世界のWEBサイトの3分の1はWordPress! いま何に気をつけるべき?
WordPress(ワードプレス)は、オープンソースのブログソフトウェアです。コンテンツ管理システム (CMS) としても利用されています。WordPress Foundation(2019年3月15日)では、ウェブ上の上位1000万サイトの3分の1以上をサポートしていることを明らかにしました。
WordPressがシェアを伸ばしているなか、留意しなければいけないのがセキュリティ対策です。Web改ざん、不正アクセス、データ漏えいなどのリスクからサイトを守らなければいけません。
「WordPressセキュリティ大全」(吉田哲也著)秀和システム
-
セキュリティ対策は大丈夫ですか?
セキュリティ対策が必須である理由
CMSを利用しないサイトは44%あるものの、2番目に利用されているCMSのJoomlaのシェアは2.8%。WordPressの34.1%はズバ抜けています。シェアが大きいということは、クラッカーにとっては、WordPressの改ざん方法を知っていれば、より多くの攻撃対象ができるということです。マイナーなCMSを攻撃するより、効率がいいといえるからです。
また、WordPressはオープンソースのプログラムです。オープンソースとはプログラムのソースコードが無償で公開されていること。そのため、誰でもプログラムの中身を見ることができます。多くのサイト運営者はオープンソースのリスクを理解すべきだと、著者でwebコンサルタント・上級ウェブ解析士の吉田哲也さんは、指摘します。
「WordPressの脆弱性は1つだけではありません。1つの対策を行えば完璧というセキュリティ対策はありません。また、脆弱性もコアファイルに起因するもの、プラグインに起因するもの、テーマに起因するものなどの複数にまたがることや攻撃方法の変化もあり、1度対策をおこなったら終わりというものではありません。最新の情報をチェックしながら、脆弱性のあるプラグイン、プログラムを修正していくことが必要になります」
WordPressのセキュリティ対策は、プラグインを利用するのが簡単です。しかし、プラグインを利用すると、初期の状態よりも複雑な処理が行なわれるため、サイトの表示速度が遅くなる問題点があります。安全性を重視するのか、作業効率を重視するかで判断が必要です。
まずはセキュリティの意識を高めましょう
ブログを始める際に、独自ドメイン+WordPressをすすめる人が増えました。実際に、筆者のまわりでもWordPressをベースにサイト構築をしている人が多数います。ところが、脆弱性を理解してセキュリティ対策をしている人は少ないと思います。
結果的に、不具合を恐れて古いバージョンのままでWordPressを利用している人も、大勢います(筆者のまわりでは、ブログの7割、サイトの3割程度がWordPressです)。
サイト運営者にも関わらず、驚くほどセキュリティ意識の低い人もいます。通知が来ているのに更新していなかったり、バックアップを取っていなかったりするような人もいます。
サイトを運営するうえで、サイトの改ざん、個人情報の流出、迷惑メール送信などは避けて通れないリスクと考えなければいけません。
まずはセキュリティの意識を高めること大切です。さらに、比較的長いスパンでじっくりと継続する姿勢を持ちましょう。(尾藤克之)
