WordPressの脆弱性対策・バージョンアップとどう付き合うべきか

そこにあるもの

WordPressをホームページやブログのベースに使われている方はとても多いと思います。その一方で、継続的なバージョンアップをしたり、きちんと定期的なメンテナンスをしていたりする人は大多数ではないように感じます。中には何年も前からログインすらしていないというものもあるかもしれません。それはもう、危険という他ありません。

つい先日、深刻な脆弱性が発見され、早急な最新版へのアップデートが推奨されていますが、「最後にバージョンアップしたのいつだっけ」という人や、そもそも納品された時点から何も変わっていないので全くわからない、という人も多いと思います。中には制作会社に丸投げしているから安心、という方もいますが、制作会社とそういったメンテナンス契約を行なっていない限り、やってくれている、と考えるのは危険です。

脆弱性対策は対岸の火事ではありません。身近に、そしてすぐすこにあるものです。今回は、こうしたWordpressの脆弱性対策や、バージョンアップとどう付き合っていくべきかについていくつかのポイントで整理してみましょう。

Point.1 最新版に常に追従する

脆弱性対策の根本は、常に最新版にアップデートすることです。これができないのであれば、Wordpressの利用をそもそもやめたほうがいいぐらい重要なことです。

ITに詳しくない方は、納品されたものをほったらかしますが、システムやソフトウェアは生ものです。きちんと手入れしなければどんどんと腐っていきます。定期的なアップデートは腐るのを防ぐ唯一かつ最も効果的な方法なため「気が向いたら更新する」や「業者任せ」ではなく、最新版に常に更新することを当然のことと位置づけてください。

「保守費用を業者に払っているからきっと大丈夫」というのも危険です。契約の際にそういったサービスが明示されていない限り、業者がメンテナンスをきちんとしている保証はありません。明示されていたとしても、手が回っていなかったり、更新をさぼっていたりすることもあるので、自分たちでチェックをすることをおすすめします。

最近ではWordpress本体に自動更新の機能も搭載されていますので、これをオンにしてしまうのも一つです。更新によって何か動作不具合が起こり得るのであれば引き続き手動での更新とチェックが良いと思いますが、シンプルな構成なのであれば自動更新設定を検討するのも良いでしょう。

Point.2 過剰なプラグイン依存を無くす

納品時に「勝手にWordpressをアップデートしないでください」と制作会社に言われたことがあるかもしれません。制作会社の気持ちはわからなくもありませんが、これは本来おかしな話です。

この背景にあるのは、過剰なプラグイン利用があります。便利な機能を簡単に実現するためにWordpressにはたくさんのプラグインがありますが、そのプラグインがWordpressのバージョンアップにより動かなくなる可能性があるために、制作会社はそうした発言をすることが多いように感じます。プラグインもWordpressの更新にあわせてバージョンアップしていけばいいのですが、プラグインは誰かが作っている無償のものであることが多いのも事実です。長期的にメンテナンスされる保証はないため、長く運用しているWordpressでは、いくつかのプラグインがバージョンアップされずにそのまま、というのも珍しくありません。

これは本来、プラグインの選定や、そもそもプラグイン依存しない設計にすることで対応できるだけに、Wordpress本体の更新に強い構造になっているかを十分に意識する必要があります。最初からWordpress本体の更新に追随していける構築の仕方を行っていれば起こらない問題です。発注前であればこうしたバージョンアップへの考え方を確認すべきでしょうし、すでに納品されてしまっている場合にはその業者か自分たち、もしくは他の業者とバージョンアップを継続的に行える態勢への移行作業が必要でしょう。

Point.3 WordPress以外の選択肢も検討する

便利で手軽、さらにはITに詳しくない人でもコンテンツの更新が可能ということで、とにもかくにもWordpressが採用されることが多いのは事実です。しかし、本当にWordpressが必要なのでしょうか。

社内ブログを設置して頻度高く更新したい、というのであればWordpressの真価を発揮できますが、実際は1年に数回、しかも業者による制作だ、という場合、Wordpressである必要はないかもしれません。

昨今は静的サイトジェネレーターの分野も盛り上がりを見せており、堅牢かつ高速な静的サイトも作りやすい環境が整ってきています。猫も杓子もWordpressではなく、本当にWordpressではないといけないのか、しっかりと考えてみてください。もし必須でないのであれば、脱Wordpressをするだけで様々なセキュリティリスクを無くすことも可能になります。Wordpressがだめというわけではなく、自社にとって必要な要件に対して最適なものを選択するという原則にそって判断することが重要です。場合によってはNoteなどのサービスを利用するのも良いかもしれません。自前のWordpressである必要があるかはその目的によるため、経営目線で再検討をしてみることもお勧めします。

さらされる世界

WEBサーバーのアクセスログなどを見たことのある人であれば、日々たくさんの攻撃を受けていることをご存じでしょう。GoogleAnalyticsにはあがってこない、こうした攻撃が、サイト公開後すぐ、そして継続的に押し寄せてきています。

脆弱性が見つかると、すぐにその脆弱性を突いてくる攻撃が出回るため、危機はすぐそこにあります。悠長なことは言っていられません。放置するのであれば、すぐさまホームページを閉鎖すべきといっても過言ではありません。

攻撃されない前提ではなく、攻撃される前提で、Wordpressを使うべきか、また、Wordpressを使うのであればどう使うべきかを検討する必要があります。