「WordPressはセキュリティに弱い」

と言われているのはご存知でしょうか。

個人やフリーランスの方よりも、企業。特に大企業のWeb担当者はWordPressの脆弱性を意識される傾向があります。規模が大きな企業ほど社内コンプライアンスの意識が確立されていることに加え、被害が出た時のダメージも大きいです。

ただ、実際にWordPressはセキュリティに弱いのかはまた別の問題です。

本稿ではWordPressのセキュリティは決して弱くないことを根拠を示して解説しています。「WordPressとは何か?」を解説した記事も併せてご覧ください。

WordPressがセキュリティに弱いと言われてしまう理由

WordPressがセキュリティに弱いと言われる理由は次の4つです。

  1. オープンソースで情報が開示されているから
  2. ユーザー数が多いため狙われやすい
  3. 放置されているサイトが多い
  4. セキュリティ対策していない初心者ユーザーが多いから

いずれも事実です。クラッカーたちにとって、WordPressのクラッキングは効率が良いというのが実際のところでしょう。

特に3の「放置サイト」は注意したい点です。WordPressはWebサイトの母数そのものが多く、古いWordPress/PHPバージョンや古いプラグインをそのまま使っている放置サイトも膨大な数があります。

WordPressサイトの運営には、常に最新に近いバージョンにアップデートすることが必要不可欠です。以下3つの記事でWordPress関連のアップデートを解説していますのでご覧ください。

ただ、WordPressを擁護しておきたいところもあります。しばしばセキュリティが弱いと言われてしまう理由には、WordPressの脆弱性とは関係のない理由で利用されていることも少なくないからです。

「自社開発のCMSを販売する業者」が製品を普及させるための宣伝文句として使っているから、という側面があるのです。ライバルであるWordPressをセキュリティ面から貶めることが、一つのマーケティング戦略となっているということです。

とは言え、上に挙げた4つの要因が絡んでいる事実も否めません。定期的に脆弱性や被害報告が出ることも事実としてあります(主に海外で)。ゆえに、WordPress運用は適切なセキュリティ対策が必要です。

次の項ではWordPressのセキュリティがしっかりしている理由をご説明します。

WordPressのセキュリティが安全な理由

1. WordPressは世界中のハッカーが脆弱性の発見に貢献している

WordPressには善意でセキュリティホールを見つけ、指摘するハッカーが世界中にいます(悪意を持って攻撃する者を「クラッカー」と呼び、ハッカーとは区別します)。WordPressが世界で圧倒的シェアを誇るCMSであり、なおかつオープンソースだからこそ、ということでもあります。

オープンソースの基本理念や文化には、多くの人が協力してより良いものを作っていくところにあります。なので、多くのハッカーが「ここはもっと改良できる!」という部分を積極的に見つけてくれる環境がWordPressにはあるのです。セキュリティ面のでアップデートが頻繁に行われている現状を見ても、WordPressは十分に安心して使えるCMSなのです。

2. セキュリティへの投資が後回しになりにくい

「WordPress=セキュリティ弱い」という構図を喧伝しているのはクローズドなCMSを運営している会社だったりします。なぜそんなことをするかというと、自社のCMSを売り込みたいからです。ですが、オープンソースであろうとクローズドソースであろうと、メンテンナンスがきちんとされていないソフトウェアは危ないわけです。

もう1つ言うと、クローズドなCMSはセキュリティ対策にかけられるコストとリソースが小規模になりがちです。運営元の規模にもよるかと思いますが1つの企業でできるセキュリティへの投資には限りがあるわけです。

また、開発や販売にもリソースを割くと、セキュリティへの投資が後回しになってしまう可能性もなくはありませんが、WordPressにはそういった問題がないのです。

3. クラッカーの標的の多くは非公開のシステムである

一般的に浸透している先入観の1つに「オープンソースはクラッカーの標的になりやすい」というものがあります。でも、実際は逆だったりします。クラッキングは、自身の技術を世間に見せつけるために行われることが多く、その場合ソースが公開されているものを対象としても大して目立ちません。秘密にされていたコードを解き明かし、穴を見つけて攻撃するからこそ、クラッキングが成功したときに自身の力を誇示できるわけです。

なので、オープンソースが狙われないというわけではありませんが、非公開のシステムの方がクラッカーの標的になりやすいと言えます。

4. オープンソースであるがゆえの豊富な対策が用意されている

WordPressのダッシュボード内の脆弱性が時折指摘されることがあります。これは管理画面にログインしていることが前提のセキュリティホールです。ですが、よく考えてみればわかる通り、管理画面に入られてしまえば「何でもできる」わけです。ということは、管理画面への不正ログインを防ぐことがまず何よりも重要なのです。管理画面への不正ログインはログインIDとパスワードの強化が大切です。

まとめ

WordPressは世界中でユーザーとファンを抱える巨大なコミュニティによって成り立っています。そのため、脆弱性が見つかってもすぐに修正されるため、十分に安心して使えるCMSであると言えます。

ただ、何事も100%安心というのはありませんので、自身での対策も怠ってはいけません。下記にセキュリティ対策の手段を掲載しておきますので、ぜひご参考ください。

もし今後WordPressのセキュリティの脆弱性が大きく問題になる可能性があるとしたら、WordPressが廃れた時です。WordPressが廃れれば、コミュニティも小さくなり、システムを更新する人手も少なくなってしまいます。そうなって始めてWordPressのセキュリティが問題になるかもしれませんが、今の所その兆候は一切見えません。