Contents
セキュリティとバックアップ
セキュリティは他人事ではない
以下のいずれかorすべてを放置した場合、サイトが改ざんされる確率はかなり高い
- WordPressのコア(本体)をアップデートせず放置
- プラグイン/テーマをアップデートせず放置
- パスワードの使いまわし
- サイトがSSL/TLSに対応していない
- FTPの不適切なパーミッション設定
私自身も(記憶にある限り)過去4回、サイトが改ざんされた
- 2回は(たぶん)プラグインのセキュリティホールがきっかけ
- 1回は(たぶん)FTPの不適切なパーミッション設定
- 1回は(たぶん)設置していた他のアプリケーションのアップデート放置
どのように対応すべきか?→
「絶対に安全な方法」はない。「やるべき」とされていることは一通りやり、自動バックアップを設定する。
やるべきこと(私がやっていること)9選:
- WordPressコア/プラグイン/テーマいずれも自動アップデート(※)を設定
- 使わないプラグインやテーマは放置せず削除
- 自動バックアップを設定する(プラグインを使用)
- パスワードは使い回さず、サイトごとに自動生成しブラウザに記憶させる
- セキュリティ系プラグインを設置
- レンタルサーバー側のセキュリティ機能を有効化
- SSL/TLSを設定
- FTPで各ファイル/フォルダに適切にパーミッションが設定されていることを確認
- wp-config.phpファイルを一般からは1つ上の階層(=public_htmlの1つ上)に移動し、Web公開領域の外に置く
WordPressコア/プラグイン/テーマいずれも自動アップデートを設定
- WordPressコアは、デフォルト設定ではマイナーアップデートは自動適用される
- (※)メジャーアップデートは手動
- 使用中のプラグインが最新版のWPに対応済みであることを確認し、手動アップデート実行
- (※)メジャーアップデートは手動
- プラグイン/テーマはデフォルト設定では手動アップデート
- 特に理由がないかぎり自動アップデートを設定する
- プラグインファイルを直接カスタマイズするとアップデートで上書きされてしまう
- アクション/フィルターフックを使ってテーマのfunctions.phpにカスタマイズ内容を記述、または外部プラグイン化していれば問題ない
- 大きな機能変更があった場合は不具合が起こる可能性あり
- その場合もバックアップを取っていればすぐに戻せる
- プラグインファイルを直接カスタマイズするとアップデートで上書きされてしまう
- 自動アップデートの設定は別紙参照
- 特に理由がないかぎり自動アップデートを設定する
- テーマはデフォルト設定では手動アップデート
- 特に理由がないかぎり自動アップデートを設定する
- 親テーマを直接カスタマイズするとアップデートで上書きされてしまう
- 子テーマをつくり必要な箇所のみオーバーライドしていれば問題ない
- 大きな機能変更があった場合は不具合が起こる可能性あり
- その場合もバックアップを取っていればすぐに戻せる
- 親テーマを直接カスタマイズするとアップデートで上書きされてしまう
- 特に理由がないかぎり自動アップデートを設定する
参考)プラグインとテーマの自動更新 – WordPress 日本語
https://ja.wordpress.org/support/article/plugins-themes-auto-updates/
参考)WordPressの自動更新(バックグラウンド更新)機能を徹底解説 – Kinsta
https://kinsta.com/jp/blog/wordpress-automatic-updates/
注意)有償プラグインは自動アップデートに対応していないことが多い。手動で対応(配布元のサイトから最新版をダウンロードして、サイトに上書きでアップロード)。
使わないプラグインやテーマは放置せず削除
- プラグインを「有効化」していなくても改ざんされる恐れあり
- 使用しないとなるとアップデートも放置しがち
- 脆弱性の温床
- 使用しないとなるとアップデートも放置しがち
- 使用していなくても、プラグイン/テーマのアップデート確認のために負荷もかかる
- 使わないプラグインやテーマは削除する
バックアップ
プラグインを使用して自動バックアップ
- 「Updraft plus」または「BackWPup」が有名
- 前者は復元機能も無料で使いやすいのでおすすめ
UpdraftPlus WordPress Backup Plugin:
https://ja.wordpress.org/plugins/updraftplus/
- 前者は復元機能も無料で使いやすいのでおすすめ
- バックアップの保存先は、サーバーの外部に置くのが安全
- 同じサーバー上に保存すると、クラックされた場合にバックアップデータも感染している可能性もある。またサーバー自体が何らかの理由ですべてデータが飛ぶ可能性もある(バックアップの意味がなくなる)。
- DropboxやGoogle Driveなどクラウドストレージが便利
https://www.dropbox.com/ja/
https://www.google.com/intl/ja_jp/drive/
自動バックアップやアップデート手順
- WordPressのプラグインの手動アップデート設定
- WordPressのプラグインの自動アップデート設定
- Updraft plusの手動バックアップ、改ざん、復元
- Updraft plusの自動バックアップ
WordPressでプラグインやテーマを手動アップデートする方法
更新通知は管理画面に赤いバッジでアップデートがあるプラグインの数字が表示されるのでわかりやすい。
プラグインの場合
管理画面 > プラグインの一覧画面を開きます。
更新リンクをクリックで手動アップデート完了です。
テーマの場合
管理画面 > 外観 > テーマの一覧画面を開きます。
管理画面[外観]>[テーマ]をクリックすると、インストール済みのテーマが一覧表示されます。
更新が完了すると、「更新しました」が表示されます。
WordPressでプラグインやテーマを自動更新する方法
プラグインの場合
管理画面 > プラグインの一覧画面を開きます。
各プラグインの一番右の列にある「自動更新を有効化」をクリックすると、そのプラグインの自動更新が有効になります。
テーマの場合
管理画面 > 外観 > テーマの一覧画面を開きます。
各テーマの詳細を開き、その中にある「自動更新を有効化」をクリックすると、そのテーマの自動更新が有効になります。
プラグインと同様に「自動更新を無効化」をクリックするとまた無効に戻すこともできます。
自動更新後の通知メール
ちなみに、実際に自動更新が行われると、通知メールが管理者メールアドレス宛に送られます。
Updraft plusの手動バックアップ、改ざん、復元
プラグインのインストールと新規作成
「UpdraftPlus」とは、データのバックアップを自動で行い、復元も簡単な操作で行えるバックアップのおすすめプラグインです。まずはインストール後、有効化してください。
プラグインを有効化すると、WordPress管理画面レフトナビ「設定」に「UpdraftPlus」のメニューが表示されます。
こちらのUpdraftPlus管理画面から、バックアップや復元を行っていきます。
バックアップデータをサーバーへ保存する方法
UpdraftPlusではバックアップしたデータを、今すぐ取りたい場合には「手動」で、定期的に期間を決めて取りたい場合には「自動」で、サーバー上に保存することができます。
「手動でバックアップする方法」と「自動でバックアップする方法」に分けて、やり方を説明します。
手動でバックアップする方法
1.「今すぐバックアップ」ボタンをクリックする
UpdraftPlusの管理画面を開いた時の標準画面である「バックアップ/復元」のタブから、「今すぐバックアップ」のボタンをクリックします。
ポップアップで実行画面が開きますので、そのまま「今すぐバックアップ」ボタンを再度クリックします。
2.正常にバックアップされたかを確認する
バックアップが完了すると、ページ下部の「既存のバックアップ」欄にバックアップ情報が表示されます。
ここに、バックアップを行った日付・時間で表示がされていれば、バックアップの完了です。
Core Cafeを“改ざん”してみよう
例えば・・・
- ショップの名前を変更
- 同じコーヒー豆(商品)を20個複製
- 登録した商品の画像を別のものに
- 商品の値段を変える
- テーマ(外観)を別のものに
- スライドを入れてみる
- 地図を入れてみる
- Twitterを埋め込んでみる
- ユーチューブを埋め込んでみる
- お問い合わせフォームの文言を方言に変えてみる
- 気になるプラグインを片っ端からインストールしてみる
など、過去にWordPressサイト制作で習ったことや、こんなことはできないか?といったチャレンジ的なことなんでも変更してみましょう。
Updraft plusで復元
(授業内に補います)
Updraft plusの自動バックアップ
WP管理画面 > 設定 >UpdraftPlus バックアップ をひらく
「設定」タブをクリック
スケジュール設定
スケジュールの項目では、以下の通り設定を行ってください。
- ファイルバックアップ: 毎週/4
- データベースバックアップ: 毎日/7
以上で、テーマ/プラグイン/アップロードした画像などは週1回、過去4週分のバックアップが自動で保存される。記事は毎日、過去7日分のバックアップが自動で保存される。
サイトの更新頻度や運営方針、バックアップ先の空き容量を考慮して、バックアップの頻度を決める。
保存先の設定
保存先はクラウドストレージに設定するのが便利。(DropboxやGoogle Driveなど)
バックアップ対象の設定
バックアップするファイル: 全てチェック
基本的には、デフォルトのままで問題ないので、そのまま進みましょう。
その他の設定
その他の項目も特に変更は必要ありません。バックアップ通知のレポートが欲しい場合は、メールにチェックを入れておいてもOKです。
最後に、「変更を保存」をクリックすれば、設定したスケジュール通りに自動バックアップが実行されるようになります。
以上で自動バックアップの設定は完了です。
お疲れさまでした。
以下は読み物的補足
バックアップデータの内容
UpdraftPlusでバックアップを行うと、「データベース」「プラグイン」「テーマ」「アップロード」「その他」の5つのデータに分けて保存されます。
それぞれのデータの内容は、下記の通りです。
WordPressの管理画面から作成した投稿の記事や固定ページ、Welcartで登録した商品や情報、購入者の情報など、WordPressのデータベースに保存されているデータがバックアップされています。
WordPress管理画面レフトナビ「プラグイン」にインストールされているプラグインの情報がバックアップされています。
WordPress管理画面レフトナビ「外観」→「テーマ」にインストールされている全てのテーマがバックアップされています。テーマ内のCSSやPHPファイルを編集している場合、その編集内容も保存されています。
WordPress管理画面レフトナビ「メディア」に登録されている画像等がバックアップされています。
上記①~④以外のサーバー上にあるデータがバックアップされています。
印刷したい場合はPDFがダウンロードできます