TEL
MAIL

ITコラム

WordPressのセキュリティリスクによる対策の重要性

WordPressは今や個人だけではなく、企業においてもWebサイト構築時に選択されるサービスとなりました。WordPressによって簡単にWebサイトを作成することができるようになった一方で、WordPressが抱えるセキュリティリスクについて理解のないまま利用されているケースも目立っています。この記事では、WordPressの代表的なセキュリティリスクと、セキュリティ対策をせずにWordPressを使用し続ける危険性をご紹介します。
 

◎WordPressが多く利用されている理由

WordPressとは、専門知識がなくともWebサイト上のコンテンツの作成や編集を行う「CMS(コンテンツ・マネジメント・システム)」の一種になります。WordPressは全世界で高いシェア率を誇っており、最も利用されているCMSであるといえます。WordPressの利用は、2011年頃から右肩上がりで成長を続けており、2023年現在全世界で約7,000万のサイトがWordPressで作成されています。
 
WordPressが利用される主な理由は、オープンソースのソフトウェアであり、無料で利用できることがあげられます。WordPressは、テーマやプラグインといった機能が豊富に用意されており、カスタマイズ性が高いことが特徴です。たとえば、Webサイト構築時に意識されるSEO対策のプラグインが用意されており、ITスキルが高くない企業であってもSEO対策を施すことが可能です。
 
WordPressは全世界でシェアNo.1のサービスであるため、活用事例やノウハウが豊富で比較的時間をかけずにWebサイトを構築できる点になります。このような理由からWordPressの利用は増加していますが、利用増加に伴い、WordPressのセキュリティリスクを狙ったセキュリティ被害の件数も増えているのが問題としてあげられています。安全にWordPressを活用していくためには、WordPressの抱えるセキュリティリスクを理解することがこれまで以上に必要になっています。
 
WordPressが多く利用されている理由

◎WordPressの代表的なセキュリティリスク

WordPressの代表的なセキュリティリスクとして、以下があげられます。まずひとつ目のセキュリティリスクは、WordPressで構築されたWebサイトへの不正アクセスです。これは、WordPressの認証情報(ログインIDやパスワード)が不正に取得されたり、何らかの理由によって外部に漏洩することで、第三者によってWordPressの管理画面にログインされてしまう状態を表します。推測しやすいパスワードを使用していたり、Webサイト構築時に利用したWordPressのプラグイン等を更新せずそのまま使用していることが、主な原因と考えられます。
 
2つ目のセキュリティリスクは、WordPressへの不正アクセスから発展した情報漏洩や情報改ざんになります。WordPressへの不正アクセスにより、攻撃者は管理者としてWordPressに侵入し、コンテンツ内の個人情報や機密情報を閲覧したり外部に漏洩させることが可能になります。また、情報の閲覧のみならず、WordPressの管理者権限を利用してコンテンツの情報を改ざんされる恐れもあります。コンテンツが改ざんされてしまうと、Webサイトが正しく表示されなくなったり、スパムサイトの拠点として利用され得るため、大変危険といえるでしょう。
 
3つ目のセキュリティリスクは、WordPressで構築されたWebサイトがマルウェアに感染するリスクです。WordPressで構築されたサイトがマルウェアに感染することで、サイトにアクセスしたユーザーが悪質なサイトに勝手に誘導されてしまったり、管理者権限を持つアカウントが複数作成されてしまうトラブルに発展する恐れがあります。マルウェアの感染は、WordPressそのものに使用されているテーマやプラグインを更新せずに、古いバージョンを何年も使用し続けていたり、WordPressを動かしているサーバ側のPHPのバージョンが古いというセキュリティリスクが原因となります。これらのセキュリティリスクは、WordPressの普及に伴って、数年前よりも一般的に認知されるようになってきています。しかし実際には、これらのセキュリティリスクを認識していながらも十分なセキュリティ対策を実施せず、セキュリティリスクを怠っている企業は多いのが現状です。
 
WordPressの代表的なセキュリティリスク

◎セキュリティ対策をしないまま運用を続けるリスク

WordPressのセキュリティリスクが狙われ、Webサイトが攻撃者による被害にあった代表的な事例として、2017年に発生したWordPressの「REST API」における脆弱性をご紹介します。このセキュリティリスクはWordPress4.7もしくはWordPress4.7.1が利用されているWebサイトにおいて、「REST API」の処理時に本来必要な認証情報がなくとも遠隔からリクエストを投げることができる、WordPressの脆弱性によるものです。遠隔の攻撃者はWordPressの「REST API」のリクエストを送るだけで重要な情報を取得することが可能な状態になっていました。
 
このセキュリティリスクを悪用したサイバー攻撃が当時急速に増加したことを受け、IPA(独立行政法人情報処理推進機構)からも、「セキュリティ対策済みのバージョン(WordPress4.7.2)へのアップデートを大至急実施してください」というアナウンスが発表されました。セキュリティリスクに関する重大なアナウンスが出たにもかかわらず被害は止まらず、結果的に約1週間で155万以上のWebサイトが、情報改ざんやフィッシングサイトの踏み台となる被害を受けています。この被害の大きさから「最悪級の脆弱性」とも呼ばれています。
 
ひとつのセキュリティリスクが大きな被害へとつながってしまった1番の原因と考えられているのは、WordPressを最新のバージョンに更新していなかったことがあげられます。155万以上のWebサイトが被害にあっている一方で、常に最新のバージョンのWordPressに更新していたWebサイトは、攻撃を受けなかったといわれています。被害にあったWebサイトは、「WordPressを最新バージョンに更新することを忘れていた」「バージョンを更新することでWebサイトに不具合が発生する可能性があり、更新できない」「そもそも利用しているWordPressのバージョンが把握できていない」等の理由から、古いWordPressのバージョンを使用しており、セキュリティリスクに適切に対応できていなかったのです。そのため、最新のバージョンに更新しない限り、脆弱性を狙ったサイバー攻撃が続いたとされています。
 
REST APIの事例のように、WordPressを更新せず古いバージョンで使用していることはセキュリティリスクを高め、サイバー攻撃の標的となってしまう可能性が高くなります。攻撃対象は、サイトへの不正ログインやコンテンツの書き換えといった自社のみならず、フィッシングサイトへの誘導やウィルスの感染、サイトを利用するユーザー情報の漏洩といったサイトを利用するユーザーにまで及ぶ可能性があることを強く認識しておく必要があります。1度セキュリティ被害にあったユーザーにはWebサイトやWebサイトを運営する企業への不信感が生まれ、世間的な企業イメージが悪化する可能性があります。もしWebサイトがショッピングサイトだった場合、サイトアクセスやサイトからの売り上げが落ち込むことは想像に難くありません。Webサイトのセキュリティリスクをそのままにしておくことは、セキュリティインシデントを引き起こすだけでなく、企業に社会的・金銭的に甚大な損害を与える可能性があります。
 
このようにWebサイトにセキュリティリスクを抱えている場合、企業はそのセキュリティリスクを適切に対処する責任があります。WordPressを安全に利用し続けるためには、定期的にWordPress本体やプラグイン等の更新作業を行い、セキュリティリスクを放置しないことが重要です。一方で更新作業のようなセキュリティリスクへの対処を継続して行うために、企業にとっては作業時間や作業分の人件費等のコストがかかるのも事実です。セキュリティリスク対策のための社内リソースが足りないケースもあります。セキュリティリスクへの対処に不安に感じることがあれば、CMSそのものを見直し、より管理しやすいCMSへの移行を検討してみるのもひとつの方法です。
 
セキュリティ対策をしないまま運用を続けるリスク

◎セキュリティに優れた操作しやすいオリジナルCMS

当社独自のCMSである「更新プログラム+」は直感的でわかりやすく、WordPressよりも更新作業を簡単に行えるような操作性を実現しています。管理画面はブログのようなUI(ユーザーインターフェース)となっており、シンプルさを大切にしています。実際にご高齢のお客さまにWordPressと「更新プログラム+」のどちらが使いやすいかを検証していただいたところ、「更新プログラム+」が選ばれたほど、世代年齢問わずわかりやすい設計になっています。それに加えてセキュリティリスクに備えた、高い信頼性を担保している点も特徴です。
 
「更新プログラム+」は、IPS(Intrusion Detection System:不正侵入検知システム)、WAF(Web Application Firewall)、マネージドサーバーの3つを組み合わせたパッケージ製品として実装されています。IPSは、通信パケットの中身を確認し、不正な通信を検知し遮断する役割をもち、WAFは、Webサイトの脆弱性を突いた攻撃からサイトを保護する機能をもっており、どちらもセキュリティリスクを軽減することにつながります。CMSを利用するなかで「CMSのログインパスワードを忘れてしまった」「ブラウザをバージョンアップしたことによって動作が変更されてしまった」「誤って記事データを削除してしまった」といったトラブルに見舞われることがあります。
 
WordPressは、オープンソースのソフトウェアのため公式のサポートがなく、問い合わせができずに不便に感じられる、といったご意見をお伺いすることがあります。「更新プログラム+」は専属のサポートチームを設けておりますので、CMSを利用されるなかでの悩みや疑問点についても、丁寧に対応させていただきます。Webサイトの更新作業のサポートについても承っておりますので「更新プログラム+」導入後も安心して製品をご利用いただくことが可能です。
 
セキュリティに優れた操作しやすいオリジナルCMS

◎まとめ

業種規模問わず多くの企業において、WordPressを使用したWebサイトが構築されていますが、WordPressにはセキュリティリスクがあり、適切に対策しないとセキュリティ被害に遭ってしまう可能性が高くなります。YTC・PLUSの「更新プログラム+」を利用することで、運用が容易になるだけでなくセキュリティリスクへの対策を行うことができます。WordPressのセキュリティリスクに懸念を感じられたら、お気軽にお問い合わせください。
WordPressのセキュリティリスクによる対策の重要性