今回は、Wordpressの保守やセキュリティについてじっくりと解説していきたいと思いますので、中小企業でWebサイト管理を任されている方、Web周りの担当をされている方はぜひこの動画を最後まで見ていただいて、
もう一度、皆さんの会社のwebサイトのセキュリティの
見直しをしてみていただければと思います。
コンテンツ目次
WordPressサイトを放置しておくと危険!
WordPressで制作したWebサイトを何も対策をせずに放置しておくと、とても危険ですよというお話からしていきたいと思います。
WordPressでサイトを制作すること自体は全く問題はないのですが、Web制作会社やフリーランスにWebサイトを構築してもらい、その後セキュリティ対策を何もせず、デフォルト状態のままサイトを運用してしまっていると、セキュリティ的にはかなり弱い状態になってしまっています。
住宅で例えると、玄関の鍵だけはしているけど、他の部屋の窓の鍵やシャッター、監視カメラなどの、施錠やセキュリティがしっかりできてないような状態になりますので、さまざまな角度からセキュリティ対策を行なっていく必要が出てきます。
WordPressのインストール方法や、プラグインの設置、サーバ設定など、セキュリティに関わる設定やアップデートを正しく行わないと、
- ウイルス・マルウェアの感染
- Webサイトからの情報漏えい
- Webサイト情報の改ざん
- Webサイトの動作不良
など、さまざまなトラブルに巻き込まれる可能性が高くなってしまいます。
小さな不具合であれば簡単な修正で済みますが、顧客情報の漏洩などに発展してしまったり、修正が困難な大きなバグが発生してしまうと、かなり大きなトラブルにつながってしまいます。
大きなトラブルを防ぐためには、アップデートをしっかりとしながら、常に最新のセキュリティ環境を保つことが大切になってきます。
中小企業のWordpressサイト改ざん被害の事例
セキュリティ対策を怠ると、どのようなことが起こるのかという事例を少しお話ししておきたいと思います。
実際に起きた例として、このような事件が起きています。
2023年に、中小企業のWEB制作会社A社のサイトが改ざんされて顧客情報約1万件が流出するという被害がありました。
A社は、WordPressを利用していたんですが、セキュリティ対策を怠って、脆弱性を放置していたことが原因によるもののようです。
それから、もう1件の例はですね、2024年に、中小企業のB社で、自社のホームページに不正な広告が掲載されるという被害に遭っています。
B社は、WordPressを利用していましたが、不要なプラグインを放置していたことが原因でこういったトラブルが起きているようです。
実際に僕も10年近く前にはなるんですが、まだあまりセキュリティのことに知見がなく、対策をしていない中で、運用しているサイトが不正アクセスされて、サーバ内のWordpressのファイルが改ざんされて、ウイルスが仕掛けられていたことがあり、復旧作業に苦労したことがあります。
それをきっかけに、Web制作のスキルだけでなく、セキュリティについての知識も深めないといけないと思い、常にセキュリティ対策に注意を払いながら、WEBサイトの制作・運用を行なうようになりました。
サーバーやシステムって目には見えにくいものですし、理解が難しいものなので、おろそかになりがちかもしれませんが、被害に遭わないために、小規模サイトであっても、最低限のセキュリティ対策は必ずやっておきましょう!
専門家によるWordPress保守が必要な6つの理由
次に、専門家によるWordPress保守が必要な理由というのが、大きく分けると6つあります。
セキュリティ対策
1つ目は今、説明したとおりですが、もちろんセキュリティ対策です。
セキュリティを強化するために、Wordpressに詳しい専門のエンジニアがサーバの設定やプラグインの設定・見直しを定期的に行なうことで、強いセキュリティのWordpressサイトが運用できます。
WordPress本体やプラグインのアップデートには、機能追加だけではなく、稀に脆弱性が見つかり、緊急のアップデートが行われることがあります。
アップデートを放置してしまうと、脆弱性が残ったままになるため、ハッキングされるリスクが高くなってしまいます。
定期的なアップデートを実施することで、セキュリティのリスクを軽減することができます。
パフォーマンスの最適化
2つめは、パフォーマンスの最適化です。
サイトのパフォーマンスが低下すると、ユーザーの離脱率が高まる可能性、アクセス数が減少してくる可能性が出てきてしまいます。
例えば、
- 不要なテーマやプラグインの削除
- 画像の圧縮
- HTML・CSS・JSファイルの縮小化
- キャッシュの設定
などをしっかり行うことで、サイトの速度も上がってきますので、ストレスなくサイトにアクセスしたり、回遊することができますし、
ちょっとしたレイアウト崩れや、小さな不具合、ユーザビリティをまめに改善することで、ユーザーにとって使いやすいWebサイトが運用できるようになります。
SEO対策
SEO対策のためにも、保守管理はしておくべきです。
- タイトルタグやメタディスクリプションの設定や見直し
- コンテンツの定期的な更新
- 内部リンクの構築
を含め、SEO系のプラグインの設定などを定期的に見直していくことで、検索エンジン上位表示対策にもつながってきます。
前述したサイト速度などのパフォーマンスもSEOに影響してきますので、合わせてこれは行なっていきたいところですね。
エラー発生時の対応
しっかり検証を行なっていても、すべてのページやパーツを常にチェックし続けることは困難なため、ある日、予期せぬ不具合が起こることもあります。
万が一不具合が起きたとしても、保守管理を依頼していれば、専門業者が対応し、復旧作業にあたることが可能になりますので、いざというときのための備えとして、保守管理を依頼するというのはとても大切になってきます。
バックアップ
WordPressサイトを安全に運用するためには、バックアップデータの保存は非常に重要になります。
万が一、改ざんの被害にあったり、サーバーの不具合でデータが消失してしまった時に、バックアップがあれば復旧することが可能になりますので、バックアップ体制も非常に大切になります。
メールや電話でのサポート
それから、Wordpressの操作方法などがわからない場合に、メールや電話でサポートを受けることも可能になりますし、簡単な操作や更新であれば、保守費用内で代行してもらうことも可能になってきます。
専門家によるWordPress保守が必要な理由を大きく6つ挙げると、このような形になります。
WordPress保守。具体的に何をするのか?
それでは、ここからは、Wordpressの保守サービスって具体的にどんなことをするのか?というのを解説していきたいと思います。
基本的な保守の作業内容として、主に10個ほど上げると、
WordPress本体のアップデート
WordPress本体は、機能向上やバグ修正、脆弱性の改善のために、定期的にアップデートが行われます。
アップデートを長く怠ってしまうと、最新の機能が使用できなかったり、セキュリティ面のリスクも高くなってしまいます。
プラグインのアップデート
プラグインもWordpress本体と同様、機能向上やバグ修正、脆弱性の改善のために、定期的にアップデートが行われます。
こちらも長くアップデートを怠ると、セキュリティのリスクも高くなりますし、ある日予期せぬバグが発生したりと、さまざまな不具合が起こる可能性が出てきます。
PHPバージョンのアップデート
こちらはサーバー側のアップデート作業になるのですが、WordpressはPHPという言語で構築されているシステムになります。
よってサーバー上のPHPのバージョンも動作に影響を及ぼしてきます。
新しいバージョンの方が当然動作も速くなり、セキュリティも強化されていきますので、こちらもアップデートが必要な項目になります。
(本番環境に直接反映させると、ホームページの動作に影響を与える可能性があるため、事前の検証が必須です。加えて、PHPはWordPress側が推奨しているバージョンがあるため、必ずしも最新バージョンが適切とは限りません。)
セキュリティの強化
WordPressの保守管理の際のセキュリティ対策の項目としては、このようなものがあります。
- SSL設定(https暗号化)
- WordPressのインストール先をサブディレクトリにする
- ログインURLの変更
- キャプチャ認証の導入
- BASIC認証の設定
- 海外からのアクセスを制限する
- PHPのコアファイルのパーミションの強化
- ファイヤーウォールの設定
- ログインID・PASSWORDを推測されにくいものに設定する
- 定期的なパスワード変更
など、あらゆる面からセキュリティ対策を行うことで、
安心してWordpressサイトを運用することができるようになります。
不正アクセス・改ざんの検知
WordPressサイトが不正アクセスを受けていないかなどを、プラグインなどで監視することができます。
不正なログインやファイル変更が行われた場合に、管理画面上やメールで通知されたり、駆除を行なってくれるプラグインなどもあります。
(有料のものが多い)
定期的なデータのバックアップ
サイトに万が一不具合が起きた時のために、定期的なバックアップデータを作成して、保存しておきます。
障害発生時の復元作業
こちらは万が一サーバ上で不具合が起きて、サイトが表示されなくなったり、バグが発生した時に、修正や復元作業を行います。
保守サービス契約などをしていないと、すぐに対応してくれる会社やエンジニアがおらず、復旧にとても時間がかかってしまったりする場合も出てくるかと思いますので、何かあった場合にすぐに相談できて対応してくれる会社を確保しておくことが非常に大切になってきます。
サイトパフォーマンスの改善
こちらは先ほどお話しした内容と重複する部分でもありますが、
- サイトの速度調整
- ユーザビリティ改善
- UI・UXの見直し
- 定期的な更新
などを定期的に行い、細かい改善を行なっていくことで、
サイトのパフォーマンスの向上や、ユーザーが使いやすいサイトがコツコツと出来上がっていきます。
作って公開して、そのまま放置という会社は実際非常に数多くありますが、
PVや、WEBからの問い合わせ・売り上げが伸びているサイトは必ずと言っていいほどこまめに改善を繰り返しています。
より効果の高いWebサイト運用ができるようになるために、細かいPDCAを繰り返しながら、サイトを育てていくことが非常に大切になります。
テスト環境の構築
公開されている本番サイトの環境で、前述したような、Wordpress本体のアップデート、プラグインのアップデートやテーマファイルの修正などを直接行うと、不具合が起きてサイトが正しく表示されなくなったりことがあります。
それを防止するために、テスト環境を構築して、事前に検証を行なうことで、本番環境で不具合が起きることなく、安全にWEBサイトの運用を行うことができるようになります。
小規模サイトですとテスト環境を作らない会社もありますが、
予期せぬ不具合を避けるためにも、テスト環境を構築しておいた方が安全に運用ができます。
ページの更新や修正などもテスト環境があれば、公開される前に事前にチェックできるようになるので、できれば、テスト環境はあった方が良いですね。
※中規模~大規模サイトは必須です。
SEO施策設定
こちらは、コード実装の時に合わせて初期設定をすることも多いのですが、
HTMLの正しいマークアップと、SEO系のプラグインを正しく設定して運用を行うことで、検索エンジンに有利なサイト構築・運用を行えるようにするというものです。
HTMLのマークアップやプラグインの基礎的な設定や、
サイト内の記事のキーワードや文言の調整などを定期的に見直しながら運用を行うことで、検索エンジンに良い評価を与えるWEBサイトに育っていきます。
WEBサイトの保守管理・セキュリティのサービスの基本的な内容はこのようなものになります。
その他、付随するサービスとして、
- 独自ドメイン(SSL含む)・サーバ管理
- テキストや画像の差し替え・削除・追加(月1,2回程度の軽微な修正)
- 電話・オンライン対応サポート
- アクセス解析レポート
- アクセスアップサポート
- WEBコンサルティング業務
- 広告運用代行
- SEO内部施策
etc…
会社のプランによってさまざまなサービスプランがあります。
WordPress保守の費用相場
それから、保守サービスの費用の相場なんですが、
いくつか保守サービスを行なっている制作会社のサイトの料金表を見比べていったところですね、
月額で大体、10,000~50,000円 くらいのところが多いかなあという感じです。
僕たちも自社で保守サービスや管理をしているのですが、クライアントのサイトの規模などによりますが、概ねこれぐらいの価格帯で対応させていただいてます。
サイトの規模やステージ、更新の頻度などに応じて、大体3つくらいの料金プランに分かれている傾向にあるみたいですね。
具体的なサービス内容や料金形態は運営しているサイトの状況によって最適なものが異なってくると思いますので、もし具体的に知りたい、相談してみたいと思う方は、ぜひ下の概要欄から問い合わせをいただければと思います。
WordPress保守サービスの選び方
WordPressの保守サービスをどこかにお願いしたいと思った際に、どのようなところを確認するべきかというポイントを少し説明しておきたいと思います。
保守サービス内容
まずは、もちろん保守サービスの内容ですね。
自社のニーズに最適なものを選ぶ必要が出てきますので、
会社の規模、サイトの規模やステージなどに応じて、
最適な内容であるかどうかをじっくりと検討する必要があります。
例えば、
- セキュリティをしっかり強化したい場合は、セキュリティ対策のメニューが充実した会社にする
- サイトの修正や更新を頻繁に行うので、更新回数や量に対しての上限が多いプランやコスパの良いプランがある会社を選ぶ
など、主な目的をどこにおくかでプランによって変わってくると思いますので、まずは、皆さんの運営しているサイトにこれから必要なものは何かを、制作会社の担当者と相談しながらでも良いので、考えていくと良いかと思います。
実績
それから、次に実績や事例ですね。
実績が豊富な会社や、自社に似た事例や、発注したい内容に近い事例があると、安心して保守を任せることができると思いますので、これも保守を行う会社のWebサイトの事例や、実際に問い合わせて聞いてみるなどをしてみると良いかと思います。
サポート体制
Webサイトに何らかのトラブルが発生した際に、迅速に対応してくれる会社を選ぶことが非常に大切になります。
トラブルが起きてから対処するまでに長く時間がかかってしまうような会社では、サイトの不具合の時間が長くなってしまい、サイトのユーザーに悪影響を及ぼしてしまいます。
サポート体制や内容なども保守を行う会社や担当者に確認しておきましょう。
費用
内容がもちろん一番大切ですが、費用も重要なポイントになってきます。
プランに対して料金が妥当であるかどうかもしっかりと判断をして、予算にあった会社にお願いするようにすると良いかと思います。
WordPress保守・運用の流れ
保守サービスの運用開始の大きな流れとしては、
まずは、
- 保守を依頼する会社を数社比較検討
- 問い合わせ
- 見積もり・料金プランをもらい、検討し、依頼先の選定
- 保守を行う会社と契約の締結
- 保守・運用の開始
という流れになります。
会社によって少々フローは違ってくると思いますが、概ねこんな感じでスタートできます。
まとめ
はい、本日はWordpressサイトの保守管理・セキュリティについてお話しさせていただきましたが、いかがだったでしょうか?
何回も同じことを言うようですが、Webサイトを作って放置というのは、本当に危険な状態に晒されているので、状況によっては、0から作り直さなければならないぐらい収集がつかなくなってしまうこともあります。
トラブルを未然に防ぐためにも、基礎的なセキュリティ対策だけはしっかりと行なっていただきたいと思います。
WordPressの保守サービスやセキュリティについてもう少し詳しく自社サイトに最適なものを知りたい、興味があるという方は、ぜひお問合せフォームからお問合せいただければと思います。