WordPressの脆弱性対策・バージョンアップとどう付き合うべきか
System
そこにあるもの
WordPressをホームページやブログのベースに使われている方はとても多いと思います。その一方で、継続的なバージョンアップをしたり、きちんと定期的なメンテナンスをしていたりする人は大多数ではないように感じます。
つい先日、深刻な脆弱性が発見され、早急な最新版へのアップデートが推奨されていますが、「最後にバージョンアップしたのいつだっけ」という人や、そもそも納品された時点から何も変わっていないので全くわからない、という人も多いと思います。
脆弱性対策は対岸の火ではありません。身近に、そしてすぐすこにあるものです。今回は、こうしたWordpressの脆弱性対策や、バージョンアップとどう付き合っていくべきかについていくつかのポイントで整理してみましょう。
Point.1 最新版に常に追従する
脆弱性対策の根本は、常に最新版にアップデートすることです。これができないのであれば、Wordpressの利用をそもそもやめたほうがいいぐらい重要なことです。
ITに詳しくない方は、納品されたものをほったらかしますが、システムやソフトウェアは生ものです。きちんと手入れしなければどんどんと腐っていきます。定期的なアップデートは腐るのを防ぐ唯一かつ最も効果的な方法なため「気が向いたら更新する」や「業者任せ」ではなく、最新版に常に更新することを当然のことと位置づけてください。
Point.2 過剰なプラグイン依存を無くす
納品時に「勝手にWordpressをアップデートしないでください」と制作会社に言われたことがあるかもしれません。制作会社の気持ちはわからなくもありませんが、これは本来おかしな話です。
この背景にあるのは、過剰なプラグイン利用があります。便利な機能を簡単に実現するためにWordpressにはたくさんのプラグインがありますが、そのプラグインがWordpressのバージョンアップにより動かなくなる可能性があるために、制作会社はそうした発言をすることが多いように感じます。
これは本来、プラグインの選定や、そもそもプラグイン依存しない設計にすることで対応できるだけに、Wordpress本体の更新に強い構造になっているかを十分に意識する必要があります。
Point.3 WordPress以外の選択肢も検討する
便利で手軽、さらにはITに詳しくない人でもコンテンツの更新が可能ということで、とにもかくにもWordpressが採用されることが多いのは事実です。しかし、本当にWordpressが必要なのでしょうか。
社内ブログを設置して頻度高く更新したい、というのであればWordpressの真価を発揮できますが、実際は1年に数回、しかも業者による制作だ、という場合、Wordpressである必要はないかもしれません。
昨今は静的サイトジェネレーターの分野も盛り上がりを見せており、堅牢かつ高速な静的サイトも作りやすい環境が整ってきています。猫も杓子もWordpressではなく、本当にWordpressではないといけないのか、しっかりと考えてみてください。
さらされる世界
WEBサーバーのアクセスログなどを見たことのある人であれば、日々たくさんの攻撃を受けていることをご存じでしょう。GoogleAnalyticsにはあがってこない、こうした攻撃が、サイト公開後すぐ、そして継続的に押し寄せてきています。
脆弱性が見つかると、すぐにその脆弱性を突いてくる攻撃が出回るため、危機はすぐそこにあります。悠長なことは言っていられません。放置するのであれば、すぐさまホームページを閉鎖すべきといっても過言ではありません。
攻撃されない前提ではなく、攻撃される前提で、Wordpressを使うべきか、また、Wordpressを使うのであればどう使うべきかを検討する必要があります。
