WordPressとは、ブログやコーポレートサイト等様々なタイプのWebサイトを作成できるCMS(Contents Management System)です。W3Techsの調査によると、WordPressは日本語を使用するサイトで約80%のシェアを誇り、多くの方が使用しているものと考えられます。
WordPressについて調べると、脆弱性に関するニュースや記事が目につき、セキュリティ面で不安を感じている方もいるのではないでしょうか?
本記事では、WordPressの脆弱性を整理しながら、安全性について解説していきます。
WordPress(ワードプレス)には脆弱性が多い?
まず、WordPressの脆弱性の情報の多さについて調査を行います。脆弱性の情報を管理するJVN iPediaというサイトで検索をかけた場合のヒット数を比較します。2020年から2022年の3年間の間に公表された脆弱性を対象とします。
WordPressと、WordPress同様オープンソースコミュニティによって開発されるCMS(Joomla、Drupal)、企業によって開発されるCMS(Movable Type、EC-CUBE)を比較した結果が以下の通りです。
この表から、他のCMSに比べてWordPressの脆弱性の情報が多いことがわかります。
どれだけ脆弱性の検査が行われ、発見されたかによっても脆弱性の届け出の数は変わるため、一概にJVN iPedia上の検索のヒット数が多いから危険とは言えません。しかし、それを考慮してもWordPressの脆弱性の情報が多く、WordPressが危険なのではと感じた方も少なくないのではないでしょうか?
実は、WordPressの脆弱性の情報が多い理由はWordPressの脆弱性の発生箇所にあります。WordPressの脆弱性の情報が多い理由を次に解説していきます。
WordPressの脆弱性の発生箇所
発生箇所によって、 WordPressの脆弱性は主に2つに分けられます。
【WordPressの脆弱性の発生箇所】
- WordPress本体
- WordPressのテーマやプラグイン
WordPressはテーマによるカスタマイズや、プラグインによる機能の拡張が簡単に行えます。これらのテーマやプラグインはサードパーティー(WordPressの開発元とは異なる第3者)によっても多く開発されており、その安全性はテーマやプラグインの開発元に依存します。
また、JVN iPediaで2020年から2022年の3年間に公表されたWordPressの脆弱性について発生箇所を調査すると、以下の通りとなりました。
WordPressの脆弱性のうち、約98%がテーマやプラグインの脆弱性となり、殆どがWordPressのテーマやプラグインの脆弱性であることがわかりました。これより、テーマやプラグインの脆弱性が、WordPressの脆弱性の多さの要因のひとつであることがわかります。
また、WordPressのテーマやプラグインの脆弱性はそのテーマやプラグインを導入していない場合には影響はありません。テーマやプラグインを適切に管理することで、脆弱性の影響を受ける可能性を大きく下げられます。そこで、WordPressを安全に使用するためにはどうしたら良いか、次に解説していきます。
WordPressを安全に使おうを安全に使おう
WordPressの脆弱性の情報を踏まえて、WordPressを安全に使用するために以下のような点に配慮して運用しましょう。
【WordPressのセキュリティ対策】
- WordPress本体・テーマやプラグインを最新に保つ
- 長期間アップデートされていないテーマやプラグインに注意する
- 使用しないテーマやプラグインは削除する
- 一般的なWebアプリケーションと同様のセキュリティ対策を実施する
このような WordPressのセキュリティ対策があります。では順に詳しく解説していきましょう。
WordPress本体・テーマやプラグインを最新に保つ
WordPress本体及びテーマやプラグインの脆弱性の多くは最新バージョンにアップデートすることで対策可能です。WordPress本体及びテーマやプラグインは定期的にアップデートし、最新バージョンを保つようにしましょう。
長期間アップデートされていないテーマやプラグインに注意する
長期間アップデートされていないテーマやプラグインは修正されていない脆弱性が存在する可能性があります。便利な機能であったとしても、極力使用しないようにしましょう。WordPressのプラグイン詳細ページには最終更新日や検証済み最新バージョンが記載されています。これらを参考にして、アップデートが行われているかどうかを確認しましょう。
もし長期間アップデートが行われていないテーマやプラグインを使用する場合には、テーマやプラグインに脆弱性が存在するかの調査等、対策を行うようにしましょう。
使用しないテーマやプラグインは削除する
使用していないテーマやプラグインであってもインストールされている限りは脆弱性が発見された場合に攻撃を受ける可能性があります。定期的にテーマやプラグインの棚卸を実施し、必要なものだけがインストールされている状態にしましょう。
一般的なWebアプリケーションと同様のセキュリティ対策を実施する
JVN iPediaで公表されたWordPressの脆弱性のほとんどは、クロスサイトスクリプティングやSQLインジェクションといった、一般的なWebアプリケーションと同様の脆弱性です。一般的なWebアプリケーションと同様に、定期的な脆弱性診断や、WAFの導入等のセキュリティ対策が有効であると考えられます。
WordPressは機能の拡張やカスタマイズが簡単に行える優れたシステムである一方で、セキュリティに対する理解が不足している状態で使用すると攻撃を受ける危険性があります。
WordPressに限らず、多くのソフトウェアはよくわからないまま使うべきではないでしょう。運用対象の特性を理解した上で、現状を把握し適切な管理をすることが大切です。
まとめ
「WordPressには脆弱性が多い?WordPressって危険なの?安全なの?」と題してご説明してまいりました。WordPressは脆弱性の情報が多いために危険な印象を持つ方もいるかと思います。
しかし、WordPressの脆弱性は発生箇所によって以下の2つに分けられ、脆弱性のほとんどはインストールしていなければ影響のない、テーマやプラグインの脆弱性です。
【WordPressの脆弱性の発生箇所】
- WordPress本体
- WordPressのテーマやプラグイン
そのため、テーマやプラグインを適切に管理することで脆弱性の影響を受ける可能性を下げられます。
そこで、WordPressを安全に使用するために、以下のようなことを行いましょう。
【WordPressのセキュリティ対策】
- WordPress本体・テーマやプラグインを最新に保つ
- 長期間アップデートされていないテーマやプラグインに注意する
- 使用しないテーマやプラグインは削除する
- 一般的なWebアプリケーションと同様のセキュリティ対策を実施する
WordPressに限らず、多くのソフトウェアは適切に管理を行わなければ危険が伴います。特性を理解した上で、現状を把握し適切に管理を行うことが大切です。
当サイトではWebサイト、モバイル端末、IoT機器が抱える脆弱性によるリスクへの対策を検討している方や 、サイバー攻撃の脅威から守るWAFに興味がある方へ、ダウンロード資料をご用意しております。ぜひ資料をダウンロードいただき、ご活用ください。
