WordPressは本体よりプラグインの方が危険！運営者として必ずやっておきたい対策は？

 

WordPressをブログやWebサイトで使っている人は多いと思いますが、頻繁に脆弱性が発見されていますので、「WordPressを最新版にしましょう！」という風潮は最近は浸透してきていると思います（と信じたいですｗ）

 

WordPressに脆弱性があった場合、悪意のある攻撃者からWebサイトが改ざんされてたり、情報が抜き取られたりするので、まあ趣味のブログ程度なら最悪再インストールしてしまえばいいですが、顧客のカード情報を取り扱ったり、プロブロガーのようにブログ自体をビジネスで使っている人は、絶対にアップデートを頻繁にしましょう。

 

で、ここで更に注意すべきポイントがあるのですが、実はWordPress本体より、テーマやプラグインの方が見つかっている脆弱性が多いんです。

 

なので、WordPressだけをアップデートして安心してはいけないということですね。

 

実際に2015年1月から3月の、IPAの「ソフトウェア等の脆弱性関連情報に関する届出状況」を見ると、WordPressのテーマとプラグインの脆弱性に関して危険であると明記されています。

 

ソフトウェア等の脆弱性関連情報に関する届出状況[2015年第1四半期（1月?3月）]：IPA 独立行政法人 情報処理推進機構

ページの真ん中あたりにある表を見ると、テーマ・プラグインの報告が3か月で6件も届出があることがわかります。

 

 

また、2014年からWordPress本体とテーマ・プラグイン等の拡張機能の脆弱性の数を比べると、拡張機能のほうが全然多いことがわかります。

 

オレンジの部分が拡張機能、青いのがWordPress本体の脆弱性です。

 

 

ですので、プラグインやテーマを利用している人は、以下の点に注意しましょう。

 

• WordPress公式のプラグイン・テーマや、しっかりとアップデートされている拡張機能を利用する
• 使用していないプラグイン等は定期的に削除する
• 脆弱性情報をチェックし、頻繁に最新版にアップデートする

 

最悪なのは脆弱性が発見されても、それが修正されない場合です。その場合はそのプラグインやテーマを削除して、別のものを利用するようにしましょう。

 

WordPressが広く利用されることで、攻撃対象として人気な状況はしばらくは変わらなさそうなので、しっかりとアップデートする癖をつけておいてくださいね。