WEBサイト Wordpressのリスク
wordpressとは
WordpressはWEBサイトやHTMLの仕組みが分からないユーザーでも簡単に綺麗なWEBサイトを更新することのできるCMS(Contents Management System)という仕組みの一つです。
Wordpressは世界中で人気があり、世界中のWEBサイトのうち約3割が、CMSを利用しているサイトの約6割がWordpressで構築されていると言われています。
GPLライセンスという、誰でも無料でダウンロード・利用することが可能な形をとっていることが普及した大きな理由です。
元々はブログサイトを構築するための仕組みでしたが、企業のコーポレートサイトやブランドサイト、プラグインを導入することで、ECサイトや予約サイトといった複雑な仕組みも構築することができるようになります。
wordpressは狙われやすい
多くの人が利用するシステムにはそれなりのリスクが伴います。攻撃者は、より広範囲な影響を与えるために、多くの人々が使用しているシステムを標的にするからです。Windowsの方がMacよりもウイルスに感染しやすいと言われている理由と同じですね。しかし、Wordpressを管理している組織である wordpress.org は、頻繁にアップデートを行い、発見された不具合や脆弱性をコツコツ改善しています。それでも「Wordpressにはリスクが伴う」と言われる原因は何か?を考えてみたいと思います。
管理画面が推測可能 & 脆弱なパスワード
WEBシステムへの攻撃は、入力ができる画面から始まるので、管理画面は格好の標的です。wordpressの管理画面は、ドメインに /wp-admin をつければアクセスできることはみんなが知っています。また、管理者のログインIDも、デフォルトのwp-adminをそのまま使用している場合が多いことも問題です。さらに、パスワードも password や 123456 といった誰でも推測できるようなものを使用していると、サイトは簡単に乗っ取られてしまいます。デフォルトのID・簡単なパスワードを設定している方は今すぐ複雑なものに変更しましょう。また、管理画面のURLを変更するプラグインを導入することで、管理画面への攻撃を回避することも検討しましょう。
アップデート対応できていない
wordpressを使用してサイトを構築する際、独自にカスタマイズを行うケースも多々あります。デザインを自社のブランドイメージに合わせたい、ページの更新がやりやすいように項目を追加したい、といった場合です。しかし、これがアップデートの障壁になってしまうことがあります。例えば、あまりセキュリティに関心のないWEB制作会社がwordpressでサイトを構築した場合、アップデートを適用することによって、自らがカスタマイズした機能が正常に動作しなくなる恐れがあるため、古いバージョンのまま放置するということもあり得ます。ちなみに、攻撃を受けたwordpressサイトのうち約4割が最新バージョンのwordpressを使用していなかったという統計データもあります。
テーマ・プラグインの脆弱性
さきほどWordpressを最新のバージョンに保っておくことの重要性をお話ししましたが、テーマやプラグインについてはそもそもアップデートが提供されていないこともあります。
テーマ・プラグインはサイトをより魅力的なデザインにしたり、より便利な機能を導入するために欠かせない仕組みですが、これがリスクとなるのです。テーマ・プラグインは wordpress.org ではなく、一般の企業や個人が独自に開発して提供しているものです。そのため、不具合や脆弱性への対応もその企業や組織に依存してしまいます。脆弱性を含んだプラグインは格好の標的となり、個人情報を盗まれたり、サイト自体を乗っ取られたり、スパムメールの踏み台にされたりといった攻撃を受ける原因となってしまいます。また、プラグイン自体が悪意のあるプログラムを含んでいる場合もあります。プラグインを導入する時には、信頼できる組織が開発したものか?アップデートは頻繁に行われているか?といったところを確認した上で導入を決めましょう。
まとめ
今回はwordpressのリスクについて考えてみました。
- たくさんの人々が使用するwordpressは攻撃者の標的になりやすい
- 管理画面は格好の標的
- wordpressを最新に保つことが重要
- テーマ・プラグインを導入するときは、信頼できるものか確認を
みなさんも、リスクに気を付けながら、良いwordpressライフをお楽しみください!