WordPressのセキュリティ対策をしないことの危険性とは

WordPressのセキュリティリスクとは

WordPressで構築されたWebサイトに関する主なセキュリティリスクとは、どのようなものでしょうか。できるだけ簡単にまとめてみましたので（それでも少し難しいかもしれませんが）、どのようなリスクがあるか理解しておきましょう。
攻撃手法の名称や方法まで覚える必要はありませんが、場合によっては企業の信用失墜にとどまらず、ユーザーや顧客にまで被害が及ぶ可能性があることを覚えておいてほしいと思います。

1.1. 総当たり攻撃

総当たり攻撃（ブルートフォース攻撃）とは、その名前の通りあらゆるユーザー名とパスワードの組み合わせを試みる攻撃手法です。

自動化されたツールを使用し、1分間に何十回といった速度で認証を試みます。ユーザー名とパスワードが特定されると、管理画面にログインされ、データの変更や改竄、破壊を行われてしまう可能性があります。最も単純な攻撃のひとつではありますが、非常に強力です。

1.2. SQLインジェクション

SQLインジェクションとは、ウェブアプリケーションの脆弱性を利用し、Webサイトのデータベースに不正なSQLクエリを挿入する攻撃手法です。

データベースの情報を閲覧、変更・改竄、削除される可能性があります。個人情報の漏洩などが発生すると、企業の信用失墜ばかりでなく、被害者への補償、法的責任を負う可能性もあります。

1.3. クロスサイトスクリプティング（XSS）

クロスサイトスクリプティングは、攻撃者がWebサイトの脆弱性を利用して悪意のあるスクリプトやHTMLを挿入する攻撃手法です。

このスクリプトは、管理者に限らずサイトを閲覧したユーザーのブラウザで実行され、ユーザーの個人情報を窃取したりされる場合があります。また、リンクを埋め込まれることで、別のサイトに誘導されることもあります。

1.4. WordPress本体・プラグインの脆弱性

WordPress本体やプラグインにもセキュリティの脆弱性が含まれることはよくあります。WordPressの場合、通常はセキュリティアップデートにより修正されますが、古いバージョンのまま使用していると、脆弱性が悪用されるリスクが高まります。アップデートを放置するということは、攻撃者にとっての格好の標的になることを意味します。

WordPress本体のバージョンが古いと危険

WordPressはソースコードが公開されているオープンソースであるため、古いバージョンを使用していると、既知のセキュリティの脆弱性が狙われるリスクが高まります。

WordPressはセキュリティの脆弱性を修正したアップデートが頻繁に行われていますので、最新バージョンを維持し続けることが重要です。しかしながら、アップデートを怠っている管理者が多いのが実情のようです。WordPress.orgの統計情報で、その現実を確認することができます。

• 51.6％が最新より古いバージョン
• 21.7％が6.0未満の古いバージョン

2022年5月にバージョン6.0がリリースされていますので、かなりの期間アップデートをしていないWebサイトがたくさん存在することがわかります。

念のためですが、古いバージョンのサイトがたくさんあるから自分のWebサイトも大丈夫、とは絶対に考えないでください。過去のバージョンは、常にセキュリティリスクに晒されています。

プラグインは狙われやすい

プラグインは機能を拡張するのに大変便利ですが、その拡張性がセキュリティの脆弱性を孕む場合があります。また、企業やオープンソース、個人などさまざまな開発者がプラグインを提供しており、セキュリティに対する意識やスキルもさまざまです。セキュリティアップデートが提供されず、既知の脆弱性が放置されてしまうと、格好の攻撃対象になってしまいます。

それに加え、通常は複数のプラグインを組み込むため、プラグイン同士が互いに影響しあうことで悪影響を与えてしまうこともあります。

プラグインの狙われやすさは、データでも明らかになっています。以下のデータは、WordPress本体・プラグイン・テーマそれぞれの脆弱性を表していますが、既知の脆弱性の内、94％がプラグインであることがわかります。

プラグインを利用すると比較的簡単に機能追加できるため、気がつけば多量にインストールしていた、ということに陥りやすい傾向にあります。プラグインを使う場合は、信頼できるものに限定し、必要性とセキュリティ上のリスクを天秤にかけて本当に必要なもの以外はインストールしないように心がけることが望ましいといえます。

無料テーマはリスクが高い可能性も

無料テーマは、有料テーマのおよそ28倍の脆弱性が確認されています（下図）。
テーマはプラグインよりもさらに容易に作ることが可能なため、多様な開発者によって作成されています。ソースコードなどの品質の問題など、信頼性の低い開発者が作成したテーマにはセキュリティの脆弱性が存在する場合があります。また、脆弱性が確認された際もセキュリティアップデートが提供されずに放置されるような管理されていないテーマは、リスクに晒され続けることを意味します。

一部のテーマは、不適切な権限を要求したり、場合によっては広告やスパム、悪意のある不正なコードが埋め込まれていることもあるようですので注意が必要です。このようなテーマをインストールしてしまうと、これまでに述べてきたような外からの攻撃ではなく、内部に入り込んでしまうことになるため大変厄介です。

少しでも安く上げたいからと、安易に無料テーマを使用することはおすすめできません。信頼でき、管理されているテーマを選ぶ必要があります。

まとめ

WordPressの危険性をご覧になって恐くなったかもしれません。シェアが高いゆえに、標的にもなりやすいといえます。ただ、シェアが高いと狙われやすいというのは、何もWordPressに限った話ではありません。

WordPressの利便性やプラグインの便利な機能は、企業のWebサイトを運営していく上でもとても有用です。正しい知識をもって正しく恐れ、適切な対策でセキュリティを強化したり、定期的なバックアップやアップデートなどの対策を講じることで、セキュリティを強化することが可能です。
企業サイトとして決してセキュリティを簡単に考えることなく、セキュリティ対策（場合によっては改善も）を継続的に行いましょう。

なお、WordPressは最新版で運用することが原則ではありますが、サーバー側の設定変更が必要な場合もあります。できれば、ステージング環境（公開サイトの複製）を用意し、アップデートをして問題がないことを確認した上で公開サイトでアップデートを実行することが望ましいです。

このあたりの技術面については、ある程度の専門知識が必要ですので、プロに依頼するのが安全だと思います。
シンカーデザインでは、WordPressのセキュリティ対策や保守にも積極的に取り組んでいます。サイト制作をお考えの方は、お問い合わせフォームよりぜひご相談ください。