ITコラム
WordPressのセキュリティリスクと乗り換えの必要性
WordPressは、個人ブログだけでなく、今や企業のホームページの制作にも使用されています。無料で比較的簡単にホームページの作成や編集ができる一方で、意外と運用が大変だと感じていたり、セキュリティリスクが高いと聞いて心配している方もいるでしょう。この記事では、WordPressのセキュリティリスクや、別のCMSへの乗り換えを検討するポイントをご紹介します。
目次
◎WordPressの利用者が多い理由
WordPressとは、ホームページの作成や編集を行うためのCMS(コンテンツ・マネジメント・システム)です。CMSには、ホームページの運営に必要な機能がパッケージ化されており、プログラミングの知識がない人でも簡単にホームページを作成・編集できることから、右肩上がりで成長を続けています。CMSのなかでもWordPressは、高いシェアと人気を誇り、世界のホームページの4割以上、日本でも8割のホームページがWordPressで制作されています。
WordPressでは、記事や画像を入力・編集するWordPress本体を自社のWebサーバーやレンタルサーバーにインストール・設定後、ホームページのデザインやレイアウトをパッケージ化したデザインテンプレートであるテーマ、WordPressの機能を拡張するプラグインと組み合わせることでホームページを制作します。テーマは8,500種類以上、プラグインは60,000種類以上から選ぶことができ、自由度が高いことが特徴です。シェアの高さから、活用事例やノウハウに関する情報量が豊富で、利用中の不明点はインターネット検索によって解決できる場合も多くあります。WordPressに関する書籍やYouTube動画も多いため、体系的に学ぶことができ、教育コストが低いことも魅力といえるでしょう。
◎WordPressにおけるセキュリティリスクの種類
WordPressは無料で利用できる反面、誰でもソースコードを閲覧できることから、セキュリティリスクを狙われやすいCMSでもあります。WordPressの利用による代表的なセキュリティリスクのひとつに、WordPressで作成したホームページへの不正ログインがあります。WordPressが狙われやすい理由は、利用者が多いためハッカーなどの攻撃者にとっては攻撃対象が多くなり、費用対効果に優れているためです。不正ログインを行う攻撃者は、ツールを使用してユーザー名を取得した後、パスワードに頻繁に使用される文字列を順番に試すなどして不正ログインを行います。人が1つひとつの文字列を予想してログインを試すのには限界がありますが、システム上でプログラムを組むことで単純なパスワードは簡単に突破できてしまうのです。不正ログインは、主にホームページの乗っ取りなどを目的に行われます。セキュリティ対策をしっかり行っていなかったり、WordPressのプラグインが構築時から更新されず古いままになっている、ログイン情報が推測しやすいなどの場合は、不正ログインの対象となりやすいため、注意が必要です。
ホームページの改ざんや情報漏洩も、WordPressの利用による大きなセキュリティリスクです。WordPressに不正ログインした攻撃者は、ホームページの記事内容や画像の書き換えを行って不適切な内容を投稿したり、ホームページを消去することが可能となります。ホームページによっては、コンテンツ内の個人情報や機密情報が蓄積されている場合もありますが、このような情報が閲覧・外部漏洩されてしまう恐れもあります。いずれもサービスの停止や、企業の信用・存続問題に関わり大変危険です。
ホームページのマルウェア感染も、WordPressのセキュリティリスクとしてあげられます。マルウェアとは、不正に動作させることを意図して作成されたソフトウェアのことです。マルウェアに感染したホームページは、悪意のあるプログラムを埋め込まれ、ホームページを訪れた訪問者を別のページに誘導してワンクリック詐欺などを行います。ホームページの訪問時に「おめでとうございます!」といった当選ページなどが表示される場合は、マルウェアに感染しフィッシングサイトなどに誘導されている可能性が高いです。マルウェアの手口は巧妙となっており、全てのホームページ訪問者を誘導させるのではなく数回に1度だけとするなど、ホームページの管理者が自ら気が付きにくいのも事実です。WordPressのテーマやプラグインを更新せずに古いものを使用していたり、サーバー側のバージョンが古い場合、マルウェアに感染しやすくなります。
◎WordPressの自社運用やセキュリティ対策には負担が伴う
WordPressは比較的簡単にホームページが作成できる一方、セキュリティ対策を含めた自社運用には多くの労力や知識を要します。WordPressは、ソフトウェアのコードが無料で一般公開されており、自由にカスタマイズしながらホームページを作成できる一方で、基本的には自己責任での利用が求められます。利用中の困りごとや、トラブルに関して問い合わせができません。WordPressは世界中に利用者が多い分、攻撃対象になりやすいCMSでもあります。問題が起きる度にインターネット上の情報を基に自己解決を行う必要があり、運用担当者がWordPressの運用以外の業務も担当している場合は、とくに負担が大きくなります。WordPressに関する知識や、インターネット上でどのような情報を集めて自己解決するのかは運用担当者のITリテラシーに依存してしまう部分も多く、トラブルが解決しても不安が残る可能性も否定できないでしょう。
脆弱性やセキュリティのバージョンアップについて、常に情報収集や対応が求められる点も運用担当者の負担になるといえます。WordPressは、CMSのなかでもセキュリティに関する脆弱性が発覚されることが多いため、セキュリティのアップデート情報が出たらすぐに対応し、WordPress本体のバージョン、テーマ、プラグインそれぞれを常に最新の状態に保っておく必要があります。テーマやプラグインは制作者がそれぞれ異なるため、アップデートの公開日も統一されておらず、対応頻度が多くなりがちです。そのため、アップデート情報を見逃すことのないよう、運用担当者が日々情報を追っておく必要があります。アップデートによって、古い機能が新しい機能に置き換わると不具合が発生する場合もありますが、その対応も運用担当者が行わなければいけません。
プラグインの知識を得る必要がある点も、WordPressの運用担当者の負担となりえるでしょう。WordPressは、プラグイン機能を拡張して利用することを前提に開発されています。インストール後のWordPress本体にはシンプルな機能しか備わっていないため、テーマやプラグインで拡張しカスタマイズを行わないと、デザイン性のないホームページとなってしまうのです。WordPressには、60,000を超えるプラグイン機能が用意されています。WordPressの公式サイトで配布しているものは、WordPressの規則に沿って作成されているものがほとんどですが、WordPress本体、テーマ、プラグインの組み合わせが悪いと不具合が発生する場合もあります。また、プラグイン機能は多すぎるとサイトの動作に影響を及ぼすこともあり、沢山追加すればよいというものではありません。
プラグインの知識を得る必要がある点も、WordPressの運用担当者の負担となりえるでしょう。WordPressは、プラグイン機能を拡張して利用することを前提に開発されています。インストール後のWordPress本体にはシンプルな機能しか備わっていないため、テーマやプラグインで拡張しカスタマイズを行わないと、デザイン性のないホームページとなってしまうのです。WordPressには、60,000を超えるプラグイン機能が用意されています。WordPressの公式サイトで配布しているものは、WordPressの規則に沿って作成されているものがほとんどですが、WordPress本体、テーマ、プラグインの組み合わせが悪いと不具合が発生する場合もあります。また、プラグイン機能は多すぎるとサイトの動作に影響を及ぼすこともあり、沢山追加すればよいというものではありません。
◎WordPressの乗り換えが必要となるケース
WordPressの乗り換えを検討する大きな理由のひとつに、セキュリティへの不安があげられます。WordPressで作成したホームページを企業が利用している場合、情報漏洩やホームページの改ざんの被害を受ければ、会社の信用問題やビジネス存続の可否に大きく関わります。WordPressのセキュリティ対策には、脆弱性への対応、WordPress本体・テーマ・プラグインそれぞれの定期的なアップデートやそのための情報収集、データのバックアップ、アカウントやサーバーの管理など、対応範囲が多岐に渡ります。作業内容が多いほか、WordPressはアップデートの際に不具合が発生することも多く、自社運用だけでは完璧な対策を行うことが難しいと感じることも多いでしょう。その場合は、セキュリティがより強化されたCMSに乗り換えたり、CMSの運用サポートを行っている専門会社に運用を依頼することで、セキュリティリスクを大幅に削減できるほか、自社の運用担当者も本来の業務に集中できるようになります。
運用担当者が管理画面を使いにくいと感じる場合も、WordPress乗り換えの検討が必要なケースです。WordPressは費用をかけずに高機能でさまざまなことができる反面、知識や情報収集のための時間が必要となり、運用担当者のITリテラシーにホームページの更新頻度やクオリティが依存しやすいのも事実です。WordPressは、セキュリティ対策として行ったはずのアップデートで管理画面が変わってしまうこともあり、運用に負担に感じると更新頻度が減ってしまう可能性もあります。ホームページの運用は、ユーザーが求める情報を継続的に発信し、期待した効果を出すことが重要です。運用担当者にとって負担にならないCMSに乗り換えることは、会社の生産性や、利益にもつながります。
ホームページの表示速度を改善したい場合も、WordPressの乗り換えを検討する代表的なケースです。ホームページを訪問しても、読み込みに時間がかかると、それだけでユーザーはページから離脱してしまいます。実際に、Googleも「モバイルサイトの読み込みに3秒以上かかるホームページでは訪問の53%が離脱する」という結果を公表しています。ホームページの表示速度は、Googleのモバイル検索順位の上位表示を決定する際の指標のひとつにもなっているのです。
◎セキュリティに強いオリジナルCMS「更新プログラム+」
当社オリジナルのCMS「更新プログラム+」は、セキュリティの強化と運用のしやすさにこだわって開発されています。ハッカーの攻撃からCMSを守るためには、CMSの定期的なアップデートだけでなく、ネットワークやサーバーへのアクセスの監視や、CMSをインストールしているサーバー自体の脆弱性の対応なども必要です。
「更新プログラム+」は、IPS(Intrusution Detection System:不正侵入検知システム)、WAF(Web Application Firewall:ウェブアプリケーションファイアウォール)、マネージドサーバーをパッケージ化して組み合わせることでセキュリティの強化を実現しています。IPSは、ネットワークやサーバーなど外部との通信を監視し、不正侵入の検知を行う役割を果たし、WAFはWebアプリケーションの脆弱性を狙った攻撃への防御として機能します。CMSのセキュリティの強化だけでなく、専属の運用サポートチームを用意しているため、バージョンアップや、セキュリティパッチ対応によるシステムトラブル時もサポートが可能です。運用担当者が自力でトラブルを解決する必要がなくなり、本来の業務に集中できます。
「更新プログラム+」の管理画面はシンプルさを大切にしており、ブログやワード感覚で簡単に記事の作成や編集ができます。運用担当者のITリテラシーに依存することなく定期的なホームページの更新ができるようになるため、運用担当者の負担軽減だけでなく、SEO対策にもつながります。
◎まとめ
WordPressは、無料で利用でき自由度も高い反面、運用やセキュリティ対策が担当者のITリテラシーに依存しやすいCMSです。専門の部署がなく、運用担当者がほかの業務と兼任して対応している場合は、運用担当者にかかる負担は大きなものとなります。「更新プログラム+」は、運用のしやすさ、セキュリティやサポートの観点から、運用担当者の負担軽減を実現します。WordPress乗り換えのご相談は、YTC・PLUSまでお気軽にご連絡ください。