WordPressは今や個人だけではなく、企業においてもWebサイト構築時に選択されるサービスとなりました。WordPressによって簡単にWebサイトを作成することができるようになった一方で、WordPressが抱えるセキュリティリスクについて理解のないまま利用されているケースも目立っています。この記事では、WordPressの代表的なセキュリティリスクと、セキュリティ対策をせずにWordPressを使用し続ける危険性をご紹介します。

 

WordPressとは、専門知識がなくともWebサイト上のコンテンツの作成や編集を行う「CMS（コンテンツ・マネジメント・システム）」の一種になります。WordPressは全世界で高いシェア率を誇っており、最も利用されているCMSであるといえます。WordPressの利用は、2011年頃から右肩上がりで成長を続けており、2023年現在全世界で約7,000万のサイトがWordPressで作成されています。

 

WordPressが利用される主な理由は、オープンソースのソフトウェアであり、無料で利用できることがあげられます。WordPressは、テーマやプラグインといった機能が豊富に用意されており、カスタマイズ性が高いことが特徴です。たとえば、Webサイト構築時に意識されるSEO対策のプラグインが用意されており、ITスキルが高くない企業であってもSEO対策を施すことが可能です。

◎WordPressの代表的なセキュリティリスク

WordPressのセキュリティリスクが狙われ、Webサイトが攻撃者による被害にあった代表的な事例として、2017年に発生したWordPressの「REST API」における脆弱性をご紹介します。このセキュリティリスクはWordPress4.7もしくはWordPress4.7.1が利用されているWebサイトにおいて、「REST API」の処理時に本来必要な認証情報がなくとも遠隔からリクエストを投げることができる、WordPressの脆弱性によるものです。遠隔の攻撃者はWordPressの「REST API」のリクエストを送るだけで重要な情報を取得することが可能な状態になっていました。

 

このセキュリティリスクを悪用したサイバー攻撃が当時急速に増加したことを受け、IPA（独立行政法人情報処理推進機構）からも、「セキュリティ対策済みのバージョン（WordPress4.7.2）へのアップデートを大至急実施してください」というアナウンスが発表されました。セキュリティリスクに関する重大なアナウンスが出たにもかかわらず被害は止まらず、結果的に約1週間で155万以上のWebサイトが、情報改ざんやフィッシングサイトの踏み台となる被害を受けています。この被害の大きさから「最悪級の脆弱性」とも呼ばれています。

 

ひとつのセキュリティリスクが大きな被害へとつながってしまった1番の原因と考えられているのは、WordPressを最新のバージョンに更新していなかったことがあげられます。155万以上のWebサイトが被害にあっている一方で、常に最新のバージョンのWordPressに更新していたWebサイトは、攻撃を受けなかったといわれています。被害にあったWebサイトは、「WordPressを最新バージョンに更新することを忘れていた」「バージョンを更新することでWebサイトに不具合が発生する可能性があり、更新できない」「そもそも利用しているWordPressのバージョンが把握できていない」等の理由から、古いWordPressのバージョンを使用しており、セキュリティリスクに適切に対応できていなかったのです。そのため、最新のバージョンに更新しない限り、脆弱性を狙ったサイバー攻撃が続いたとされています。

 

REST APIの事例のように、WordPressを更新せず古いバージョンで使用していることはセキュリティリスクを高め、サイバー攻撃の標的となってしまう可能性が高くなります。攻撃対象は、サイトへの不正ログインやコンテンツの書き換えといった自社のみならず、フィッシングサイトへの誘導やウィルスの感染、サイトを利用するユーザー情報の漏洩といったサイトを利用するユーザーにまで及ぶ可能性があることを強く認識しておく必要があります。1度セキュリティ被害にあったユーザーにはWebサイトやWebサイトを運営する企業への不信感が生まれ、世間的な企業イメージが悪化する可能性があります。もしWebサイトがショッピングサイトだった場合、サイトアクセスやサイトからの売り上げが落ち込むことは想像に難くありません。Webサイトのセキュリティリスクをそのままにしておくことは、セキュリティインシデントを引き起こすだけでなく、企業に社会的・金銭的に甚大な損害を与える可能性があります。

 

このようにWebサイトにセキュリティリスクを抱えている場合、企業はそのセキュリティリスクを適切に対処する責任があります。WordPressを安全に利用し続けるためには、定期的にWordPress本体やプラグイン等の更新作業を行い、セキュリティリスクを放置しないことが重要です。一方で更新作業のようなセキュリティリスクへの対処を継続して行うために、企業にとっては作業時間や作業分の人件費等のコストがかかるのも事実です。セキュリティリスク対策のための社内リソースが足りないケースもあります。セキュリティリスクへの対処に不安に感じることがあれば、CMSそのものを見直し、より管理しやすいCMSへの移行を検討してみるのもひとつの方法です。

 

当社独自のCMSである「更新プログラム＋」は直感的でわかりやすく、WordPressよりも更新作業を簡単に行えるような操作性を実現しています。管理画面はブログのようなUI（ユーザーインターフェース）となっており、シンプルさを大切にしています。実際にご高齢のお客さまにWordPressと「更新プログラム＋」のどちらが使いやすいかを検証していただいたところ、「更新プログラム＋」が選ばれたほど、世代年齢問わずわかりやすい設計になっています。それに加えてセキュリティリスクに備えた、高い信頼性を担保している点も特徴です。

 

「更新プログラム＋」は、IPS（Intrusion Detection System：不正侵入検知システム）、WAF（Web Application Firewall）、マネージドサーバーの3つを組み合わせたパッケージ製品として実装されています。IPSは、通信パケットの中身を確認し、不正な通信を検知し遮断する役割をもち、WAFは、Webサイトの脆弱性を突いた攻撃からサイトを保護する機能をもっており、どちらもセキュリティリスクを軽減することにつながります。CMSを利用するなかで「CMSのログインパスワードを忘れてしまった」「ブラウザをバージョンアップしたことによって動作が変更されてしまった」「誤って記事データを削除してしまった」といったトラブルに見舞われることがあります。

 

WordPressは、オープンソースのソフトウェアのため公式のサポートがなく、問い合わせができずに不便に感じられる、といったご意見をお伺いすることがあります。「更新プログラム＋」は専属のサポートチームを設けておりますので、CMSを利用されるなかでの悩みや疑問点についても、丁寧に対応させていただきます。Webサイトの更新作業のサポートについても承っておりますので「更新プログラム＋」導入後も安心して製品をご利用いただくことが可能です。

 

業種規模問わず多くの企業において、WordPressを使用したWebサイトが構築されていますが、WordPressにはセキュリティリスクがあり、適切に対策しないとセキュリティ被害に遭ってしまう可能性が高くなります。YTC・PLUSの「更新プログラム＋」を利用することで、運用が容易になるだけでなくセキュリティリスクへの対策を行うことができます。WordPressのセキュリティリスクに懸念を感じられたら、お気軽にお問い合わせください。