マルウェアからサイトを保護する

マルウェア (悪意のあるソフトウェア) はコンピューター、サーバー、クライアント、ネットワークに害を加えるよう意図的に設計されたソフトウェアを指します。このガイドでは、マルウェアを回避するためにサイト所有者が実行できる操作について説明します。

マルウェア (malicious software を短くしたもの) はコンピューター、サーバー、クライアント、ネットワークに害を加えるよう意図的に設計されたソフトウェアを指します。マルウェアには、コンピューターウイルス、ワーム、トロイの木馬、ランサムウェア、スパイウェア、アドウェアなどさまざまな形式のものがあります。

マルウェアは一般的に、個人情報、財務情報、ビジネス情報を盗む目的で悪意のある人によって使用されます。マルウェアは個人 ID 番号や詳細、銀行やクレジットカード番号、パスワードなどの情報を取得するために個人に対して使用される可能性があります。

多くの場合、マルウェアは次のような場所から入り込みます。

• オペレーティングシステム、アプリケーション、プラグインのセキュリティ上の欠陥や脆弱性。
• 通常は支払う必要のあるプラグインやテーマの無料コピー。
• 過度な特権のあるユーザー: 実行しなければならないタスクには編集者や投稿者などの権限レベルが低い方が適している場合に、完全な管理者権限グループが付与されているサイトのユーザー。
• 過度な特権のあるコード: 意図した機能に必要以上の特権またはアクセス権が付与されているソフトウェア。

無料プラン、パーソナルプラン、プレミアムプランの WordPress.com サイトは、マルウェアから守られています。最先端のファイアウォールやその他のセキュリティ対策により、サイトを安全に保ちます。

上位プランのサイトでは、脆弱性を引き起こす可能性のあるカスタムコード (プラグイン、サードパーティのテーマなど) を実行できるため、マルウェアのリスクが高くなります。Jetpack のセキュリティ機能 (バックアップ、セキュリティスキャンなど) を使用してこの問題から保護しますが、サイトがマルウェアやその他のセキュリティ問題から完全に保護されるとは限りません。

マルウェアからサイトを保護するためには、次のアドバイスを検討してください。

• プラグイン、テーマ、その他のコードは、WordPress.com のプラグインおよびテーマのリポジトリや WordPress.orgなどの安全で信頼できるソース、または知名度の高い開発者のサイトから直接インストールしてください。
• プラグインを選ぶためのヒントについて、こちらをご覧ください。
• プラグインやテーマの提供元が不明な場合は、サイトにインストールしないでください。
• プラグインまたはテーマに低評価のレビューがある (またはレビューがない) 場合は、サイトにインストールする前に注意してください。
• プレミアムまたは有料のプラグインやテーマの「無料」バージョンを提供するサイトを見つけた場合は、それらをダウンロードまたはインストールしないでください。こうしたサイトは、マルウェアが含まれるように変更されたプラグインやテーマのバージョンをインストールするように、騙す手口としてよく使用されます。
• 常に最も安全なバージョンを使用できるように、プラグインとテーマを定期的に更新してください (対応している場合は自動更新を有効にする)。

他の WordPress ホストでは、通常、サイト所有者がサードパーティのプラグインを使用してマルウェアとセキュリティスキャンを設定する責任を負います。WordPress.com では、当社がお客様に代わってこの設定を行います (次のセクションで説明)。そのため、すでにサイトを保護している組み込みプロセスが妨害されるために、WordPress.com には一部のセキュリティプラグインをインストールできません。

本ガイドのこのセクションは、WordPress.com ビジネスプランおよびコマースプランと従来の Pro プランをご利用のサイトを対象としています。ビジネスプランをご利用の場合は、必ず有効化してください。無料プラン、パーソナルプラン、プレミアムプランのサイトでこの機能を利用するには、プランをアップグレードしてください。

サイトは1日に1回、自動的にバックアップされます。このプロセスに加え、すべての WordPress.com サイトで有効化されているセキュリティツールである Jetpack スキャンによってサイトが毎日自動的にスキャンされ、マルウェアやその他のセキュリティの脆弱性がチェックされます。

WordPress には、これらのスキャンを積極的に監視し、解決を支援する専任チームがあります。悪意のあるコードの削除、危険なプラグインまたはテーマの削除、侵害されたプラグインの安全なバージョンへの置き換え (可能な場合) などで問題を解決します。また、ソフトウェアが更新されていない場合でも既知の脆弱性を使用できないように、一般的なサードパーティ製のプラグインやテーマに関する重大なセキュリティの問題を軽減するよう努めています。

サイトで以前にアクティブだったすべての脅威の記録を示すスキャン履歴を表示するには、次の手順を実行します。

1. サイトのダッシュボードにアクセスします。
2. 「Jetpack」→「スキャン」の順に移動します。
3. セキュリティの脅威をスクロールすると、脅威の詳細が表示されます。

サイトでマルウェアが検出された場合は、影響を受けたファイルやディレクトリを速やかに削除します。これにより、サイトの外観や機能が変更される場合があります。変更される場合は、メールで通知します。マルウェアの脅威がサイトのサードパーティのプラグインまたはテーマに起因している場合、プラグインまたはテーマの開発者に問題を報告することをお勧めします。悪意のあるコードを含まない更新バージョンが提供される場合があります。

意図的にマルウェアをホストすることは利用規約に違反することにご注意ください。