エックスサーバーで複数のWordPressを運営する場合のリスク
エックスサーバーは高速で安定性が高く、個人から法人サイトまでオールマイティに使え、ユーザーからの支持も高い人気のレンタルサーバーです。マルチドメイン、メール無制限、データベース50個~となっているので複数のWordPressサイトの運営に最適で、多くの方が利用されています。
私自身もメインのサーバーとして利用し、全幅の信頼を寄せているエックスサーバーですが、最近エックスサーバーを利用する上で、1つの重大なリスクがあることが分かりました。1つのアカウントで複数のWordPressを運営する場合に限りますが、不正アクセスを受けた場合に大変な事態になってしまいます。場合によっては、今後のエックスサーバーの利用方法を見直さざるおえないことになるので、順を追って詳しく解説していきます。
目次
エックスサーバーで不正アクセスを受けたらどうなるの?
2020年の9月以降、WordPressのプラグイン「File Manager」の脆弱性を狙われ、多くのWordPressが不正アクセスを受け、改ざんハッキングの被害に遭いました。その際エックスサーバーの対応で非常に困った事態が起きました。とあるWordPressのサイトが不正アクセスされエックスサーバーからメールが届きました。その時点でサイトが403エラーで見られない状態になっており、メールも使うことはできません。エックスサーバーから送られてきたメールを見ると、不正アクセスされたサイトは1つではなく、アカウント内の全てのサイトに及んでいました。アカウント内のすてのサイトを消去し、ドメインを初期化してくださいと記載されています。
いくつかのサイトがありましたが、1つのサイトのバックアップデータが無く、エックスサーバーの自動バックアップデータを利用しようとしたところ、自動バックアップデータが使えないと言われてしまいました。結局そのサイトを完全に復元できなくなってしまいました…。
エックスサーバーで多くのサイトを運営している場合、削減するのも復元するのも結構時間がかかります。バックアップデータが無いと復元できないことがあります。その間はサイトとメールが使えません。自分のサイトなら仕方がないですが、他の人のサイトを預かっていたりすると、大変なことになります。
ここで一度話を整理をしておきます。エックスサーバーの1つのアカウントで、複数のWordPressを運営していて不正アクセスを受けた場合、以下のような事態が起こる可能性があります。
- 1つのサイトが不正アクセスを受け、アカウントの停止を受けると、そのアカウントの全サイトとメールが停止される場合がある。
- サイトを復元するためには、同一アカウントで運営しているサイトのWebデータとメールデータを全て消去しなければならない。
- エックスサーバーの自動バックアップデータが使えないことがある。
- 他の人のサイトを預かっている場合は多くの人に迷惑がかかり、信用問題に関わってくる。
※データベースのデータベースは初期化削除はないようです。
不正アクセスを受けた場合の被害を最小限にするにはどうしたらいいの?
WordPressの不正アクセスを完全に防ぐことは出来ないので、不正アクセスを受けた場合の被害を最小限にする為にはどうすればいいんでしょうか?
考えられることとして以下の4つの対策が考えられます。
1アカウントで運営するのは数サイトにする
1アカウントで1サイトとするのが理想的ですが、それではコスパが良いエックスサーバーの魅力が半減してしまいます。1アカウントで運営するのは数サイトにしましょう。
エックスサーバーでは極力WordPressを使わない
2020年12月現在、WordPressはサイト全体の35.4%、CMSのシェアでは62.1%となっており、 CMSの中ではダントツでシェアが高く、最もハッカーに狙われやすいです。既存のサイトはそのままでも仕方ありませんが、サイトのリニューアル時や新しいサイトを作る場合は、WordPress以外のCMSを検討してください。
他の人のサイトを預かっている場合はVPSのサーバーを利用した方が良い
他の人のサイトを預かっている場合は、他のサイトに被害が及ぶのを防ぐためにVPSのサーバーを利用することをおすすめします。VPSであれば、サイトごとに独立しているので、他のサイトに被害が及ぶことはありません。
WordPress.comなどセキュリティの高いサーバーを利用
セキュリティを万全にしておくには、多少お金がかかっても専門のサービスを利用した方が良さそうです。
それでもエックスサーバーで複数のWordPressを運営する場合
既存のサイトをすぐに移転させるのが難しく、しばらく今の状態で複数のWordPressを運営せざるおえない。もしくは諸事情により移転が難しい場合は、以下の点を厳守してください。
- WordPressの定期的なバックアップを行う
- 定期的なWordPressのアップデート、プラグインのアップデートを行う
- 使っていないWordPressやプラグインを消去する
- プラグインはあまりインストールしない。使えばそれだけリスクが高くなります。
- 更新されていないプラグインのチェック
- WAF(Webアプリケーションファイアウォール)を利用する
- WordPressやサーバーに詳しい人がいない場合は、保守を専門の会社に依頼する
なお、他の人のサイトを預かっている場合は以下の点にもご注意ください。
- ユーザーに勝手に勝手にプラグインを入れさせない。管理者権限を渡さない。
- サーバーの管理者がWordPressのアップデート、プラグインのアップデートを行う。
最後に
レンタルサーバーを使っているとWordPressに不正アクセスを受けた場合、他のサイトにも影響が出るというリスクを知っていましたが、エックスサーバーの場合は、ひとつのサイトが不正アクセスを受けたら、同一アカウントで運営しているすべてのサイトを全て消去しなければならないというリスクがあります。 サーバーを安定的に運営するためには必要なことなのかもしれませんが、サーバーを利用してる側には重大なリスクとなります。もしかしたら他のレンタルサーバーでも同様の処置がとられるのかもしれませんね。ただ、万が一のことを考えると、エックスサーバーでは同一アカウンで複数のWordPressを運営することはとても危険です。この記事を読まれた方は早めに対処するようにしてください。