こんにちは、現在フリーランスエンジニアとして活動しているしょーご(@samuraibrass)と申します。
先日に以下のようなツイートをしました。
WebサイトはWordPressに限らず、作って終わりは絶対避けるべきで、保守運用を絶対誰かがし続けなきゃいけないのですよ、サイトが終わるその日まで。 サイト制作だけして保守運用されず、一体どれほどのサイトが毎年消えているか
制作者は「保守運用は大丈夫か」を確認した方がいいですね
私は本業でWebサイトの制作、専らWordPressサイト制作を行っているのですが、「保守運用」、特に「保守」は絶対に誰かが責任持って行うべきだと思っています。
もしこの記事をご覧の方で
Webサイトは作るだけ作って特に保守は考えていません〜
こんなことを思っている人がいたら、それは危険です。
大丈夫!!今回はWordPressサイトの保守を行えるだけの知識を授けますので!
これを話している私自身は、WordPressの新規サイト制作を30件以上こなし、細かなカスタマイズも入れると50件以上こなしてきています。保守も行っています。
今回の記事を読んでいただくことで、WordPressサイト制作だけでなく「WordPressサイト保守」も行えるようになるので、ぜひ最後まで御覧ください!
この記事を書いたのは
しょーご(@samurabrass)
当ブログ「しょーごログ」の運営者。2018年からWeb制作・フロントエンドエンジニアとして主にWordPressでのサイト制作やシステム開発のフロントエンドを担当。同時にブログとYouTubeで情報発信を行っている。駆け出しエンジニアのコーディング課題添削も行い、スクール講師を4年以上している経験を活かした分かりやすい記事制作を心がけている。
\現役エンジニアのレビュー付き/
実践レベルのコーディング課題公開中
- デザインカンプからのコーディングを経験したい
- 現役エンジニアのレビューを受けてみたい
- 即戦力級のポートフォリオを用意したい
2024年にデザインを完全リニューアルしています!
コーディングに自身をつけるにはプロからのレビューを貰うのが必須なため、制作会社も利用するレビューツールで添削をしています。
Web制作学習ロードマップにも取り入れているため、学習終了まで迷わず進むことが可能です。コーディングを本気で仕事したい方はぜひご活用ください!
\無料の入門編から本格企業サイトまで/
この記事執筆のきっかけは一つのツイートから
全てはこのツイートから始まりました。
ぶっちゃけエンジニア以外にはどうでもいいツイートなのですが、エンジニアの何かに火をつけ、炎上っぽくなってしまいました。
しかし、WordPressはこういったハッキング例が多いのも事実で、「保守」をきちんと行うことがとても重要であることを、これを期に啓蒙しようと記事にした次第です。
WordPressサイトの仕組みを知る
まずWordPressサイトを構成しているものを正しく知る必要があります。
- サーバー(データベース含む)
- ドメイン
- ファイル(HTML.CSS.JavaScript.WordPressなど)
例えば、WordPressサイトのファイルのうち、wp-contentの中で言うと、
- themesフォルダ(テーマが入ってる)
- pluginsフォルダ(インストールしたプラグインが入ってる)
- uploadsフォルダ(アップロードした画像類が入ってる)
これらが入っており、全部バックアップ時に必要なフォルダになります。
更に詳しいWordPressサイトの仕組みは以下の記事に書いているので、こちらで復習しておいてください。
そもそもなぜ保守をするべきなのか?
まずは以下を図を御覧ください。こちらはWordPressのセキュリティプラグイン「SiteGuard」を出している企業の2020年レポートです。
攻撃の2/3は「plugins」「themes」に行われていることが分かります。
- SQLインジェクション
- クロスサイトスクリプティング
- ディレクトリトラバーサル
- コンテンツインジェクション
- ゼロデイ攻撃
- ブルートフォースアタック
これらは基本情報技術者試験などで学ぶことです。
個別の手法については調べてみてください。
また、近年で最も大きなWordPressの脆弱性被害は、2017年にあった150万サイト以上が改ざん被害にあった事案です。
WordPressのバージョン4.7.0およびバージョン4.7.1の「攻撃に対する認証が不要」、「リクエストを送るだけで改ざん可能」といった脆弱性が狙われ、大規模な被害に発展しました。
https://wpmake.jp/contents/security/security/vulnerability/
うわ〜めちゃくちゃ狙われてますね、今すぐプラグインとテーマファイル更新ないか確認したくなってきた…
でも、これって攻撃されてどんなリスクがあるんですかね?
色々あるけど、以下のようなリスクがあります。
- 不正アクセス:不正アクセスをされることで、情報の改ざんや機密情報の窃取などさまざまな被害を受けるリスク
- Webサイト改ざん:Webサイトの来訪ユーザーを偽のページへ誘導したり、マルウェアをダウンロードするよう仕向ける
- 意図せぬ犯罪への加担:DDoS攻撃の踏み台にされるケース
- 情報漏えい:
それではここから、WordPressサイトの保守項目を解説していきます。
WordPressサイトの保守項目解説
- 適切なパスワード運用
- ドメイン、サーバーの更新
- WordPress本体、テーマ、プラグイン、PHPの更新
- 定期的なバックアップの取得
- セキュリティ用プラグインの導入と運用
①適切なパスワード運用
まずパスワードは「パスワード生成ツール」を使って生成するようにしましょう。
実はログインIDとパスワードが「root」「admin」などになったままだったりすると、秒でやられます。
それぐらい重要な項目なので、絶対にIDとパスワード設定を適当にしてはいけません。
その上でそのパスワードを忘れないことが重要です。
- 保守以前に適切なパスワード設定
- 設定したパスワードをひかえておく
「1Password」などを使うのがベストです。お客さんが利用するのは厳しいと思うので、こちらでも管理してあげたほうがいいです。
多くのWebサイトのIDとパスワードを覚えておくのはかなり難しいですし、情報の取り扱いも慎重にしなければなりません。
パスワード管理ツールに頼りましょう。
②ドメイン、サーバーの更新
実はサイトが消えてしまう大半の理由はこれです。
お客さんがドメイン・サーバーの更新をしない(忘れる)ことによる消失
レンタルサーバーやドメインに関して、毎年更新の時期になると以下のようなメールが来ます。
もしこのメールが「迷惑メール」に入っていると地獄です。
一度消えたサイトを戻すのはほぼ不可能になります。
その場合は以下のようにしたほうがいいです。
- 次回更新日時を控えておく
- 同時に更新方法をマニュアルにして渡しておく
- 更新日時が近づいたらリマインドを送り、更新してもらう
お客さんからドメイン・サーバーの管理画面へのアクセス情報をもらっておくと、確認できて都合が良いです。
③WordPress本体,テーマ、プラグイン、PHPの更新
理想形は?
まず「サイトヘルスステータス」が「良好」であること、
また以下の画像のように全て最新になっているのが理想形になります。
アプデしないとセキュリティホールから侵入される恐れがあるので、なるべく最新を保ちたいです。
PHPのバージョンはサーバー管理画面で確認
実はWordPressのバージョンばかりに目が行きがちなのですが、PHPのバージョンも重要です。
これはレンタルサーバーのサーバー管理画面から確認することができます。
「シン・レンタルサーバー」や「エックスサーバー
」であれば、以下のようなPHPの部分からバージョンを確認することができます。
注意!!いきなり最新にしないで!!!
よーし!!今からテーマとプラグインとWordPressコアとPHP全部最新にアプデします!!
ちょっと待って!本番環境でやると互換性無かった場合にサイトが真っ白になる可能性があるから、順を追って行わないとダメなんだ!
今回の記事で一番重要な部分です。以下の流れを覚えておいてください。
本番環境でのバックアップ取得を忘れない!
必ずテスト環境を用意し、そこで更新して確認する
テスト環境で問題なければ、本番環境でも更新する
- 本番環境で更新があるかどうか判断する
- 更新があれば、まず本番環境のバックアップを取っておく
- 本番環境と同じPHP、MySQL、WordPressバージョンのテスト環境を用意する
- All in one WP Migrationで本番環境とそっくりのテスト環境をLocalなどで再現する
- テスト環境で、プラグインの現行版と最新版のWordPress両方の互換性を確認する
- OKのものを更新する(不明な場合一旦飛ばす)
- テーマファイルを更新する
- WordPress本体を更新する
- (必要であれば)PHPを更新する
- 問題なければ、本番環境でも同様のプロセスを踏む
テスト環境で問題なくサイトが表示されていたら、本番環境でも同じ流れを実行しましょう。
また、更新作業を始める前に、絶対に本番環境のバックアップを取っておくことを忘れないようにしてください。
④定期的なバックアップの取得
WordPressのバックアップは「UpdraftPlus」で定期的に取るようにします。
「バックアップのスケジュール」を設定して、保存先をGoogle Driveにしておくのが個人的なおすすめ設定です。
お客さんと保守契約結ぶ際は、バックアップ期間を口頭以外に書面でも言語化しておいたほうがいいです。
具体的な契約書に関しては
「【500部突破!】Web業務委託契約のひな形11点セット(制作、保守、SNS運用代行)」
これがとても分かりやすいのでおすすめです↓
Web制作の保守の契約書についてもひな形と解説があります。
⑤セキュリティ用プラグインの導入
これは保守というより、制作段階で入れておきたいのですが、WordPressのセキュリティプラグインの活用もしておくといいです。
おすすめは国産プラグインの「SiteGuard」ですね。
- ログインページ変更:WordPressにおいて、/wp-adminでログインページにいけることは有名なので、攻撃先ページを公開しておくメリットはない
- 画像認証:総当り攻撃などに強くなる
管理ページアクセス制限:外出先だとアクセスできなくなること多数で不便
WordPress保守を案件として引き受ける方法
確かに、保守の実例を見てみましょうか。
WordPressの保守で有名な株式会社e2eの「wp.supoort保守サービス」を見てみます。
wp.support社の業務と料金体系
まず価格帯は44.000円となっており、含まれるサービスは以下の通りです。
- サイト死活監視:Webサイトが正常に稼働しているのか停止しているのかを定期的にチェックすることで、通常ツールで自動監視する
- コアアップデート:WordPressバージョンのアプデ
- プラグインアップデート
- 定期バックアップと復元
- 改ざんチェック
- 月次レポート
- 電話対応
現実的な金額として、個人が保守だけで月次30,000円を超えるのは厳しい印象です。5,000〜20,000円のレンジが多いかと思います。
成果を出すのは保守ではなく運用なので、大規模サイトでない限り、お客さんはお金を出しにくいです。
しかし項目別に分けることで、保守工数に納得感は出ます。
保守運用を本気で担当したい場合は「WSSクラス」を受講されることをおすすめします。
\実際に受講した上で解説/
WordPressサイト制作後の保守も行おう
今回は「WordPressサイト保守」という観点で記事を書いてきました。
保守で行うべき点は以下です。
- 適切なパスワード運用
- ドメイン、サーバーの更新
- WordPress本体、テーマ、プラグイン、PHPの更新
- 定期的なバックアップの取得
- セキュリティ用プラグインの導入と運用
Webサイトは制作してからの保守・運用からが本番です!!
Webサイトが売上アップに貢献し続けられるように、しっかり責任持って保守していきましょう!!
\Web制作の流れも復習しておきたい方へ/
HTML初心者からWordPress実案件レベルまでのコーディング演習課題を「専用ページ」にて公開しています。
- Figma,Photoshopデザインからのコーディング
- サーバーアップロードでサイト公開
- プロによる最大3回の表示確認特典
- レビュー返しは爆速
- 2024年にデザイン刷新!被らないポートフォリオ
「初級編」は初めてデザインからコーディングする方向け
「中級編」はJavaScriptやjQueryの練習
「上級編」はWordPressの実案件を模擬体験できるレベル感にしています。
中級者の方には高難易度課題を詰め合わせた「即戦力セット」も出しています。
全課題で「実務レベルの、プロの厳しいレビュー」を受けられるようにしています。
また、2024年には随時デザインの刷新をしており、完全リニューアル!!
他者と差をつけられるポートフォリオが準備できます!
制作会社も使用する専用レビューツールで分かりやすく添削していきます!
基本的に「まとめて購入」していただくとかなりお得になります↓
コーディングは書籍だけではなかなか実力がつかないので、実務レベルのレビューを受けて自身をつけたい人は是非挑戦してみてください!
\課題の購入はこちらから/
ご寄付を頂けると今後の更新の励みになります!
