高まり続ける脆弱性リスク

Wordpressは非常に優れたコンテンツ管理システムです。その圧倒的シェアからもその人気度が伺えます。プラグインのエコシステムにより、ITに詳しくなくても高度な機能が簡単に実現できてしまうことから、今後もその人気は衰えることはないでしょう。

一方で、人気度が高まることはそれだけ悪意を持った人たちの注目を集めることを意味します。Wordpressは今や最高のターゲットの一つであり、その脆弱性には世界中が注目している状況です。もちろん、Wordpress本体やプラグインのアップデートを行っていればそのリスクを軽減することができますが、その対応が間に合わなかったり、未知の脆弱性を完璧に把握し対応するのは困難です。また、Wordpress本体はそのメンテナンス頻度もメンテナーの数も非常に多いですが、プラグインはそうとも限りません。ずっとメンテナンスされていないプラグインも多く、プラグインの脆弱性対応の状況は見通しが悪いのも事実です。

さらにサプライチェーン攻撃のリスクもあります。もし、使用しているプラグインが悪意ある人の手に落ちたとしたらどうでしょうか。Wordpressが稼働している環境によっては、悪意をもったコードが実行され、大きな被害を生む可能性があります。年々増え続けるこのリスクに対応するためにも、会社サイトのHUGO化を決意しました。

静的化によるセキュリティ強度向上と速度改善

WordpressとHUGOに代表される静的サイトジェネレーターの一番の違いは、動的か静的かの違いです。動的というのは訪問者のリクエストに対してページ内容をその都度生成する仕組みを意味します。Wordpressは基本的には動的な処理をしており、キャッシュを活用することでその処理回数を減らし反応速度を高めることができますが、完全に静的になるわけではありません。一方、静的というのはサイト全体の実体あるファイルを出力してしまい、訪問者はそれを見る、という仕組みです。アクセスの度に生成するものはなく、ページ表示速度が非常に高速化します。

静的化によるメリットはこれだけではありません。Wordpressのように管理画面が誰でもアクセスできるインターネット上に公開されるわけではないため、そもそもクラッキングのリスクがほぼなくなります。デメリットとしては動的ではないため、検索機能のようなものは単純には実装できなくなります。このあたりは何を重視し、何をあきらめるかの取捨選択を行う必要がでてくる部分です。会社サイトではあまり検索する機会がないと判断し、そうしたデメリットよりメリットの方が大きいと判断しました。

臨機応変にHUGO作法へ対応

HUGOには独自のテンプレートの考え方があり、その作法に沿う必要があります。Wordpressからエクスポートした内容をHUGOで管理できる形式に変換し、移行作業を進めていきました。元のWordpressでは、カテゴリのslugは英数、名称を日本語で管理していたため、そのままではURLが大きく変わり、また、日本語名称の変更の度にURLが変わってしまう可能性がありました。英数のslugを基に日本語を返却する機能を独自で追加し、その問題に対処しています。

また、ページコンテンツごとにテンプレートを変更できるため、ページの種類にあわせて細かくデザインをコントロールしています。数百のページ数でも、静的なファイルを生成するビルド処理が一瞬で終わるのは、HUGOの強さを感じる瞬間と言えます。

Gitビルドフローで管理コスト低減

HUGOになったことで。手元の環境でビルトインのローカルサーバーを立ち上げ、変更内容を確認しながらデザインの修正やコンテンツの作成が行えるようになりました。画像を多用する場合はWordpressの方が楽に管理できると思いますが、軽度なコンテンツ管理においてはその気軽さに軍配があがるように感じます。Cloudflare Pagesに展開することで、内容のPushから最新バージョンの公開までがシームレスに流れる体制を実現しています。

パフォーマンス面でも有意な効果

静的ページの配信になるため、PageSpeed Insightsのスコアも軒並み上昇。昨今必要とされるページ表示速度についても、SEOという意味でも非常に高い効果を期待できます。もちろんHUGOにしただけでは不十分な項目もありますので、画像の最適化やページ表示領域への取り組みなど、あわせて取り組むことでハイスコアを実現しています。

こういったお悩みをお持ちであればご相談ください

会社サイトやブログ、LPをHUGO化したい

今の会社サイトやブログ、LP(ランディングページ)をWordpressで構築されているとしたら、そこには常にリスクが存在します。担当者のITリテラシーにあまり依存せずに運用できるメリットは大きいものがありますが、定期的なアップデートがほったらかしになっていたり、作った当時のままの状態で、動かないプラグインも放置されていたりするとしたら、危険信号が点灯しています。そもそも特定の人しか変更をしたり追加をしたりしないのであればWordpressである必要があるかは検討する価値があります。

静的サイトジェネレーター(SSG)には色々な種類があり、それぞれに人気を分けている状況ですが、HUGOはそのビルド速度と導入管理のしやすさからおすすめのツールの筆頭格です。ページ表示速度も改善することが多いため、表示速度を重視する昨今のSEOトレンドとも非常に相性が良いのも特徴です。

会社サイト全体、または、ランディングページを効率的に管理するためにその部分だけ、という導入の仕方を検討してもいいでしょう。Cloudflare PagesやVercel、Renderなど、静的サイトジェネレーターと相性のよいホスティングサービスも増えてきているため、エッジサーバーでの配信が手軽に利用できるのも大きなメリットの一つです。静的であることと、エッジサーバーでの配信とが組み合わさって、ユーザー体験は高まることが多いでしょう。

Wordpressのセキュリティを高めたい

運用面を考えるとWordpressは切り離せない、という場合は、Wordpress自体のセキュリティを高めるアプローチも有効です。基本的にはアップデートを適切に行う、ですが、使用しているプラグインに問題がないか、また、カスタマイズを加えているのであれば、そのコードに問題はないかなど、チェックすべき項目はいくつもあります。また、使用しているプラグインでも、Wordpress自体の機能強化により不要になっているケースも散見されます。余計なプラグインを削除することで動作が軽くなる効果も期待できますし、プラグイン経由の脆弱性のリスクも低くなります。定期的に不要なプラグインがないかの棚卸しを行うのもおすすめです。

他にもログイン機能のセキュリティを高めたり、管理者権限を適切に管理したりするなどして、Wordpress管理画面のセキュリティ強度を高めることも可能です。Wordpressに最初からついている基本機能だけでもかなりのことができますし、厳選したプラグインを組み合わせることで、かなりセキュアな運用を目指すことができます。プラグインは便利ですが、だからといって大量にインストールしていくとどんどんと見えないリスクが増えていきます。適切な管理ができる範囲で、定期的な掃除をするのも良いでしょう。

他にも、最近の情報漏えい問題はスタッフの情報リテラシーに起因することが多いため、Wordpress運用上でどういったことが危険なのか、どういったことに気をつけるべきか、といったスタッフ教育も意味があるでしょう。Wordpressを取り巻く要素を一つずつ検証し、必要な対策を行っていくことが重要です。

保有サイトやIT環境のセキュリティを見直したい

インターネット上での集客に重きを置いている会社であれば、会社サイトに加えて個別のサービスサイト、採用サイトやランディングページと、様々なIT資産を保有していることも多いと思います。このように管理しているものが増えれば増えるほど、セキュリティ上の穴が増えてしまう可能性があります。インターネットに公開されているサーバーであれば、こうした穴は常に狙われています。もしかすると、すでに何かの攻撃が行われているかもしれません。

昔の担当者が作ったままほったらかしのメールフォーム、いつアップデートしたかわからない古いWordpress、データベースの中身を見るためのPhpMyAdminなど、隠れたリスクは色々なところに潜んでいます。こうしたリスクを把握、対応する人材が社内にいればいいのですが、そもそも全体像を把握している人すらいない、という状況も珍しくありません。昨今の攻撃の手口は巧妙化しているため、攻撃がないのではなく、攻撃に気づけていないというケースがほとんどです。重厚長大なセキュリティ対策ではなくても、できる範囲で最低限の安全対策を行うだけでも効果は期待できます。

セキュリティ対策は「いつかやる」ことではなくて「今すぐやる」ことです。大きな事故につながってからでは遅いので、まずは状況把握とIT資産の棚卸しをはじめてみてください。不要なものは削除したり、アップデートが必要であれば動作を破壊しないように配慮しながらアップデート作業を行っていくことが必要でしょう。


当社では、WordpressのHUGO化やWordpressのセキュリティ向上、社内のセキュリティ向上をお手伝いすることが可能です。お気軽にお問い合わせください。

» デザイン・WEBサイト制作について

» IT/システム顧問について