CMS

WordPressの脆弱性とセキュリティアップデートの必要性

WordPressは世界で圧倒的に高いシェアを誇るCMSです。WebMediaの読者にもWordPressで構築されたWebサイトを運用している方も多いのではないのでしょうか。しかしWordPressはこの世界的シェアの高さから、サイバー攻撃の標的になりやすいことは想像に難くありません。実際にWordPressで構築されたWebサイトでは、ページ改ざんなどの攻撃事例が他のCMSに比べ数多く報告されています。万が一攻撃を受けたら具体的にはどのような問題が起きてしまうのでしょうか?また、どのような対策をとれば攻撃を免れ、安全性を保つことができるのでしょうか?今回はWordPressの脆弱性と対策についてご紹介いたします。

その他のWordPressのリスクについて詳しく知りたい方は、以前のまとめ記事をご覧ください。

WordPressのセキュリティアップデート

目次

WordPressのセキュリティにおけるリスク

JVNが発表しているWordPressの脆弱性件数推移

私たちWebの専門家がチェックしているサイトに「JVN iPedia」という、ソフトウェア製品に関する脆弱性対策情報のデータベースがあります。

https://jvndb.jvn.jp/

JVN とは「Japan Vulnerability Notes」の略です。IPA(情報処理推進機構)とJPCERTコーディネーションセンターという国の機関が運営しているポータルで、国内外で公開された脆弱性対策情報がここに集約され、システム管理者が迅速に対策をとれるようにしています。このサイトで「WordPress」と検索すると、時系列でずらりと脆弱性情報の履歴が出てきます。

JVN のデータから、2010年〜2018年にかけて、WordPress関連でいくつ脆弱性が発見されたかを見てみると、2016年にいったん下がった以外には増加傾向にあり、2018年には、年間200件もの脆弱性が発見されていたことがわかります。ちなみに、同じ期間のMovableTypeの脆弱性は年に1件あるかないかで、期間合計でも32件でした。

オープンソースのCMSとしては他にもJoomla!とかDrupalといった製品もあるのですが、同じオープンソース同士で比べても、脆弱性が多いのはWordPressのほうだといえます。

その他のCMSについて気になる方は以前の記事をご覧ください。

攻撃を受けると何が起こるか

WordPressの改ざん報告に関するデータも公表されています。JPCERT/CC(コーディネーションセンター)が公表している資料「インシデント報告対応レポート」によると、日本国内では2017年に1874件、2018年には1055件の改ざん被害が報告されています。

2017年2〜3月の件数が飛び抜けて高いのですが、これは、2017年2月の初め頃、WordPress本体のREST APIの脆弱性をついたサイバー攻撃が広範囲に行われたためです。攻撃によって国内でページを改ざんされたWebサイトが数多く発見されました。改ざんの内容は、海外のハッカーグループによってWebページ上に不快なメッセージを埋め込まれるといったものでした。

改ざんについて詳しく知りたい方は以前の記事をご覧ください。

WordPressを安全に保つには

アップデートをすばやく適用する

このようなWordPressが原因のWebページの改ざん被害を防ぐために、WordPressの修正バージョンのインストールを素早く、確実に行いましょう。WordPress本体のアップデートはペースが早く、最近は年間約10回という頻度で行われているのですが、そのうちの約半分が機能追加、残りの半分がセキュリティに関わるアップデートだと考えていいでしょう。

プラグインをなるべく使わないようにする

さらに、プラグインのバージョンアップ(あるいはセキュリティパッチ)は本体とは別のタイミングでやってきて、1つ1つに注意を払わなくてはなりません。使っているプラグインの数だけアップデートする回数が増えるので、保守運用面での負担も大きくなってしまいます。なので、重要度の低いプラグインは外したり、なるべく使わないようにするのが、管理の負担が減るうえに安全です。

WordPressは気をつけながら使うものと心得る

このように、Word Pressを使い続ける場合には、脆弱性情報に目を光らせ、確実な保守が大切です。セキュリティアップデートは最低でも年5回。プラグインもアップデートされたら即座に対応するなど、常に最新バージョンで使い続けることが必須です。

まとめ

WordPressの概要についてご理解いただけたでしょうか?Webページを守るために、セキュリティアップデートとプラグインのアップデートを忘れずに行いましょう。

Webサイト制作を行う弊社ITRAでは、セキュリティを高く保ったWordPressの構築やPowerCMSなど、多くのCMSでの構築を得意としております。CMSの導入をお考えの方は、ぜひ一度ITRAへご相談ください。

この記事の著者

itra
ITRA株式会社

官公庁や大手企業を中心とした大規模なWebサイトを総合的にプロデュースするWeb制作会社。デザインからシステム、サーバーまでWebサイトに関わるお客様の悩みを解決します。

初めて使う人にも使いやすく、セキュリティレベルの高いCMSパッケージ「iCMS」

詳しくはこちら
itra