system
大貫 晃一

2019.7.1システム開発 

システムエンジニア

大貫 晃一

WordPressの安全性について

こんにちは、システムエンジニアの大貫です。

弊社にて、サイト構築する際は、メジャーなCMSの「WordPress」か、「Movable Type」を提案して使用することが多いです。

WordPress」は、オープンソースのソフトで、シェア率も高く、CMSを使用している全世界のウェブサイトの中で60%を締めているというデータもあるようです。

WordPress以外にも、多くのCMSが存在しますが、「WordPress」が、世界で最もシェア率が高く有名なCMSということになります。
またオープンソースということで、基本的には「無料で使用」できるというのも、シェア率が高い理由の一つだと思います。

その他にも、導入も手軽で、プラグインも多数あり、機能追加バージョンアップも簡単に実施できる、とても素晴らしいCMSです。
ただし、世界で最もシェア率が高いということは、WordPress脆弱を見つければ、世界のCMSの60%を攻撃する事ができるとも言いかえられるので
世の中のハッカーの「攻撃対象にもなりやすい」という面も持ち合わせています。

逆に、攻撃を受けやすいので、セキュリティパッチも、都度更新され、バージョンアップされる毎に堅牢になっているのではないかと思います。

WordPress」は、有名で、無料で、手軽に使えるからといって、気軽に利用するのではなく、以下の点に気を付けて運用していく必要があります。
個人で使用するならともかく、ビジネスで使用する、プロの制作会社が作成するのであれば、以下の点を意識して運用する必要があります。

<「WordPress」を使用する上で、意識すること>
WordPressは、CMSの中で、世界一のシェアである。
・シェアが高いソフトは、攻撃対象になりやすい
・Webサイトは、一般公開されており、攻撃しやすい
・脆弱を突かれて改ざんされても気づけないことが多い。
セキュリティパッチの適用、バージョンアップを都度行うようにする。
・プラグインも多数あるが、安全性メンテナンス継続性は担保されていない。

つまり、安全に「WordPress」のサイトを運用するためには、以下の対策が必要になります。

<安全に「WordPress」のサイトを運用するためには>
セキュリティパッチの適用、バージョンアップを定期的に実施する。
・導入するプラグインは、最低限とし、導入前に、メンテナンス継続性をチェックする。
プラグインについても、バージョンアップを定期的に実施する。
セキュリティプラグインを導入する。
・可能であれば、WAFや、脆弱性診断サービス改ざんチェックなどのサービスを併用する。

WindowsやMacを使用しているときと同様ですが、常にバージョンアップを行うということが重要ということです。

ただし、プログラムになりますので、バージョンアップすることにより、プラグインがバージョンアップに対応してないことや、関数の廃止などで
動作不具合が発生し、公開されているサイトに不備が出たり、サイトが閲覧できなくなったり、してしまいます。

その為、バージョンアップする場合は、テスト環境を準備し、以下のような手順で実施する必要がございます。

<バージョンアップの手順>
・[テスト環境]WordPressのバージョンアップ
・[テスト環境]バージョンアップ後の動作検証
・[テスト環境]バージョンアップ後のプログラム調整
・[本番環境]WordPressのバージョンアップ
・[本番環境]バージョンアップ後の動作検証
・[本番環境]バージョンアップ後のプログラム調整

弊社の場合は、サイト制作後も、セキュリティ的な運用も考慮し、WordPressのバージョンアップ保守についてもご提案させていただいております。
その他、ご用件に応じて、サーバも含めた、セキュリティサービスのご提案もさせていただいておりますので、サイト構築の際は、ご相談いただければ幸いです。

システム開発サービスはこちら
ページTOPへ