「WordPressはセキュリティに弱い」

と言われているのはご存知でしょうか。

個人やフリーランスの方よりも、企業。特に大企業のWeb担当者はWordPressの脆弱性を意識される傾向があります。規模が大きな企業ほど社内コンプライアンスの意識が確立されていることに加え、被害が出た時のダメージも大きいです。

ただ、実際にWordPressはセキュリティに弱いのかはまた別の問題です。

本稿ではWordPressのセキュリティは決して弱くないことを根拠を示して解説しています。「WordPressとは何か?」を解説した記事も併せてご覧ください。

【保存版】WordPress(ワードプレス)とは?メリット・デメリット、導入方法まとめ
2016.09.13
【保存版】WordPress(ワードプレス)とは?メリット・デメリット、導入方法まとめ
2021/03/11*情報を更新いたしました。2022/01/07*情報を更新いたしました。2022/08/11*情報を更新いたしました。 WordPress(ワードプレス)をご存じですか? WordPre...

WordPressがセキュリティに弱いと言われてしまう理由

WordPressがセキュリティに弱いと言われる理由は次の4つです。

  1. オープンソースで情報が開示されているから
  2. ユーザー数が多いため狙われやすい
  3. 放置されているサイトが多い
  4. セキュリティ対策していない初心者ユーザーが多いから

いずれも事実です。クラッカーたちにとって、WordPressのクラッキングは効率が良いというのが実際のところでしょう。

特に3の「放置サイト」は注意したい点です。WordPressはWebサイトの母数そのものが多く、古いWordPress/PHPバージョンや古いプラグインをそのまま使っている放置サイトも膨大な数があります。

WordPressサイトの運営には、常に最新に近いバージョンにアップデートすることが必要不可欠です。以下3つの記事でWordPress関連のアップデートを解説していますのでご覧ください。

WordPressのPHPバージョンを更新・確認する方法:対応表あり
2021.09.03
WordPressのPHPバージョンを更新・確認する方法:対応表あり
長期で運営しているWordPressのサイトで、以下のような問題が発生していませんか? 表示速度が遅くなった気がする 迷惑メールがたくさん届くようになった プラグインが正常に動作しないことが...
WordPressのプラグインの更新(アップデート)方法
2017.01.01
WordPressのプラグインの更新(アップデート)方法
2021/4/5 情報を更新いたしました。 プラグインの更新(アップデート)方法について解説します。 アップデートに伴う機能追加や仕様変更等が原因でテーマの機能に干渉する可能性があるため、念の為、下記を...
WordPressの更新(アップデート)方法
2017.01.01
WordPressの更新(アップデート)方法
WordPress本体の更新(アップデート)する方法について解説します。 アップデートに大幅な変更があると、テーマやプラグインに影響を与える可能性があります。アップデートの前には下記を参考に必ずバックアッ...

ただ、WordPressを擁護しておきたいところもあります。しばしばセキュリティが弱いと言われてしまう理由には、WordPressの脆弱性とは関係のない理由で利用されていることも少なくないからです。

「自社開発のCMSを販売する業者」が製品を普及させるための宣伝文句として使っているから、という側面があるのです。ライバルであるWordPressをセキュリティ面から貶めることが、一つのマーケティング戦略となっているということです。

とは言え、上に挙げた4つの要因が絡んでいる事実も否めません。定期的に脆弱性や被害報告が出ることも事実としてあります(主に海外で)。ゆえに、WordPress運用は適切なセキュリティ対策が必要です。

次の項ではWordPressのセキュリティがしっかりしている理由をご説明します。

WordPressのセキュリティが安全な理由

1. WordPressは世界中のハッカーが脆弱性の発見に貢献している

WordPressには善意でセキュリティホールを見つけ、指摘するハッカーが世界中にいます(悪意を持って攻撃する者を「クラッカー」と呼び、ハッカーとは区別します)。WordPressが世界で圧倒的シェアを誇るCMSであり、なおかつオープンソースだからこそ、ということでもあります。

オープンソースの基本理念や文化には、多くの人が協力してより良いものを作っていくところにあります。なので、多くのハッカーが「ここはもっと改良できる!」という部分を積極的に見つけてくれる環境がWordPressにはあるのです。セキュリティ面のでアップデートが頻繁に行われている現状を見ても、WordPressは十分に安心して使えるCMSなのです。

2. セキュリティへの投資が後回しになりにくい

「WordPress=セキュリティ弱い」という構図を喧伝しているのはクローズドなCMSを運営している会社だったりします。なぜそんなことをするかというと、自社のCMSを売り込みたいからです。ですが、オープンソースであろうとクローズドソースであろうと、メンテンナンスがきちんとされていないソフトウェアは危ないわけです。

もう1つ言うと、クローズドなCMSはセキュリティ対策にかけられるコストとリソースが小規模になりがちです。運営元の規模にもよるかと思いますが1つの企業でできるセキュリティへの投資には限りがあるわけです。

また、開発や販売にもリソースを割くと、セキュリティへの投資が後回しになってしまう可能性もなくはありませんが、WordPressにはそういった問題がないのです。

3. クラッカーの標的の多くは非公開のシステムである

一般的に浸透している先入観の1つに「オープンソースはクラッカーの標的になりやすい」というものがあります。でも、実際は逆だったりします。クラッキングは、自身の技術を世間に見せつけるために行われることが多く、その場合ソースが公開されているものを対象としても大して目立ちません。秘密にされていたコードを解き明かし、穴を見つけて攻撃するからこそ、クラッキングが成功したときに自身の力を誇示できるわけです。

なので、オープンソースが狙われないというわけではありませんが、非公開のシステムの方がクラッカーの標的になりやすいと言えます。

4. オープンソースであるがゆえの豊富な対策が用意されている

WordPressのダッシュボード内の脆弱性が時折指摘されることがあります。これは管理画面にログインしていることが前提のセキュリティホールです。ですが、よく考えてみればわかる通り、管理画面に入られてしまえば「何でもできる」わけです。ということは、管理画面への不正ログインを防ぐことがまず何よりも重要なのです。管理画面への不正ログインはログインIDとパスワードの強化が大切です。

まとめ

WordPressは世界中でユーザーとファンを抱える巨大なコミュニティによって成り立っています。そのため、脆弱性が見つかってもすぐに修正されるため、十分に安心して使えるCMSであると言えます。

ただ、何事も100%安心というのはありませんので、自身での対策も怠ってはいけません。下記にセキュリティ対策の手段を掲載しておきますので、ぜひご参考ください。

【初心者向け】これだけはしておきたいWordPressのセキュリティを強化する7つの方法
2015.09.27
【初心者向け】これだけはしておきたいWordPressのセキュリティを強化する7つの方法
WordPressはオープンソースかつ、無料で使えて拡張性(プラグイン・テーマ)も高いので、世界中で最も利用されているCMSの1つです。ただ、オープンソースで有るが故に、脆弱性が発見されやすくハッカーの標的にな...
簡単にWordPressのログイン画面にアクセスさせない。ログインURLを権限ごとに変更するプラグイン「Login rebuilder」
2016.11.30
簡単にWordPressのログイン画面にアクセスさせない。ログインURLを権限ごとに変更するプラグイン「Login rebuilder」
2022/05/02 内容を更新いたしました。 WordPressはオープンソースでとても拡張性が高いので、今ではお店などの集客の強い見方となってくれています。しかしその反面、セキュリティに脆弱性...
WordPress管理画面のログインにセキュリティ質問を追加するプラグイン「 WP Security Question」
2016.10.18
WordPress管理画面のログインにセキュリティ質問を追加するプラグイン「 WP Security Question」
WordPressはオープンソースであるがゆえにセキュリティ面で脆弱性が見つかりやすいです。 記事がそこそこ増えてきてネットでの露出機会が増えると、自分でも気づかぬうちにハッカーの標的の対象になる...

もし今後WordPressのセキュリティの脆弱性が大きく問題になる可能性があるとしたら、WordPressが廃れた時です。WordPressが廃れれば、コミュニティも小さくなり、システムを更新する人手も少なくなってしまいます。そうなって始めてWordPressのセキュリティが問題になるかもしれませんが、今の所その兆候は一切見えません。