッチを適用する事で、一時的にこのセキュリティホールを仮に塞ぐという対策が取れます。
このバーチャルパッチは、簡単に言えばWAFのように動作する製品です。
特定の問題があり、その修正プログラムがない脆弱性に対し、その脆弱性を突いた攻撃を検出しアクセスをブロックします。
脆弱性自体を解消できるわけではありませんが、アクセスを制御する事で不正アクセス及びサーバへの侵入などを効果的に防御してくれます。
WP Guardianの使い方・利用イメージ
WP Guardianの使い方は非常に簡単です。WP Guardianを契約したら、エージェントをサーバにインストールするだけ。
エージェントがサーバ内にあるWordPressサイトを自動検出してリストアップしてくれます。
ライセンスは、WordPressのサイト数別になっていますが、WP Guardianを適用するサイトを選択できるので、テスト用や一時的な構築目的のサイトなどは仮想パッチを除外すること事も可能です。
仮想パッチの適用はとても簡単。「パッチ適用を有効化」をクリックするだけ。これだけで簡単に適用できます。
さらに、定期セキュリティチェックの実施に加え、アップデートの管理もWP Guardianの管理画面から可能になります。
もちろん、既に運用中のサーバに対してインストール可能なエージェントですので、WP Guardian導入のために1一からサーバ構築する必要はありません。
今運用中のサーバにエージェントをインストールするだけで導入が可能です。
しかも、バーチャルパッチはWAFのように動作するものであり、WordPress自体にはプラグイン以外はインストールしませんので、WordPress自体に影響を与えません。
さらに、サーバが複数台ある場合でも対応可能です。大丈夫。ライセンスはWP Guardianで管理するサイト数で決まりますので、サーバ台数は関係ありません。
手軽で確実なセキュリティ対策として、WP Guardianを始めてみませんか?
初心者にやさしいクラウドサーバALTUSでは、WP Guardianを1サイト1,100円(税込)でご利用いただけます。
サービスのお問い合わせはこちらよりお気軽にご連絡ください。
*本サービスはPleskの環境では利用いただけません。
* 既にPleskをご利用中の方はPlesk Extensionsとして設定されているWP Guardianをご検討ください。