WordPressの世界のシェアはとても大きいものになっています。
今ではWebのことに詳しくなくても何となく「WordPress」っていうCMSがあるくらいは知っていることが多いようです。
よく「WordPressでサイトを作って欲しい」とご依頼いただくのですが、
発注する側のクライアントがWordPressのことをよく知らないのに、そのような発注を出すことが少なくありません。
オープンソースでシェアが高いということもあり、攻撃の対象になることが多いです。
実際ウチのクライアントでも、ファイルの書き換えをされたサイトもありました。
では、どうしたらいいの??
やみくもに「怖がって」いても仕方がありません。
私たちが言うのは、
『用心にこしたことはありませんが「絶対にアタックもしくは書き換えされない」というものを作るのは不可能に近いと考えられます。
ですので「やられたらどうするか」を考えておくことが必要』
ということです。
まずは「基本的なこと」が出来ているかチェック!
基本的なことってどんなこと??
● WordPressは最新のものを使っていますか??
WordPressのバージョンアップはセキュリティ面も考慮したバージョンアップをしているケースも多く、これをしていないことでセキュリティが甘くなります。
WordPressのバージョンアップは突然ダッシュボードからクリックだけでバージョンアップはしないでくださいね!!
「WordPressのバージョンアップ!その前に」を参照してください。
● プラグインは最新のものを使っていますか??
WordPress同様、セキュリティのことを考えればバージョンアップは必要でしょう。
また、WordPressだけバージョンアップするとプラグインと不具合を起こす可能性もありますので、WordPressとバージョンアップはワンセットで行いましょう。
● 必要ファイルのパーミッションは全開になっていませんか?
WordPressは多くのphpファイルで構成されています。
パーミッション全開(777)にしておくと、そのファイルを狙われる場合があります。
ご利用のサーバーで推奨されるパーミッションがあると思いますので、必ずそのように変更をしてください。
● パスワードは短すぎたり、簡単に思いつくものではありませんか?
管理画面へのログインの際に使われる「パスワード」ですが、短すぎたり他人が安易に思いつくものにしていませんか?
例えば「株式会社ABC社」という会社のパスワードを「ABCABCABC」などにしたり、会社の創立年月日にしたりするなどは、利用するが側としてみたら「忘れない」でいいと思うのですが、他の人でも安易に思いつくものなので、突破されやすいです。
ですので、パスワードは数字や大文字・小文字が入り交じった英字にして、なるべく長めのものをご用意ください。
もちろんこれだけやれば、攻撃を受けないということではありませんが「最低限」やっておかなくてはいけないこととお考えください。
泥棒に狙われているかもしれないのに、家に鍵をかけずに外出することはしないですよね。
それと同じこと。
WordPressを使うなら、最低限のことは必ずやってください。