目次
WordPressの更新は突然やってくる?
管理画面にログインすると目に入る赤い通知。
そうですね、WordPressの更新を知らせるアイコンです。
WordPressをお使いの方の中には、いつも突然通知が来て困ったな〜と感じている方もいらっしゃると思います。でも実はWordPress本体の更新は予定が引かれているんです。
更新をしないで使い続けるとセキュリティのリスクもあるので「WordPressは常に最新版」を合言葉にご利用いただきたいと思います。
そこで今回はWordPressの更新とセキュリティについてのお話をさせていただきます。
更新しないとマズいの?
はい、セキュリティリスクがあるので更新をお願いします!
先程も少し触れましたが、更新を行わずに古いWordPressバージョンのまま使い続けると、プラグインやテーマのアップデートに対応できないデメリットのほか、脆弱性を突かれてサイト改ざん被害にも直結するリスクを背負ってしまいます。
なので、基本的には最新バージョンを使うことが前提になっています。
更新タイミングはいつ分かるの?
WordPressの開発ロードマップは下記で公開されています。
いつ更新が来るか分からないから不安に思っている…そんな日々は今日で最後。 予定表を見ながら運用サイトのアップデートや新規サイトを開設するときの目安にして下さいね。
【更新】更新時(2021/04/26)の情報ではバージョン5.8は2021年7月に、バージョン5.9が12月に予定されていることが分かります。
WordPressのサイト改ざん被害って実際にあったの?
はい、あります。
大規模なものは2017年に発生した事例で、サイト改ざん件数は150万件を超えると言われています。
対象のWordPressのバージョンは 4.7.0および4.7.1 で、独立行政法人 情報処理推進機構(IPA)でも4.7.2へ「アップデートを大至急実施」をと呼びかけていました。
さらに WordPress 4.7.3 公開後には 4.7.3 へアップデートを行うよう wordpress.org より ”これは過去の全バージョンのためのセキュリティリリースであり、即時のサイト更新を強く勧告するものです。” と強い言葉でメッセージを発信しています。
この例のように、大規模な改ざん被害はニュースになりますが、実は小さな改ざん被害は毎日のように発生しています。「自分のサイトは大したものじゃないから……」と油断せずに最新バージョンを使い続けることが大切です。
自分のバージョン、古いかも・・・
と思った方は、データのバックアップを取ったうえで、ぜひこの機会にアップデートをしてみて下さい! 後の項で書きますが、運用中のサイトをコピーしたテスト環境を作っておくと予行演習出来るのでオススメです。
また、決して脅かしたい訳ではないのですが、サイト改ざんされてしまうとご自身の復旧の手間や商用サイトでは事業にも影響が出るうえに、来訪者(顧客)にまで迷惑が掛かってしまいます。リスクの種は取り除いておくことに越したことはないと思うので、確認をしてみて下さいね。
WordPressのテーマとプラグインも更新が必要?
これまではWordPress本体の話でしたが、テーマやプラグインも同じように最新版への更新が必要です。 テーマもプラグインも、そもそもの数が多いので発見される脆弱性数も多い…などと説明する前に、まず下記リンクを見ていただいたほうが早いと思います。
脆弱性対策情報データベースで「WordPress」と検索(JVN iPedia)
いかがでしょうか?
内容は難しそうですが、数の多さに驚きがあったのではないでしょうか。
挙げられているプラグイン等でも更新版で対策されていれば良いのですが、しばらく更新がストップされているものはさらに注意が必要です。 後で脆弱性が発見されても対策されない可能性があるからですね。
テーマやプラグインと言われると、「WordPress本体じゃないから大丈夫!」と思われるかもしれませんが、WordPressにおいては本体もテーマもプラグインも関係なく、脆弱性があった場合のリスクは全て同じです。
つまり、テーマやプラグインも本体と同様に最新バージョンを使うことが非常に大切なのです。
お気に入りのプラグインの更新が止まってしまった…!
画一的に、○ヶ月過ぎて更新がなければNG!といった区切りは付けられないと思いますが、あれ?と思ったら代替プラグインを探し始めても良いかもしれません。 上記で挙げたロードマップを確認しながら更新タイミングを決めてみてくださいね!
更新が不安な場合はテスト環境で確認を!
ここまで最新版に更新が必要ですよとお伝えしてきましたが、実際に更新する時はちょっと不安だと思います。 バックアップデータを取っておけば復旧は出来ますが、本番サイトで不具合を起こしてしまったストレスって結構大きいですよね。
そんな時のためにテスト環境と呼ばれる、本番サイトそっくりに作られたサイトを準備しておくと安心です。さくらのレンタルサーバをご利用中の方は、バックアップ&ステージング機能をご利用いただくとテスト環境を簡単に構築することが出来ます。
ちなみに、この機能で作成されたテスト環境は自動的にベーシック認証が設定されるので安心です。
テスト環境では最低限、PHPのバージョンとWordPress本体及びテーマ、利用プラグインも同じものを使い、それぞれのバージョンを同じものにしておきましょう。
テスト環境が整ったらWordPressやテーマの更新を行ってみて、動作に問題がなければ本番サイト側も更新を行うといった流れになります。
WordPress本体が最新バージョンから離れすぎてしまっている場合は再現が難しいと思いますので、本体、テーマ、プラグインを全て最新バージョンで作り直したほうが早いかもしれません!
テスト環境は検索エンジンにインデックスされないようにしたり、関係者以外の人にアクセスされないようにベーシック認証等でアクセス制限を掛ける事もお忘れなく!