Wordpress

WordPressが脆弱と言われる理由と、実際はセキュリティに強い理由

  • LINEで送る

以前、ホームページを作ったことがあるという知人から「WordPressってセキュリティに弱いよねぇ」という話を聞きました。
WordPressを(自称)熟知しているWEB制作会社としてちょっと疑問に感じてしまいましたが、つい先日もTwitterでそのようなツイートを拝見。

個人的には、WordPressは最も利用されているCMSだからこそ、最もセキュリティに関してはしっかりしていると考えています。
今回は、WordPressが如何に安全でしっかりしたCMSなのかを解説していきたいと思います。

 

WordPressが脆弱・セキュリティに弱いと言われる理由

システムとプラグインが狙われやすい?

たしか2014年頃だったと思うのですが、WordPressのとあるプラグインが中国系アメリカ人のXinというハッカーに攻撃を受けたことがあります。
その頃はWordPressで作ったサイトはまだ10社程度しか管理していませんでしたが、全てにそのプラグインを入れていました。

夜の10時くらいに攻撃を受けたのを確認して、かなり焦りました。

 

ダッシュボードにアクセスすると「Warning」という警告を意味する文字が上部に表示され、最初はプラグインではなくサーバーがやられたと勘違い。

WordPressが攻撃に遭った際の基本的な考え方でプラグインを疑えと聞いていたので、全てのプラグインをファイルを見ると、明らかにおかしなコードを発見。
たまたま発見したそのコードを削除しただけで無事に解決し、当時誰も読まないようなブログをやっていたのですが、ブログで対処法を公開するとその記事だけで合計3,000PV 行ったのを覚えています。

 

なぜXinという名前のハッカーだと分かったかというと、顔写真付きで「私は中国系アメリカ人のXinだ!君たちに素敵なプレゼントをやろう!」というメッセージが付いていたんですね。
ちょっと狂ったハッカーで、私なんかに対処されてしまう程度の者だったため特にニュースにはなりませんでした。

 

という訳で、WordPressは世界で一番使われているCMSですが、オープンソースであるが故にシステムもプラグインも悪意を持った人間に狙われることがあります。

また、アップデートを何度も繰り返して改良されてきているので、それに合ったプラグインのバージョンでないといけません。
システムをアップデートしててもPHPやMySQL(データベース)などのバージョンもあるので、アップデートに対応し続けないとセキュリティが弱くなったり不具合が起こったりします。

しっかりメンテナンスできていないユーザーが「WordPressは脆弱だ!」と声高々に唱えるようになったということです。

 

ワードプレスの一強時代に牙を向けるオリジナルCMS

もうひとつ、WordPressが脆弱だと言われる理由があります。

それは、独自で開発したCMSの営業マンが、「わあどぷれすなんて使ってるんですかぁ?セキュリティやばいっすよぉ」という決まり文句で営業をしている実態があります。

実際に、弊社の仲の良い顧客も「営業をかけられたけどWordPressで大丈夫?」なんて尋ねられたこともありますし、弊社のライバル会社は「あそこ(ウチのこと)は、WordPressしか使えない能無しWEB制作会社」とか言っていたりするんです。
*名誉のために言っときますが、全て手書きでWEBサイトを作れます。工数が物凄くかかるのでWordPressを使ってるんです。

とまぁ、こんな具合でWordPressが一強と言われるこの時代、他にもMovable TypeやShareWithなどのCMSもありますが、独自のCMSを開発して営業をする人たちがWordPressを脆弱だと主張します。

MovableTypeしか使えないWEB制作会社がWordPressを非難するときにも脆弱性を主張するケースも良くありますね。

たしかにMovableTypeは秀逸なCMSですが、WordPressでは無償で実現できる範囲も有償であったりと、何かとお金がかかるイメージです。

 

実際はWordPressはセキュリティに強い

WordPressはオープンソースだからセキュリティに弱いと言われます。

【オープンソースとは】

ソースコードが公開されているソフトウェアのこと。利用者は誰でも修正・頒布することができてるため、開発が進みやすい一方で攻撃を受けやすいとも言われている。

たしかに、フリーソフトウェア財団であるGNU General Public Lisenseという団体がライセンスを持っており、オープンソースで自由に公開されて誰でも改変できるためセキュリティに弱いという意見も分かります。

世界160ヶ国で利用されていて、無料で使えることからユーザーを圧倒的に増やしてきたWordPressは、その分攻撃も受けやすいということですね。
有名人が非難されやすいというのと同じ感じでしょうか。

しかし、WordPressはセキュリティにとても強いと多くのWEB制作会社は考えています。

 

素人からプロまで幅広くユーザーが多いので不正対策の対処が迅速

WordPressは、私のような単なるWEBデザイナーから何十言語も習得しているようなプロ中のプロまで利用するCMSです。
もちろん、国内だけでなく海外の優秀なエンジニアも好んでWordPressを使っています。

ハッカーなどの悪意を持った輩に狙われやすいのは間違いない事実ですが、世界中の超優秀なエンジニアがそれに対処するのがとにかく早い。

システムやWordPress内で一般公開されているテーマやプラグインのアップデートが盛んに行われているのは、これらの優秀なエンジニアがすぐに対応してくれるおかげなんですね。感謝。

 

セキュリティ強化のプラグインが充実している

セキュリティに強い一番の理由がこれです。

最も有名なのが「SiteGuard WP Plugin」というセキュリティ対策のプラグイン。
有効化しているだけでかなりの仕事をしてくれます。

これまで300以上のサイトを使っていますが、SiteGuardは9割以上のサイトで採用しており、攻撃や不正アクセスをくらったことはありません。

このプラグインの他にも、「All In One WP Security & Firewall」や「Akismet」も多くのユーザーがいますね。
ふたつとも使ってみましたが、SiteGuardが一番使いやすいです。

使いやすさというよりも、導入すれば特段することはないので、手軽さという部分で評価しています。

 

もちろん、プラグインは常に最新のバージョンに保っておかなくてはなりません。

最新の状態に保つことも、WordPress5.5から自動でアップデート出来るようになりました。(5.6だったかな…)

ここの部分を有効化しているだけで、最新版がリリースされると自動でアップデートされちゃいます。

これでセキュリティプラグインも最新状態を保てるようになったので、より安全性が向上したと言えるでしょう。

 

WordPressを正しく安全に利用するために

WEBサイトを展開していると必ずセキュリティ対策をしなければなりません。
WordPressに限った事ではなく、MovableTypeも他のCMSも絶対にセキュリティ対策は必要です。

その上で、最もセキュリティ対策がしっかり出来るのが、ユーザー数の圧倒的に多いWordPressであるということを解説しました。

それでは、よりセキュリティを意識したWordPressサイトのメンテナンス方法の知見を広めましょう。

 

必ず定期的なバックアップをとる。

これは絶対に必要なことです。
定期的と言ってもどれくらいの頻度が必要か?と言えば、1~2か月に1度くらいで良いでしょう。
しかし、更新頻度(投稿頻度)の多いWEBサイトであれば、毎日のようにバックアップをとった方が良いです。
顧客から料金を頂戴してサイトの運営を代行している私たちのような業者であれば、バックアップは日常の業務にする必要があります。

 

システムやプラグインだけでなく端末も最新バージョンにする。

ほとんどがWordPressのダッシュボードに入るとき、PCを使うと思うのですが、ブラウザやOSなども最新バージョンにしておく必要があります。
もちろん、端末のセキュリティ対策ソフトも新しいものにアップデートしておいた方が良いです。

 

ユーザー名やパスワードの変更をする。

定期的にするのが望ましいですが、これは数カ月~数年に1度程度でも良いでしょう。
パスワードの変更は「ダッシュボード」→「ユーザー」→「編集」から新しいパスワードを簡単に変更可能です。
2015年か2016年あたりまでのWordPressでは、デフォルトでadminというユーザー名を設定できましたが、狙われやすくなるため現在はadminは指定できなくなっています。

ユーザー名に関してはphpMyAdmin 画面にアクセスしなければならないので少し複雑ですが、ネットにユーザー名の変更方法がたくさんあるので5分もあればできます。

アルファベットではなくできれば日本語のユーザー名を設定する方が良いでしょう。

 

htaccessを編集してwp-config.phpを強化

サーバー内の.htaccessに以下のコードを追加することによって「wp-config.php」を外部から隠すことができます。

<files wp-config.php>
order allow,deny
deny from all
</files>

追記する場所は.htaccessの一番上にしましょう。サーバーのFTPから直接入れば簡単にできます。
このコードと同じ機能がWordPressのプラグインに付属してればいいのですが、知る限りでは付いていないので、自分で書き込んだ方が良いです。

 

以上、WordPressはセキュリティに強いCMSであるということを分かってもらえたでしょうか。

もちろん、セキュリティに強いというのは、しっかりとした運営ができている前提です。
攻撃をくらってしまってからは手遅れになる場合もありますので、確実なWordPressの運営に心がけましょう。

  • LINEで送る