このサイトは管理者okudenのWeb制作、Webサービス、パソコンに関する防備録です。

エックスサーバーで複数のWordPressを運営する場合のリスク

エックスサーバーは、高速かつ安定性に優れたレンタルサーバーであり、個人から法人まで幅広いユーザーに支持されています。マルチドメイン対応、メールアカウント無制限、データベース最大50個以上といった充実した機能を備えており、複数のWordPressサイトを運営するのに適した環境が整っています。そのため、多くの方が利用されている人気のサーバーです。

私自身もメインのサーバーとしてエックスサーバーを利用しており、高い信頼を寄せています。しかし、最近になって、エックスサーバーを利用するうえで1つの重大なリスクがあることに気づきました。これは、1つのアカウントで複数のWordPressサイトを運営する場合に発生するリスクです。万が一、不正アクセスを受けた場合、想定以上に深刻な影響を受ける可能性があります。

場合によっては、今後のエックスサーバーの利用方法を見直す必要が生じるかもしれません。本記事では、そのリスクについて順を追って詳しく解説していきます。

目次

  1. エックスサーバーで不正アクセスを受けたらどうなるの?
  2. 不正アクセスを受けた場合の被害を最小限にするにはどうしたらいいの?
  3. それでもエックスサーバーで複数のWordPressを運営する場合
  4. 最後に

エックスサーバーで不正アクセスを受けたらどうなるの?

2020年9月以降、WordPressのプラグイン「File Manager」の脆弱性を狙った攻撃が相次ぎ、多くのWordPressサイトが不正アクセスを受け、改ざんされる被害が発生しました。その際、エックスサーバーの対応によって非常に困難な状況に直面することとなりました。

あるWordPressサイトが不正アクセスを受けた際、エックスサーバーから警告のメールが届きました。しかし、その時点で対象のサイトは403エラーによりアクセス不能となり、さらにメールの送受信もできない状態でした。

エックスサーバーからのメールを確認すると、不正アクセスの影響は1つのサイトに留まらず、同じアカウント内のすべてのサイトに及んでいました。さらに、メールには「アカウント内のすべてのサイトを削除し、ドメインを初期化するように」との指示が記載されていました。

いくつかのサイトを運営していましたが、そのうちの1つはバックアップデータを保持しておらず、エックスサーバーの自動バックアップデータを利用しようとしたところ、使用できないとの回答を受けました。その結果、そのサイトを完全に復元することができなくなってしまいました。

エックスサーバーで複数のサイトを運営する際のリスク

エックスサーバーで多数のサイトを運営している場合、不正アクセスを受けると、サイトの削除や復元に多くの時間と手間がかかります。さらに、バックアップデータがない場合は復元できない可能性があります。その間、サイトやメールが使用できないため、影響が大きくなります。

特に、自分のサイトだけでなく他の人のサイトを管理している場合、サイトが停止することで多くの人に迷惑をかけ、信用問題にも発展しかねません。

ここで、1つのエックスサーバーアカウントで複数のWordPressサイトを運営している際に不正アクセスを受けた場合に起こり得るリスクを整理しておきます。

  • 1つのサイトが不正アクセスを受け、アカウントが停止されると、同じアカウント内のすべてのサイトとメールが停止される可能性がある。
  • サイトを復元するためには、同一アカウント内のすべてのWebデータとメールデータを削除しなければならない場合がある。
  • エックスサーバーの自動バックアップデータが使用できないことがある。
  • 他人のサイトを管理している場合、影響範囲が広がり、信頼を損なうリスクがある。

※データベースのデータベースは初期化削除はないようです。

不正アクセスを受けた場合の被害を最小限にするにはどうしたらいいの?

WordPressの不正アクセスを完全に防ぐことは出来ないので、不正アクセスを受けた場合の被害を最小限にする為にはどうすればいいんでしょうか?
考えられることとして以下の4つの対策が考えられます。

1アカウントで運営するのは数サイトにする

1アカウントで1サイトとするのが理想的ですが、それではコスパが良いエックスサーバーの魅力が半減してしまいます。1アカウントで運営するのは数サイトにしましょう。

エックスサーバーでは極力WordPressを使わない

2020年12月現在、WordPressはサイト全体の35.4%、CMSのシェアでは62.1%となっており、 CMSの中ではダントツでシェアが高く、最もハッカーに狙われやすいです。既存のサイトはそのままでも仕方ありませんが、サイトのリニューアル時や新しいサイトを作る場合は、WordPress以外のCMSを検討してください。

他の人のサイトを預かっている場合はVPSのサーバーを利用した方が良い

他の人のサイトを預かっている場合は、他のサイトに被害が及ぶのを防ぐためにVPSのサーバーを利用することをおすすめします。VPSであれば、サイトごとに独立しているので、他のサイトに被害が及ぶことはありません。

WordPress.comなどセキュリティの高いサーバーを利用

セキュリティを万全にしておくには、多少お金がかかっても専門のサービスを利用した方が良さそうです。

それでもエックスサーバーで複数のWordPressを運営する場合

既存のサイトをすぐに移転させるのが難しく、しばらく今の状態で複数のWordPressを運営せざるをえない。もしくは諸事情により移転が難しい場合は、以下の点を厳守してください。

  • WordPressの定期的なバックアップを行う
  • 定期的なWordPressのアップデート、プラグインのアップデートを行う
  • 使っていないWordPressやプラグインを消去する
  • プラグインはあまりインストールしない。使えばそれだけリスクが高くなります。
  • 更新されていないプラグインのチェック
  • WAF(Webアプリケーションファイアウォール)を利用する
  • WordPressやサーバーに詳しい人がいない場合は、保守を専門の会社に依頼する

なお、他の人のサイトを預かっている場合は以下の点にもご注意ください。

  • ユーザーに勝手に勝手にプラグインを入れさせない。管理者権限を渡さない。
  • サーバーの管理者がWordPressのアップデート、プラグインのアップデートを行う。

最後に

レンタルサーバーを使っているとWordPressに不正アクセスを受けた場合、他のサイトにも影響が出るというリスクを知っていましたが、エックスサーバーの場合は、ひとつのサイトが不正アクセスを受けたら、同一アカウントで運営しているすべてのサイトを全て消去しなければならないというリスクがあります。 サーバーを安定的に運営するためには必要なことなのかもしれませんが、サーバーを利用してる側には重大なリスクとなります。もしかしたら他のレンタルサーバーでも同様の処置がとられるのかもしれませんね。ただ、万が一のことを考えると、エックスサーバーでは同一アカウントで複数のWordPressを運営することはとても危険です。この記事を読まれた方は早めに対処するようにしてください。