WordPressの保守管理 バックアップと復元で対応する

WordPressの保守管理 バックアップと復元で対応する


今回は、WordPressの保守管理やWordPressのセキュリティ、そしてバックアップと復元についてお伝えしていきます。

WordPressのバックアップと復元で対応できるWordPressの保守と、個人情報保護の観点からそれ以上の対策が必要なケースまで、WordPressサイトの利用形態によって必要な範囲は様々です。

WordPressのメリットとデメリットでお伝えしておりますが、WordPressは世界的なCMSのため世界中のクラッカーの標的となっていることは事実であり、また、WordPress4.7.1の時のようなアップデートに伴う脆弱性によって、コンテンツの書き換えなどをされてしまうというケースもゼロではありません。

WordPressの保守やセキュリティについては、WordPressのホームページ制作お問い合わせ時に、稀にご質問いただく項目にはなりますが、よほどのセンシティブ情報を扱う場合でない限り、基本的にはバックアップによる保守管理で十分だと考えています。

それでは、こうしたWordPressの保守やセキュリティについて少しずつ見ていきましょう。

WordPressの保守とバックアップ

WordPressの保守とバックアップ

まず、WordPressの保守とバックアップについてですが、原点から考えてみると、WordPressサイトは、WordPress本体とテーマ、プラグインといった基本的なサイトの構成に加えて、画像などのアップロードファイルなどが基本ファイルとしてサーバ―上にあります。

そして、投稿や固定ページなどの文章テキストや、プラグインでの設定などはMySQLに格納され、サーバー上の別の場所に保存されています。WordPressのシステム・デザイン関連ファイルに加え、MySQL内のデータが呼び出されることで、WordPressサイトのページが動的生成されている形になります。

こうしたことから、WordPressの保守としてバックアップファイルの構成を考えた場合には、カスタマイズされたテーマやプラグイン、そのWordPressサイト独自の画像やテキストデータなど該当ファイルをローカル保存しておかないと代替がきかないファイル群が対象となります。

WordPress本体やWordPress管理画面で取得できるプラグインについてはいつでもWordPress公式サイトなどから最新バージョンや旧バージョンをダウンロードできるため、対象外として考えて良いでしょう。

WordPressサイトのバックアップの対象

WordPressサイトのバックアップの対象

そこで、WordPressサイトのバックアップの対象となるのは、オリジナルテーマやカスタマイズテーマであるのならばWordPressテーマの構成ファイル、そして、カスタマイズなどをしているのであれば、利用中のプラグイン、そして、画像などのアップロードファイルとMySQLデータです。

これらは、破損した時に同じものを他で取得できないことから、ローカル環境でバックアップしておく必要があります。

WordPressでのホームページ制作時には、WordPressテーマやカスタマイズプラグイン、そして、プラグインの初期設定値などについては、基本的にローカルでバックアップを取っています。

制作納品後に追加されたオリジナルデータはバックアップの必要が

制作納品後に追加されたオリジナルデータはバックアップの必要が

しかしながら、WordPressサイトを運用されていくということは必然的にMySQLに格納されるコンテンツデータや画像データなどのアップロードファイルがホームページ制作時・納品時から増えていくことになります。

こうした追加のオリジナルデータについては、WordPressバックアップのご依頼をいただかない限り弊社でも保存しておりませんので、データ損失時には復旧できない場合もあります。

WordPressの保守の必要性

WordPressの保守の必要性

WordPressの保守だけでなく、一般的なホームページの保守についての考え方としては、基本的に定期バックアップと必要に応じた復元だけで十分だと考えています。

こうしたホームページの保守管理やサーバー保守についての取り扱いについては、「サーバー保守費用」Web制作会社による不透明なサーバー費用をご参照ください。

一般的な企業ホームページであれば、いわばWeb上での会社案内+オウンドメディアというような位置づけなので、万が一データが破損しても、復旧までの機会損失を除き、また同じような状態にさえ戻れば特に問題は無いと考えています。

極論を言えば、原本さえ保存しておけば、コピー用紙に印刷した「原本のコピー」が破れてしまっても、また原本からコピーを取ればいいだけ、といったイメージです。

バックアップ方法

バックアップ方法

WordPressの保守としてのバックアップ方法ですが、基本ファイル群やアップロードファイルについてはFTPなどで一括ダウンロードしておくか、WordPressバックアッププラグインなどを利用し、MySQLデータについては、ツールのエクスポート機能でxmlファイル形式で保存しておくと良いでしょう。

WordPressのセキュリティ

WordPressのセキュリティ

次に根本的なWordPressのセキュリティについてですが、WordPressはブラウザでログインできるCMSであるため、一般的なHTMLの静的サイトと比べて、改ざんされやすいという面がありますが、改ざんの可能性を考えたときは、例えばブルートフォースアタックで考えたときは、FTPログインに対して行われた場合と比較した場合は、それほど危険性の度合いは変わりません。

いっそFTP接続をブロックしてSSHという手もありますが、その分WordPressのプラグイン更新などで戸惑ってしまう可能性が上がります。この場合は、脆弱性が少し上がってしまいますが、functions.phpにフィルターを追記するなどで対応すると良いでしょう。

「FTP情報が必要」WordPressのプラグイン・本体の更新ができない

なお、通常のブルートフォースなどについては、WordPressのセキュリティ強化プラグインや
二段階認証で回避できると考えています。この点に関しては、WordPressに限らず、どの形式でのホームページ制作でも危険性はあると考えています。

後述しますが、特に海外の客層を対象としないサービスであれば、クラッカーの多い国や、いっそ日本国外からのアクセス自体を制限してしまうのも良いのではないでしょうか。

WordPress4.7.1のコンテンツ改ざんバグ

WordPress4.7.1のコンテンツ改ざんバグ

「WordPressのセキュリティについてはどう対応されていますか?」というご質問も稀にいただくのですが、特にWordPress4.7.1のコンテンツ改ざんバグがあったときは、この旨のご質問が多かったように記憶しています。弊社は原則的にメジャーアップデートの際にはこうしたバグがあることが予測できるため、ある程度マイナーアップデートが行われた後のアップデートで対応しています。

「WordPress4.7.1のコンテンツ改ざんバグ」は、REST API の処理に起因する脆弱性によって、特にログイン情報が外部流出していない状態でもコンテンツの書き換えができてしまうという致命的なバグでした。なお、WordPress4.7.2以降でこの問題は修正されています。

WordPress4.7.1の時にあった、コンテンツ書き換えに関しても、コンテンツの改ざん時でもテキスト関連のデータのバックアップと復元で対応できると考えています。もし、ハッキングで改ざん等があった場合は、最終バックアップからの復元で対応させていただきますが、定期バックアップをご利用いただいていない場合は、納品時のバックアップの復元で対応させていただいています(なお、ハッキング復旧に関しては、よほどの問題がない限り原則的に無償対応させていただいております)。

海外のクラッカーにハッキングされた事例

海外のクラッカーにハッキングされた事例

お客さまのWordPressサイトが、海外のクラッカーにハッキングされた事例があり、復旧させていただいた経験が一度だけあります。本来はハッキングというよりもクラッキングと言いたいところですが、まあわかりやすくハッキングと表現させていただきます。

原因は非常に簡単で、お客さま側でWordPressのログインパスワードを極めて単純な英字で再設定されたことが原因でした。

WordPressホームページの納品時には、かなり長い大小混在の英字、数字、記号で設定させていただくのですが、やはり従業員の方々のWordPressのパスワード入力やパスワード忘れの対応が面倒だということになったようで、非常に簡単な英字4文字でパスワードを設定されたようでした。

ご連絡いただいたときには、特にWordPressサイトの表示は表面上問題は無かったのですが、お客さまがサーチコンソールと連携しているGoogleアカウントにログイン中に自社サイトを検索結果で確認したところ

「このサイトは第三者によってハッキングされている可能性があります」

とスニペットに表示されていたようで、ご連絡をいただきました。

そこで、WordPressサイトを確認してみると、ヘッダー部分とフッター部分に海外の詐欺サイトかウイルスサイトと思しきサイト(リンク先へは飛んでいませんので確認はしていません)への外部リンクが隠しリンクのような形で設置されていました。

海外クラッカーの目的は、どちらかと言うと、被リンク獲得か何らかの形でのリンククリックによるウイルスサイトへのアクセスだったのでしょう。

ドメイン種類を確認すると末尾は「.ru」、ということでロシアですね。

ロシアのクラッカーによりロシアのサイトへのリンクが設置されてしまっていたということですが、おそらく他のWordPressサイトにも同様の手口でリンク設置をしているのでしょう、Googleにパターンを検出されて、「ハッキングされている可能性があります」と検知されていたようでした。

ひとまずWordPressサイト内の全てのファイル群でそういった書き換え場所がないかチェックさせていただきましたが、幸いヘッダーとフッターのみの書き換えでした。

そういうわけで、該当部分を削除させていただき、パスワードを強化し、同時にお客さまとのご相談の上、海外からのアクセス自体を遮断することにしました。

ハッキング(クラッキング)の危険性を軽減するためには、日本国外からのアクセス自体を制限してしまうのも良い方法だと考えています。企業の特性として海外の客層を対象としないサービスであれば特に問題は無いのではないでしょうか。

より高いセキュリティや保守を検討した方がいいケース

より高いセキュリティや保守を検討した方がいいケース

一般的な企業ホームページやメディアサイトなどでは、ホームページの本体と、コンテンツの復元さえできれば、セキュリティや保守についてはそれ以上血眼になって考える必要はないですが、より高いセキュリティや保守を検討した方がいいケースとして、WordPressをベースとしてECを行っていたり、CRMシステムのように顧客管理システム的な使い方をしているケースで、個人情報や個人情報の中でもセンシティブ情報を含む情報を扱っている場合です。

メールフォームなどに関しても、「送信先が改ざんされていた」という場合はかなりの問題ですので、そうした面でのセキュリティ強化は必要ですが、何よりMySQL内に顧客個人情報を保存し、管理する仕組みを導入している場合は、「元通りに戻せばそれでいい」というような問題では済みません。

こうしたWordPressの使い方やWordPressでなくとも他のCMSでECサイトなどを運営している場合には、より強固なセキュリティと保守管理を検討した方が良いでしょう。

WordPressのバックアップを復元する

WordPressのバックアップを復元する

どのようなホームページでもその危険性の度合いは異なれセキュリティ面では、完全にリスクを回避することはできません(究極的には全てのデータ保存サーバーに爆弾を仕込まれれば…と考えてください)。

ホームページの保守に関しては、月額で費用を請求しているところもあるようですが、先ほどお伝えしたとおり、そして「サーバ保守費用」のページでお伝えしているとおり、元通りにさえなればそれでいいと考えられるため、自社でWordPressを運営しコンテンツを追加していて、ホームページ制作会社側で定期的に別途バックアップするという費用以外の名目でのホームページ保守費用には違和感があります。

さて、WordPressのバックアップの復元についてですが、保守としての「バックアップ」自体はWordPressのプラグインなどでも可能ですが、復元となると、一筋縄ではいきません。

MySQLのデータのエクスポートとインポート

MySQLのデータのエクスポートとインポート

MySQLのデータのエクスポートとインポートに関しては、復元時にインポートで対応できますが、先の海外クラッカーによるWordPressテーマのヘッダー部分とフッター部分の書き換えのようにテーマファイルを改ざんされた場合には、該当部分をバックアップファイルで上書きする必要があります。WordPress管理画面からの操作でもできなくはないですが、FTPで一気にバックアップを復元したほうが効率が良いでしょう。

壊れたWordPressサイトを完全に復元することができない場合

壊れたWordPressサイトを完全に復元することができない場合

こうした復元はまだ簡単ですが、「バックアップを取って、エラー時に上書きする」というだけでは壊れたWordPressサイトを完全に復元することができない場合があります。

なぜならば、クラッキングや悪意あるプラグインの操作、もしくはプラグインの誤操作によって、エラーの原因となるファイルが生成されていたり、サーバーの設定ファイルなどが上書きされていて、そのバックアップ自体は生成されていないというケースがあるからです。

書き換えられているだけなら、バックアップファイルで上書きすれば元に戻りますが、こうしたエラーの原因となるファイルは「バックアップで上書き」という操作では対処できず、該当ファイルを削除しないと元に戻らない場合があるからです。

また、「.htaccess」が書き換えられて、バックアッププラグインでは元の「.htaccess」はバックアップされていなかった、というケースもあるでしょう。こうした問題はプラグインの停止とバックアップの上書きだけでは元に戻らない場合があります。別に悪意がないプラグインであっても、競合するプラグインを併用してしまった場合にはこうしたことも可能性としては起こりえます。

とりあえず復元できる程度にWordPress保守管理を

復元できる程度にWordPress保守管理を

WordPressに限らず、ホームページの保守管理の目的は、「問題があった時に元の状態に復元できること」であるため、WordPressサイトを利用する場合でも企業ホームページとオウンドメディア運営など、通常の使い方をするのであれば、特にそれほどリスクに怯える必要はないのではないでしょうか。

WordPressホームページ制作時の初期段階のファイルを手元に起きつつ、コンテンツ追加(テキストや画像など)を定期的に行っているのであれば、その周期に合わせたコンテンツの定期バックアップを実施するという形で心がけておけば、WordPress保守管理は十分ではないでしょうか。

海外クラッカーなどの脅威に対するセキュリティ強化は実施しておくに越したことはないですが、ひとまずはパスワード強化などで対応し、アップデートに伴うエラーなどについては、更新直前のバックアップで対応するという形でおそらく十分です。

あとは実験心に魔が差して変なプラグインを導入しないことでしょうか。もし、新規プラグイン導入を検討している場合であれば、テストサイトでプラグインの導入テストを行ってからの方が良いかもしれません。エラーが起きてもプラグインの停止だけでは済まない場合がありますからね。

今回は、WordPressの保守管理やセキュリティ、バックアップと復元についてお伝えさせていただきました。ホームページ制作 京都 ファンフェアファンファーレでは、WordPressでのホームページ制作はもちろんWordPressサイトのカスタマイズや、WordPressのエラー復旧・復元など、様々なWordPressの関連のサービスを提供しています。WordPressでお困りの際は、ぜひお問い合わせください。

WordPressでのホームページ制作 WordPressのカスタマイズ


「WordPressの保守管理 バックアップと復元で対応する」のカテゴリ Web制作・Web関連
タグ: , , ,


ホームページ制作、サイトカスタマイズなどのお問い合わせ・ご依頼はこちら