皆様こんにちは。WebPros Japanの中の人です。
世界中で多くの方が利用されているWordPressは非常に便利なCMSです。直感的に操作できるインターフェイスはもとより、多くのプラグインが開発・公開されており手軽に使えるプラグインも多々あり、便利なCMSである反面、セキュリティ対策も必ず抑えておく必要があります。
本記事では、WordPressにおけるアップデートの現状とアップデートせずともセキュアに運用できるセキュリティ対策をご紹介します。
WordPressはどうしてアップデートが頻繁なのか?
また、世界中で多くの人が使っているため、さまざま様々なナレッジが蓄積されています。多くの人がいろいろな用途や、様々な使い方をしては問題点を検出し、その解決策が編み出されています。
さらに利用者としてこれ以上なくありがたいのは、これらが共有されているという事。
日本でも利用者の多いWordPressは日本語で問題点を検索しても、検索できるサイト数が多く、すぐに解決できるケースも多々あります。
しかし、これは諸刃の剣でもあります。
多くの人が利用し、多くのナレッジが公開されている。という事は以下2つの事を顕在化させています。
- ・利用者が多い
- ・セキュリティホールがある
この事から、サイバー攻撃を仕掛ける側としてはWordPressで構築されたサイトを狙うのはある意味容易です。特に既知の問題が放置されているケースなどでは、あっという間にサイバー攻撃の標的にされてしまうでしょう。
そこで、利用者であるみなさんが行う注力すべきこと事は、セキュリティ対策です。
おそらく、どこに行っても、誰と話しても必ず言われること事があると思います。
それは、“アップデートをきちんと行う事”です。
アップデートとはどのような理由で行われるのか、一般的に考えるのは昨日機能の強化や新機能の追加などですが、アップデートにはセキュリティの強化も含まれます。
既にリリースされているバージョンにセキュリティ上の問題がある場合、パッチという形で対策が提供されること事もありますが、中には大掛かりなアップデートを必要とする場合があります。
そのため、アップデートは非常に大事なセキュリティ対策の一つです。
WordPressのアップデートにおける課題及び対策
よく、○○の一丁目一番地。などと言う言葉を耳にしますが、WordPressに限らず、ソフトウェアのセキュリティ対策という話であれば、アップデートは一丁目一番地と言えるでしょう。
しかし、「セキュリティの問題」=「セキュリティホール」が発見されてからアップデートが行われるまでは時間が掛かるケースもあります。
これは開発に時間がかかって掛かっている等の問題があります。
こういった場合、放置するしかないのでしょうか?
今回ご紹介するWP Guardianは、これらの問題に取り組める画期的なサービスです。
WP Guardianはバーチャルパッチと呼ばれるサービスです。

一般的にセキュリティホールが見つかると、その穴を塞ぐために、セキュリティパッチが公開されます。これをインストールする事で、セキュリティホールは塞がります。
しかし、このパッチが開発されるまでの間は、セキュリティホールは穴のままです。
そこで、バーチャルパッチを適用する事で、一時的にこのセキュリティホールを仮に塞ぐという対策が取れます。
このバーチャルパッチは、簡単に言えばWAFのように動作する製品です。
特定の問題があり、その修正プログラムがない脆弱性に対し、その脆弱性を突いた攻撃を検出しアクセスをブロックします。
脆弱性自体を解消できるわけではありませんが、アクセスを制御する事で不正アクセス及びサーバーへの侵入などを効果的に防御してくれます。

WP Guardianの使い方・利用イメージ
WP Guardianの使い方は非常に簡単です。WP Guardianを契約したら、エージェントをサーバーにインストールするだけ。
エージェントがサーバー内にあるWordPressサイトを自動検出してリストアップしてくれます。
WP Guardianの使い方は二種類あります。Plesk導入している場合と、Pleskを導入していない場合で導入方法・使い方などが少し異なってきますので、以下それぞれについて説明していきます。
<Plesk導入している場合>
ライセンスのインストール
ライセンスはシステム側で設定します。そのため、購入が完了したらPleskのツールと設定からライセンス情報のページを開きます。
その後、[キーを取得]を一度クリックしライセンス情報を更新します。
キーを取得している間下のような画面になります。
完了後、WP Toolkitを開きます。
WP Guardianを有効化したいサイトを開き、[脆弱性保護]のスイッチをオンにします。
メッセージが出ますので、[保護を有効化]をクリックして有効化します。
その際に、WordPressにプラグインをインストールしますので少々お待ちください。
完了のメッセージが出れば終了です。
保護は有効化されています。
有効化されているかどうかは、WPサイトの項目上部のアイコンで確認できます。
盾のアイコンがグリーンになっていれば有効です。
WP Guardianにより保護されているセキュリティホールなどがある場合、以下から確認できます。
セキュリティ項目の[脆弱性を修正]をクリックします。
保護が有効化され。どの項目にバーチャルパッチが適用されているか表示されています。
なお、バーチャルパッチは全ての状況に対して有効化されるわけではありません。
リスク評価やパッチの有無などを自動的に判別し、リスクの大きい物に対してバーチャルパッチを導入します。
基本的には、導入時に操作が必要なだけです。
インストール後は定期的なアップデートのチェックなどにより必要なセキュリティ対策を自動的に適用します。
可能であればメンテナンスの際などにどの程度のセキュリティリスクがあるか確認していただければと思います。
<Plesk導入していない場合>
Plesk導入していない場合は、WP Guardianのエージェントをサーバーにインストールすることで、利用開始できます。インストール後、エージェントがサーバー内にあるWordPressサイトを自動検出してリストアップしてくれます。
ライセンスは、WordPressのサイト数別になっていますが、WP Guardianを適用するサイトを選択できるので、テスト用や一時的な構築目的のサイトなどは仮想パッチを除外すること事も可能です。

仮想パッチの適用はとても簡単。「パッチ適用を有効化」をクリックするだけ。これだけで簡単に適用できます。
さらに、定期セキュリティチェックの実施に加え、アップデートの管理もWP Guardianの管理画面から可能になります。
もちろん、既に運用中のサーバーに対してインストール可能なエージェントですので、WP Guardian導入のために1一からサーバー構築する必要はありません。
今運用中のサーバーにエージェントをインストールするだけで導入が可能です。
しかも、バーチャルパッチはWAFのように動作するものであり、WordPress自体にはプラグイン以外はインストールしませんので、WordPress自体に影響を与えません。
さらに、サーバーが複数台ある場合でも対応可能です。大丈夫。ライセンスはWP Guardianで管理するサイト数で決まりますので、サーバー台数は関係ありません。
手軽で確実なセキュリティ対策として、WP Guardianを始めてみませんか?
初心者にやさしいクラウドサーバーALTUS では、Pleskあり/なし、いずれの場合も導入いただけます。
≪Pleskありの場合≫
ALTUSでは、Plesk経由で購入できるエクステンションライセンスの提供を行っております。ALTUSを経由して購入することで、サーバーの利用費用と請求を一本化可能になるだけでなく、14日間無料で利用できるといったメリットがあります。
詳細は以下よりご確認いただけます。
https://altus.gmocloud.com/basic/service/plesk/extensions/
≪Pleskなしの場合≫
WP Guardianのエージェントをインストールするパターンでもサービスを提供しております。ALTUSの場合、エージェントインストール作業が困難な方向けに代行でインストール作業するオプションも提供しておりますので、初心者の方でも安心です。
詳細は以下よりご確認いただけます。
https://altus.gmocloud.com/security/wordpress/
サービスの お問い合わせはこちら よりお気軽にご連絡ください。