WordPress セキュリティ対策｜コア、テーマ、プラグインを自動更新させるプラグイン

7,851 view

更新日：2015年08月19日投稿日 : 2014年12月24日

お使いになられているWordPressのバージョンは何でしょうか？
当記事執筆時点でのWordPressの最新バージョンは 4.1.0 です。

WordPressはオープンソースなので、脆弱性が発見されやすく、ハッカーの標的になりやすい特徴があります。便利且つ人気という面でも。

初心者の人にはピンとこないかも知れませんが、WordPressはセキュリティがとても重要なソフトウェアで、言うまでもないと思いますが、「バージョンアップ＝新機能追加」という訳でなく、”操作性向上”や”不具合の修正”も含まれているので、エラー回避やセキュリティ対策として、必ずアップデートはしておきたいものです。

WordPress本体（コアファイル）のバージョンは、約4か月ごとに更新され、3.7,3.8,3.9と小数点第一位の数字の変更をメジャーアップデートとし、3.9.1という様に小数点第二位の数字の変更をマイナーアップデートとしています。

WordPress3.7からマイナーアップデートに対して本体（コアファイル）の自動更新機能が加わりましたが、お気づきになられているでしょうか？

メジャーアップデートに関しては、手動での更新となり、テーマやプラグインも任意による手動更新です。

WordPressの更新ファイルには、下記4種類があります。

いずれもバージョンアップされると、WP管理画面に「更新（アップデート）してください」とアナウンスが表示されます。
※翻訳ファイルはコアと同じ

もし、3.x.x と数字の古いWordPressを使っていたらちょっと心配。

基本的には、本体（コアファイル）、プラグイン、テーマ全て、「更新」ボタンワンクリックでアップデートできるので、”更新のアナウンス”があったらすぐ更新すべきです。
問題が起こったら後の祭り。

例えWordPress公式のテーマ・プラグインを使っていても脆弱性が無い訳じゃない！

バージョンアップはには理由があるので、変更内容を確認しつつ、アップデートをしていきましょう。

事情があって新しいバージョンにアップデートできない方は、新しいバージョンに対応できないか、自分で調べたり、WordPressサイトの制作を依頼した制作者に聞いてみましょう。

WP管理画面に「更新（アップデート）してください」とアナウンスが表示されない場合、外注先（制作者）が保守管理費捻出の為、コアファイルの自動更新を停止させているかも知れません。または、外注先（制作者）にWordPressサイトの更新性を上げるためカスタマイズの要望をたくさんしたせいか、「WordPress本体を更新してしまうとWP自体が使えなくなる懸念があるので自動更新は停止させている」という事もあるので、相談をしてみましょう。

念頭に入れておきたい事は、
WordPressの更新（アップデート）を停めても設置しているプラグインはどんどん最新のバージョンになっていきます。
WordPress本体の更新（アップデート）を停めていると、プラグインが使えなくなる事もあるので注意が必要です。

いつまでも古いバージョンのWordPressを使いつつ、格安レンタルサーバーを使っている方は、様々な障害やトラブルが出てくるリスクが高いので要注意です。

エラーやウイルスによりデータが消えても誰のせいにもできません。

レンタルサーバー選び、更新管理、保守管理等々、自己責任です。信頼できる制作者がいれば対価を支払いサポートを受けましょう。

長くなりましたが、当記事では、”自動更新プラグインの紹介”、”テーマ・プラグインの自動更新有効化”、”WordPress本体の自動更新無効化（停止）”についてご紹介致します。WordPressのセキュリティ対策の一環にもなります。

自動更新プラグイン「Advanced Automatic Updates」

自動更新プラグイン「Advanced Automatic Updates」は、本体、テーマ、プラグインそれぞれに自動更新のオンオフの設定ができるプラグインです。

１、インストール・有効化

自動更新の為のプラグイン「Advanced Automatic Updates」は、WP管理画面の「プラグイン」から「新規追加⇒検索」で見つける事ができます。
もしくは、下記からダウンロードできます。
⇒ Advanced Automatic Updates
ダウンロード後はFTP経由でプラグインフォルダにアップしてください。

プラグインを有効化すると、メインメニューの「設定」に「アドバンスド自動更新（Advanced Automatic Updates）」という項目が追加され、各設定ができます。

２、設定方法

しっかり日本語に翻訳されており、記述されている通りに設定を進められます。

”本体（コアファイル）”も”アドバンスド自動更新”プラグインもデフォルトでは”マイナーアップデート”の設定はON（チェック付）になっています。

テーマとプラグインのアップデートは忘れがち

テーマとプラグインは、デフォルトでは自動更新されないので、更新（アップデート）を忘れている人が多々います。更新の事さえ知らない人もいるのではないでしょうか？

テーマとプラグインのアップデートは頻繁にあるので、毎回手動でアップデートするのは面倒って方は、信頼のおけるレンタルサーバー、最新のWPに基づいて作ったテーマを使っている事が前提ですが、「プラグインを自動的に更新しますか？」と「テーマを自動的に更新しますか？」には、チェックを入れておくと良いかもしれません。
更新忘れを防げます。プラグインの脆弱性を狙った攻撃は多いので軽視してはいけません。常に最新版でいたいところ。

アップデート通知先のメールアドレスは変えられる

「Advanced Automatic Updates」プラグインをインストール・有効化していなくても、マイナーアップデートの時は、管理者宛に通知メールが送信されますが、別のメールアドレスを指定する事も可能です。

”通知先メールアドレス”のフォームに、メールアドレスを入力しましょう。
また、通知メールを無効にする事もできます。

忘れてはいけません。設定が済んだらページ下部の「変更を保存」ボタンをクリックすると設定完了です。

テーマ・プラグインの自動更新有効化（プラグイン無し）

「テーマの編集」⇒「functions.php」を開き、下記ソースを挿入して下さい。

テーマの自動更新を有効化

プラグインの自動更新を有効化

WordPress本体（コアファイル）の自動更新の無効化（停止）

WordPress本体（コアファイル）の自動更新の無効化（停止）も書き添えておきます。

冒頭でご紹介した通り、WordPress本体（コアファイル）は、マイナーアップデートの際、自動更新機能が働きます。
マイナーアップデートの日、複数のWordPressサイトを運営している人には、自動更新の通知がメールで届きます。

この自動更新をプラグインを使わず無効化（停止）させたい場合は、慎重に下記２つの方法のいずれかを実装されて下さい。

「wp-config.php」で本体（コアファイル）の自動更新無効化

「wp-config.php」ファイルをFTPでダウンロードし、下記ソースを挿入してFTPで元の場所に再アップして下さい。

「functions.php」で本体（コアファイル）の自動更新無効化

「テーマの編集」⇒「functions.php」を開き、下記ソースを挿入して下さい。

以上、”自動更新プラグインの紹介”、”テーマ・プラグインの自動更新有効化”、”WordPress本体の自動更新無効化（停止）”についてでした。

古いWordPress・テーマ・プラグインを使っていて、格安レンタルサーバーを利用している人は、できるだけ最新WordPressへの対応が速いレンタルサーバーを使うと共に、常に最新バージョンのWordPressが使えるように体制を整えましょう。テーマもプラグインも最新に！

アップデートにより防御（セキュリティの強化）をしっかりしておきましょう。

WordPress セキュリティ対策｜コア、テーマ、プラグインを自動更新させるプラグイン｜Advanced Automatic Updates