WordPressメンテナンスの重要性とアップデートの必要性
皆さんこんにちは。Webフリーランスエンジニア、Toshi Seitoです。
ひとりビジネスのためのWeb戦略研究室は、
個人事業主やフリーランスに役立つWeb周りの話から
集客に関する話まで実体験をもとに、
皆さんと一緒に考え学んでいく番組です。
今回は、WordPressのメンテナンスを自分でやるために覚えておくこと
というテーマについて話していこうと思います。
前回までは、仕事がはかどるシリーズみたいな感じで
テクニックというか、そういうのを話してきたんですけど
ちょっと久しぶりに本業的なお話をしようと思っています。
今回はWordPressのメンテナンスについてなんですが
WordPressのメンテナンスというと
アップデートが思いつくと思うんですけど
今回はそのアップデートとか、そういったことについて
注意点とかをお話ししていきたいと思います。
では今日は久しぶりに本業というか
特異なWordPressの話になるんですけど
皆さんも多分使っている方も多いのかなと思うんですけど
最近たまたまっていうか、クライアントさんが
WordPressの保守のことですね、保守というかメンテナンスのことで
相談いただいて、ちょっと気がかりというか
久しぶりにこういうWordPressを見たなということだったので
お話を今日しようと思ったんですけど
皆さんね、WordPressを使っていて
アップデートってするじゃないですか
というか、WordPressの保守って
私も実際にお客さんからご依頼いただいて
定期的にメンテナンスしています。
個人事業主、この番組自体はフリーランスとか
個人事業主、小規模事業者のためにお話しているので
そうなってくるとひょっとするとご自身で
WordPressを管理されている方も
多いんじゃないかなと思っています。
今回はその注意点というか
最近ちょっとあったお話から
どういうふうにメンテナンスすべきかというお話を
ちょっとしていきたいと思うんですけど
まずそもそもWordPressって何でアップデートしなきゃいけないの?
という話からしていこうと思うんですけど
WordPressはすごい難しく考えなくてよくて
WordPressもいわゆるCMSという言い方をして
コンテンツマネジメントシステムなんて言ったりするんですけど
すごい簡単に言うと
管理画面付きホームページなわけですよ。
管理画面付きホームページ。
管理画面があるということは当然
ログインとかも必要だし
システム化されているわけですよ。
ただのホームページ。写すだけのホームページじゃなくて
システムが入ったホームページですよと。
このシステムに関しても
例えて言うとWindowsとみたいに
iPhoneと一緒でアップデートかけていくわけですよ。
そのアップデートの種類というのは大きく2つあって
機能が上がるとか便利機能がつくとか
そういうアップデートもあれば
セキュリティパッチですよね。
セキュリティホールを塞ぐためのアップデートが
大きくこういう2種類があるわけですよね。
機能面のアップデートとセキュリティ対策のためのアップデートと。
アップデートもしかもワードプレスという特性上
ワードプレス本体だったり
使っているデザインテンプレート
テーマ
プラグイン
この3種類がアップデートに関わるわけですよ。
あとすごい細かいこと言うと翻訳とかも
翻訳もアップデートの対象に入ってますね。
プラグインで日本語化されたとかね。
そういうアップデートが大きく3つあるわけですね。
アップデートってしなきゃいけないかというと絶対しなきゃいけないです。
それだからさっきも言った通りWindowsだったりiPhoneでも
セキュリティ対策のためにアップデートしましたとなるわけですから
しなきゃいけない。
しかも何が立ちが悪いかというと
ワードプレスってサーバーにあるんですよね。
しかも公開されている状態であると。
だから皆さんが使っているiPhoneとかWindows
Macでもいいんですけど
デバイスの場合ってインターネットに繋がらなかったらなんてことないんですけど
しかもインターネットに繋いだところで
いわゆる防御がかかっているわけですけど
このワードプレスに関しては
サーバー上にあるものに関しては
基本的に全部も晒されている状態なんですよ。
基本的にね。どういう風にでもアクセスできる状態になっていると。
だからなおさらアップデートは必要なんですよね。
要は攻撃が常にあるんです。
常に攻撃されている状態なんですよ。
それをなるべく早い段階で
セキュリティホールを閉じなきゃいけないわけなんですよ。
もちろんサーバーにデータを上げた後に
なるべくは攻撃を食らわないようにするための
機能というのは各種サーバーに一応あります。
WAFって言ったりするんですけど
要は攻撃検知してブロックするみたいな
機能というのは各種サーバーにあるから
最低限のセキュリティ対策というか
ブロックみたいなのがあるんですけど
とはいえワードプレスというのは
プラグインとかを使うとそれだけ高機能になる分
穴もセキュリティホールもどんどん増やしていくみたいな
そこらへんはイタチごっこじゃないですけど
いい機能をつければ
いい機能というかその表現があれなんですけど
機能を1個追加するごとにリスクも上がるということです。
なのでアップデートは絶対しなきゃいけないと。
どういう攻撃にするか
私がするよりも多分
AIに聞いてもらった方が早いと思いますね。
いろいろワードプレスのバージョンを調べたり
プラグインのバージョンを叩いてリクエストして
これ該当するやつだと思ったら
ボンボン攻撃しかけてるような感じです。
インターネット上でも常に色んな国から色んなアクセスがあって
サーバーログとか見るとわかるんですけどね。
そんな感じです。
なので私検索に引っかからないからとか
放置してるからとかそういうことじゃないんですよね。
インターネットでもあらゆる
攻撃がされてるとそういう状態です。
なので基本的にはバージョンというか
セキュリティためのアップデートは必須です。
理想的なメンテナンス頻度と自動更新の活用
でもちょっと先にも
どういう風にしておくのが理想かって話を
先にしちゃおうかな。
色々ちょっとしゃべる前に
私がどういう風にしてるかと皆さんはこうした方がいいですよって提案を
先にさせていただきます。
私の場合は定期的に
最低でも週1回はアップデートかけてます。
これはクラウドさんお客さん
補修をいただいている
お客さんのサイトは
週1回必ずアップデートかけるようにしています。
これはなんでかというと
1ヶ月だと長すぎですね。
1週間の単位でアップデートかければ
例えばさっき言ったセキュリティホールとかの
脆弱性の報告
なんて言ったりするんですけど脆弱性
そういうのが連絡くるんですよ。
このプラグインに重大な
セキュリティホールが見つかりましたみたいな
そういうサイトがあるんでそれ見てれば見たりとか
ガイドするプラグインだけはチェックしてればいいんですけど
だいたいそういうアラートが
かかる前に潰せてる感じです。
週1回アップデートさえかけていけば
その報告が出る前に
大やけになる前には
なんとか潰せてるような状況という感覚でいます。
何も考えなしに週1回アップデートかけるのは
結構理想的だと私は思っていて
お客さんのサイトも週1回やってると。
セキュリティの報告とか見て
アップデートかけることもありますけど急いで
大概でも対策終わってるバージョンが
アップデートかかってる場合が多いですね。
週1回やってれば。
皆さんがもし仮に定期的に自分でやるんであれば
週1回はやった方がいいです。
理想的な感じだと思います。
もし毎週まさかそんなのやってらんないよみたいな
実はそういうお客さんもいたんですよ。
別のお客さんでそんなに必要なんですか?
みたいなことをおっしゃられるお客さんがいて
必要かどうかで言えば必要なんですけど
そんなにやらなくても今まで何も起きなかったよって
おっしゃるんですよね。
じゃあ自分でそんなにやりたくないんであれば
自動更新。
プラグインであれば自動更新ができます。
勝手に更新してくれるような機能があるので
それをやった方がいいです。
自動更新もワードプレスの特性上
アップデートが来たらぐるぐるって勝手に
更新するんじゃなくてアクセスがあったら
ちょっとトリッキーなんですけど
ワードプレスってクロンっていう
定期的に自動で何かをやるっていう機能は
ワードプレスには自身は持ってなくて
発火させる機能っていうのかな?
難しいですね。
この時間にこれをやるっていう機能は実はワードプレス自身にはなくて
誰かがサイトにアクセスした段階で
その状況を満たしてたら発火するみたいな感じなので
アクセス全くないサイトは実は
自動更新とかって向いてないんですけど
ある程度1人でも来てくれれば
それは発火するんでいいと思うんですけど
いずれにしても自動更新にしておくのがお勧めです。
どうしてもそんなに自分でやりたくないんだったら
あとで話すんですけど
もし仮に自動アップデートで
エラーが起きて画面真っ白みたいな
多くの人が結構それを恐れてるわけですよ。
画面真っ白じゃったらどうしようみたいなね。
止まっちゃったらどうしよう。
これはさっき言ったセキュリティのホールを放置して
何もしないよりは
自動更新かけて真っ白になってくれた方が
まだありがたいと思った方がいいですね。
真っ白になっちゃった場合って
ワードプレスからまたメールが来るんですよ。
重大なエラーが出ましたと。
管理者のあたりにメールが来ます。
ワードプレスから確認してくださいみたいな
メールが来ると。
そうなったらしょうがないので
サーバーのバックアップ機能から復元してください。
ほとんどのレンタルサーバーに
自動バックアップの機能って入ってるはずです。
なのでそこから復元すればいいだけです。
真っ白になっちゃったら。
前日の時点とかね。
自動更新何でエラー出たかわからないけど
一旦自動更新止めちゃって
プロの方にお願いすると。
それが一番いいと思います。
これが私の一つの結論ですね。
放置するよりはアップデートかける。
エラー出ちゃったら復元する。
これが私がいいんじゃないかなと思う提案です。
ハッキング事例と放置のリスク、代替案
なんでというか
こういう話をする理由がいくつかあって
最近お問い合わせあったお客さんもそうだし
去年も同じような事案があったんですけど
放置してるサイトが乗っ取られたっていうのがあったんですよ。
それしかも意図的に放置してたんですよ。
なんでかな。
やっぱりアップデートしたら壊れちゃうかもしれない。
少し分かってる人がそういうことをやる傾向があるかもしれないです。
ちょっとワードプレスのこと分かってると
逆に心配になりすぎてアップデートできないみたいな
人がいらっしゃいますね。
逆にそこまで気にしない
エラーとか出ないっていう人の方が
ちゃんとメンテナンスされてることの方が多いですね。
詳しくないって言い切ってる人の方が
ちゃんとアップデートしてるようなイメージなんですけど
エラー出ちゃってそれをエラー直すのがめんどくさいから
アップデートしないままでいるんだっていう人がいて
1個のサイトは一応何もなかったんですよ。
それこそハッキングされることはなかったんだけど
もう一方のその方の個人のサイトですね。
サーバーがたまたま違うアカウントですと。
その方のサイトがまんまとハッキングされてました。
そのサーバーは権限を000にして
変なサーバー上で
ドメインの中で
変な動きを検知しましたと。
それによって今は
全てアクセス権をゼロにして
アクセスできないようにしてます。
これを復旧するかはあなた次第じゃないけど
そういうメールが来て
サーバーからアラートメールが来て止められてるという状態。
これで直せますかって話だったんですけど
正直無理ですね。
やり方はあるんですよ。復元はしようと思えばできるし
できるんですけど
すでにマルウェアが入っているという段階じゃないですか。
それを自分のサーバーに持ってきてとか
自分の環境に持ってきてというのはそもそも怖いと思うじゃないですか。
そこから完成したら困るんだよね。
自分のサーバーも含めて。自分のPCも含めてね。
それはもうセキュリティの専門家にお願いするしかないです。
私はセキュリティのスプレッシャリストじゃないので
やれないんですよね。復元はやろうと思えばできるんですよ。
自分のパソコンのローカル環境に持ってきて
PCがマルウェア削除してくれるからやろうと思えばできるんでしょうけど
それもデータベースとかにもマルウェアとか入っていて
新しいワードプレスで何とか復元しましたって言っても
またハッキングされるんですよ実は。
実際そういうお客さんいたんでね。
だからそうなっちゃいけないんですよね。
これが一番良くないんですよ。
一回でもハッキングされるとサーバー自体も
使えなくなる可能性もあります。
あるんですよ。だからそこのディレクトリがあるドメインが
マルウェア食らっちゃいました。
じゃあそれだけで本当にそこだけが危険なのかというと
そうじゃなくて並列に並んでいるドメインの
ディレクトリがあるわけじゃないですか。
そこに蔓延している可能性ってあるわけですよマルウェア。
簡単でしょそんなディレクトリ2個上にあって
その下にあるものもコピーみたいなことしちゃったらさ。
どういう攻撃の仕方をするのか私はちょっと詳しくないから
わからないけどいずれにしてもそういうマルウェアが
一回でも入っちゃうとスプレッドしちゃうんですよ。
とにかく派生しちゃうと。
いわゆる本当のウイルスと一緒ですよね。
1個でも感染源があると全部感染しちゃうみたいな。
そういう感じなんで絶対に
ハッキングとかマルウェアが入っちゃだめなんですよ。
結局さっき言った通り
セキュリティの専門家にお願いしたら運10万ですからね。
これ事業サイト
プライベートのサイトでもそうですけど
その方の場合プライベートのサイトだからしょうがないかなっておっしゃってましたけど
でも言っても自分の今まで書いてきた記事とかが
なくなっちゃうわけですよね。
事業サイトだったらとんでもないことになりますよね。
法人さんとかさ
そういう風になってしまったら
お客さんの身がかかっちゃうし見てるお客さんとかね。
だから絶対にハッキングされちゃいけないっていう
そういう感覚で言えば
さっきの最初にお話した通り
自動更新にしとくべきだし
更新でエラーになってエラーで終わるぐらいだったら
いいんじゃないかと思うんですよ。そっから変な話
プロに委託して更新かけてもらう
それで数万円かかっちゃうかもしれないけど
セキュリティ会社に
セキュリティの専門会社にお願いするより
はるかに安いですからね。
一回でもハッキングされちゃうととんでもないことになっちゃう。
だから絶対に放置しちゃいけないし
アップデートしないという選択肢は絶対ないんですよ。
あともう一つね
もう一つの良くないパターン。使っていて
放置するパターンと使っていなくて放置するパターンの方も
いらっしゃると。それも結構多いんですよね。
使ってないから
放置って一番良くなくて
結果は同じですよね。
使ってないかったら本当はアクセス制限かけなきゃいけない
パスワード制限かけるとか
しなきゃいけないんですよ。
そういう話なんですよ。使わないなら使わないっていう
何かしらの対処が必要。もう消すなりしなきゃいけないと
セキュリティホールついて
ハッキングされたら自分のサイトが壊れるっていうイメージで
いるかもしれないけどそれだけじゃないんですよね。
それを踏み台にしてフィッシングサイトに飛ばされたとか
そういうのもあるわけです。スクリプトとか埋め込まれて
強制的にそういうフィッシングサイトに飛ばす。
飛ばす原因を作った人にも
責任があるみたいなことになっちゃうんですよ。
踏み台にされて
そういう風に被害に遭われちゃったら
それはそれで問題なわけです。
放置も絶対。
使ってないから放置も絶対ダメなんですよ。
これが伝われば
伝わりにくいですよね。
ひょっとしたらリテイラーシーンがあまり高くない方が
放置してる可能性もあるのでね。
ワードプレスそういう風に最初から放置しちゃうんだったら
最初からHTMLのサイトを作ったほうが絶対いいです。
ある意味ノーメンテナンスでいいんで。
それこそ私のクライアントさんで最初からそういう気持ちの
ブログはやるかもしれないけど
多分やらないみたいな人
会社さん。私が実際に作った
何年も前に作ったサイトなんですけど
それなんかは本当にHTMLで納品しました。
デザイナーさんと一緒にやってる時に
ワードプレスのテンプレートとかも使ったりするんですよ。
ライセンスとか買ってね。
そのテンプレートを使ったほうが
今回はやりやすそうだなって話だったので
ワードプレスのテンプレートも使いつつ
最終的には私が出てきたやつをHTMLにして
納品すると。
オートUSAフォームは別に自分で作れるので
オートUSAフォームを作るだけ。
ブログは無しみたいな感じで
納品してノーメンテナンスみたいな感じで
今も使われてるんですよね。
それはそれでいいと思うんですよね。
もうHTMLに振り切っちゃうみたいな。
その方がよかったりしますよね。
メンテナンスそもそも最初からできる見込みがないんだったら
ワードプレス使わない方がいいですよみたいな。
あとはワードプレスじゃなくて別のCMSというか
クラウド系のサービス
ブログシステムとか
スタジオとかWixとか
ありますよね。
そういうのを選択に入れるのもアリだと思います。
もちろんそれは独自ドメイン使うときにお金かかるので
それはそれだから月何千円かかっちゃう。
そこら辺はトレードオフですよね。
そういうのもある意味私に聞いてもらえれば
あなたこっちの方がいいですよというアドバイスができるというか
そういうことしてるので実際。
そういうのも考えてメンテナンスは
どうしてもワードプレスが必要ですよというのが前提で
使ってほしいなって思うわけですよね。
PHPバージョンアップと保守のプロへの依頼
最近の話がそうだったんですけど
PHPのバージョンが今7.4で使われてる人まだいるんじゃないですかね。
そういう人もアップデートしないで止まってるんですよ。
PHP今って8.4とか5とかなんですかね。
ごめんなさい全然確認してないんですけど
8.4とかが推奨になってると思うんですけど
7.4とかだとそれこそ多分
エラーには出ないかもしれないですけどね
ギリギリその公式テーマ使って
それこそまだ現役バリバリのプラグインを使ってる場合は
多分8.3とか9にやっても
多分ギリギリ大丈夫な気がしますけど
それこそオリジナルテンプレートで作ってて
しかもプラグインも今は絶対使われてないようなプラグインを使ってるみたいな
そういう状況だと多分
1回ローカルでシミュレーションしないと評価環境を作って
エラー出ないかなみたいな
だからもうアップデート終わったやつは
そのまま8.4とか8.3で準備しているサーバーに
ボンと置いた方がうまくいく可能性もありますね。
そういう7.4で止まってる人なんかは
実はそれで私にご相談いただいたんですけど
それは相談した方がいいと思いますプロに
プロの方に相談して
お金はかかりますけど確実にクリーンに
最新にアップデートした方がいいと思います
という感じなのでPHPのバージョンアップの時って
確かにそれはやっぱり初心者というか
あまりサーバーのこと詳しくない方は結構ハードル高いんで
なんでそういう意味では保守って
お願いできるんであれば絶対した方がいいですよね
自分の授業例えば自分のサイトでお客さんが
お問い合わせが来るみたいなそういうサイトなんかは
絶対保守お願いした方がいいですよねそういうのに
いちいち頭使いたくないじゃないですか
意味ないじゃないですか不安になったって
そういうのはエンジニアさんにプロの方にワードプレス
詳しい方にお願いした方がいいと思います
私もそういった保守は受け付けてますし
保守だけじゃなくてコミュニケーションもできるような
専用のチャットツールとかで
ホットラインみたいなのをつなぐんで技術的なこと
質問とかもできるようになってるんですよね私の場合は
なんでそういうの分かんないことがある場合とかなんかも
ぜひ私に限らずですよ
そういうプロに保守みたいなのは
相談はした方がいいと思います
もし自分で最初に冒頭でも喋ったんですけど
自分で管理するんであれば毎週定期的に
必ずアップデートはしましょうと
あとはさっき言ったバックアップをしてさえいれば
復元はできるはずなんですよ
サーバーにそういう機能があります
プラグインで外部にデータを持っていくわけですよ
サーバーの中とは別に生データを
どうしても私はちょっと古い人なので
どうしても生データをあった方がいいよねと思って
対比させるんですけどそれはそれでサーバーとは別のところに
バックアップするということをしてるんですけど
いずれにしても皆さんは一般的な方
ワードベースが詳しくない方はサーバーで復元できるよね
っていうのを確認した上で一回練習でやってみると
いいと思うんですよね復元も
復元できるって分かれば別にエラー出て
びっくりする必要はないんですよね
自動更新かけてエラー出たらしょうがないなぐらい
バックアップから復元するという流れを
自分の中でうまく構築しておけば余計な心配は
いらないんじゃないかなと思いますとにかく本当に
放置だけは良くないです本当にまめにやっていければ
余計なノイズというか防げるので
メンテナンスというところで
難しく考えないで
ご自身でやるのであれば自動更新
常に愛着を持ってワードプレスを
育てていくじゃないですけど
可愛がってもらえればなと思います
今回はワードプレスのメンテナンスを
自分でやるために覚えておくことについて
話してきましたがいかがでしたでしょうか
ワードプレスのメンテナンス
アップデートってどうしても初心者の方には
壊れてしまうんじゃないかっていう不安とかあると思うんですけど
一番怖いのはとにかくハッキングされることですね
放置することハッキングした後のお金のかかり方とか
人に迷惑かけてしまうということ
それを知っているだけでもリテリシーが上がるというか
アップデートで大事なんだな
そういうことを分かってもらえたら嬉しいなと思っています
この番組では
ご意見ご感想リクエストを受け付けています
番組詳細欄のリンクからお気軽にお送りください
Xではハッシュタグウェブ戦略研究室をつけて投稿してください
またSpotifyやApple Podcastではレビューもできますので
こちらからもご感想など書いていただけたら
励みになりますのでよろしくお願いします
それではまたお会いしましょう
お相手はフリーランスエンジニアとして伊藤でした
