「WordPressはオープンソースだから、セキュリティに弱い」という記事を時々目にすることがあります。ですが、本当にWordPressは脆弱なのでしょうか。実はこのステレオタイプな意見には多くの穴があり、WordPress関連の開発に携わる多くのプログラマーたちにも否定されています。
そもそもオープンソースだから脆弱というのは根拠として弱い。クローズドの方がリスクになることもあるからです。一方で、WordPressが脆弱ということもありません。場合によってはクローズドな方がリスクが高いこともあるのです。その訳を今から説明していきましょう。
1. WordPressは世界中のハッカーが脆弱性の発見に貢献している
WordPressには善意でセキュリティホールを見つけ、指摘するハッカーが世界中にいます(悪意を持って攻撃する者を「クラッカー」と呼び、ハッカーとは区別します)。WordPressが世界で圧倒的シェアを誇るCMSであり、なおかつオープンソースだからこそ、ということでもあります。
オープンソースの基本理念や文化には、多くの人が協力してより良いものを作っていくところにあります。なので、多くのハッカーが「ここはもっと改良できる!」という部分を積極的に見つけてくれる環境がWordPressにはあるのです。セキュリティ面のでアップデートが頻繁に行われている現状を見ても、WordPressは十分に安心して使えるCMSなのです。
2. セキュリティへの投資が後回しになりにくい
「WordPress=セキュリティ弱い」という構図を喧伝しているのはクローズドなCMSを運営している会社だったりします。なぜそんなことをするかというと、自社のCMSを売り込みたいからです。ですが、オープンソースであろうとクローズドソースであろうと、メンテンナンスがきちんとされていないソフトウェアは危ないわけです。
もう1つ言うと、クローズドなCMSはセキュリティ対策にかけられるコストとリソースが小規模になりがちです。運営元の規模にもよるかと思いますが1つの企業でできるセキュリティへの投資には限りがあるわけです。
また、開発や販売にもリソースを割くと、セキュリティへの投資が後回しになってしまう可能性もなくはありませんが、WordPressにはそういった問題がないのです。
3. クラッカーの標的の多くは非公開のシステムである
一般的に浸透している先入観の1つに「オープンソースはクラッカーの標的になりやすい」というものがあります。でも、実際は逆だったりします。クラッキングは、自身の技術を世間に見せつけるために行われることが多く、その場合ソースが公開されているものを対象としても大して目立ちません。秘密にされていたコードを解き明かし、穴を見つけて攻撃するからこそ、クラッキングが成功したときに自身の力を誇示できるわけです。
なので、オープンソースが狙われないというわけではありませんが、非公開のシステムの方がクラッカーの標的になりやすいと言えます。
4. オープンソースであるがゆえに多種多様な施策が存在する
WordPressのダッシュボード内の脆弱性が時折指摘されることがあります。これは管理画面にログインしていることが前提のセキュリティホールです。ですが、よく考えてみればわかる通り、管理画面に入られてしまえば「何でもできる」わけです。ということは、管理画面への不正ログインを防ぐことがまず何よりも重要なのです。管理画面への不正ログインはログインIDとパスワードの強化が大切です。
ただ、WordPressはオープンソースであるがゆえの多種多様な施策が存在するのです。下記はその一例ですが、ログインを強化する場合にはカスタマイズをすることなく、簡単にプラグインで強化できるのもWordPressの強みです。
これらのことから、「クローズドなCMSが安心というわけではないし、ワードプレスが脆弱というわけでもない」という結論です。
