Ep.22 | WordPressの自動更新の罠に気をつけよう！

【今回のエピソード】「WordPressの自動更新を有効にしているから、もうメンテナンスは不要」……もしそう思っているなら、今回のエピソードは必聴です。先日、今年2件目となる「ハッキング被害に遭ったサイト」の復旧対応を行いました。クライアントさんは自動更新を設定していましたが、なぜか2年も前からサーバーを「踏み台」にされ、メール送信機能を止められていたのです。なぜ自動更新が機能しなかったのか？ そこには3つの大きな「罠」がありました。設定で更新メニュー自体が消されていた可能性「無効化」して放置していた公式テーマが攻撃の入り口に「アクセスがないサイトは更新が走らない」というWordPress独自の仕様マイナスをゼロにするだけでなく、Cloudflareを導入して「以前より速く、安全なサイト」へ生まれ変わらせた復旧の舞台裏と、一人ビジネスで管理しきれないサイトを持つリスクについて、エンジニアの視点でお話しします。【タイムスタンプ】00:00 オープニング：自動更新を設定していてもハッキングされる？01:15 相談のきっかけ：SMTP認証の問題かと思いきや、実は……02:49 意外な原因：サポート終了プラグインと、2年前から止まっていたサーバー機能05:40 ハッキング発覚。4つのサイトのうち、放置していた3つが狙われた07:48 復旧作業：Wordfenceでの駆除と、ログイン周りのガードを固める09:48 災い転じて福となす。Cloudflare（クラウドフレア）導入で高速化も実現13:22 罠その①：wp-config.php の設定で更新機能が殺されていた？15:02 罠その②：未使用の「公式テーマ」を放置するリスク16:30 罠その③：アクセスがないと更新されない？「WP-Cron」の仕様という盲点18:00 管理の限界：特化サイトを量産しすぎることの「保守的」デメリット19:30 まとめ：放置は最大の罪。プロに任せるか、自ら愛着を持って管理するか【番組内で触れたツール・サービス】Wordfence : マルウェア検出プラグイン。Cloudflare (クラウドフレア): サイトの高速化とWAFによる防御。All-in-One WP Security: ログイン周りなどを強化するプラグイン。Contact Form 7: お問い合わせフォーム作成の標準プラグイン。【今回の問題のサイトの対応の詳細】【案件事例】「自動更新だから安心」は危険！お問い合わせフォームの不具合から発覚したサーバー全体のセキュリティ事故と解決の全貌【お便り・ご質問はこちら】番組への感想や、「自分のサイトのセキュリティが心配…」といったご相談、リクエストがあれば、以下のフォームからお気軽にメッセージください！⁠https://forms.gle/rXZKkNAgPfv7rsdv5⁠ハッシュタグ「#WEB戦略研究室」でのポストもお待ちしております。