2023.07.13

セキュリティ

WordPressは本当に危険?セキュリティリスクの真実とその回避策「基本のき」

  • WEBマーケティング
  • WordPress
  • セキュリティ
  • CMS
  • WEBサイト

私も実は過去に商用ECパッケージメーカー、商用CMSパッケージメーカーに所属していました。

ECパッケージメーカーでは自社CMSも扱っていたので、商用CMSは2社関わっています。
よく商用のメーカー様は「オープンソースは危険です!今すぐ弊社のパッケージに変えましょう!」とセールスを行います(過去の私もそうです...)。

ところが「なぜオープンソースが危険なのか?」「どれぐらいの確率で危険か」を事実ベースで説明できるセールスの方が少ないのも事実。

今回はオープンソースCMSの代表格、WordPress に焦点を当て、何が危険なのか、どうすればセキュリティを強化できるのか?

解説をしていきたいと思います。

目次

WordPressについて

まずWordPressは民間企業が開発を行っているわけではなく、非営利団体の「WordPress Foundation」が中心になって開発運営をしています。
オープンソースCMSの代表格ですが、オープンソースとはWordPressを構成する「ソースコード」が公開されており、それによって世界中のエンジニアが「より使いやすいCMS」を目指して改修・開発に関わることができるので、驚異的なスピードで新バージョンが誕生したり、プラグインと呼ばれる便利なオプション機能も増えていきます。

デザインもWordPress上で使えるテンプレートが数多く、無償のものから有償のものまで展開されています。

WordPress自体は誰でも無償で使えるという最大のメリットがある一方で、誰でも開発に関われるという側面から、悪意を持った開発者が関わってしまう危険性があります。

WordPressで作られているWEBサイトは全世界で1億以上

ただ「危険だ!」と言われても実際「なぜ危険なのか?」「そのリスクはどの程度のものか?」情報がないと結果、セールスの方の情報を鵜呑みにせざるを得なくなりますよね。

まずWEBサイトの数ですが、「いいものタウン」様のWEBサイトを参照させていただきますが、2022年現在おおよそ19億サイトもあると言われています。
もちろんこれは企業サイトだけでなく、公共的なもの、個人サイトなど各種様々なものを含んでいます。

ただ次に「Capital P」様のWEBサイトによると、そのうち有効と見られる数は約25%とのこと。
すなわち約5億弱(ここでは5億ベースで話を進めて参ります。)のWEBサイトが今現在、運用されているということになります。

次にその中でWordPressで作られているWEBサイトの数ですが、同じく先ほどのWEBサイト内の情報では、30%がWordPressで構築されている(2017年データ)そうなので、約1億5,000万サイトがWordPressで作られているという推測値です。

WordPressサイトで改ざんされる確率は1%

So-net様の情報を参考にさせていただくと、少し前の2017年。
全世界中でWordPressサイトの改ざん報告数は約150万件。もちろんこの中には1サイトで複数回攻撃を受けたというものもあるでしょうが、シンプルにこの数を、1億5000万サイトで割ると確率は1%。
実際はアクティブに運用されていない、全19億サイトが母数になるはずなので、それで計算すると0.08%まで下がってきます。

これを高いと見るか、低いと見るかの判断はさておき、「WordPressはとても危険なので弊社の商用CMSにしましょう!」というセールストークには少し違和感も感じます。
そもそもCMSそのものシェアですが海外のW3Techs様が出しているUsage statistics of content management systemsによると下記の図のように、WordPressは断トツのシェアナンバー1なのです。

本当にただ悪意を持った開発者がウジャウジャいて、悪さを仕込まれているCMSであればここまで世界中、多くのWEBサイトで活用されているでしょうか?

WordPressサイトの改ざんは簡単な対策で回避ができる

WordPressで作られたWEBサイト。
CMSの管理画面のURLは初期状態では、URL(https://〇〇〇.co.jpのようなもの)の次に/wp-admin/または/wp-login.phpと決まっています。
これは制作のプロや、詳しい方であれば誰でも知っている情報です。

そのため下記のログイン画面にまでは簡単にたどり着くことが可能です。
実はほとんどの改ざんが、難易度の高いハッキング以前に、比較的簡易にCMSに不正アクセスされて攻撃されているのです。
家で例えれば、鍵をかけてはいるけれど、その鍵を隠している場所が単純すぎて意味がない…そのような状況とイメージしていただくと分かりやすいと思います。

ですがご安心ください。これには回避策がきちんと存在しています。

なぜWordPressを使っていることが分かるのか

そもそも、なぜWordPressを使っていることが分かるんだろう?と疑問に感じる方もいらっしゃるかもしれません。
これは不正な方法でもなんでもなく、ソースコードが読める方であればWordPressの場合、すぐに分かります。ただそれは商用CMSでも同様で、パッケージを使っている場合、コードに「クセ」があるので分かる人は簡単に分かってしまいます。
私は冒頭で紹介させて頂いた通り、ECパッケージメーカーに所属したこともあるので、ECサイトもあるポイントを見ればどのシステムを使っているのか、全てではありませんが分かります。

他にもGoogle Chromeの拡張機能「Wappalyzer」等を使い、簡単に調べることが可能です。

管理画面のURLを変更しましょう

今ご説明した通り、WordPressかどうかはすぐに分かります。ですので分かっている人は簡単に先のログイン画面に不正でもなんでもなく容易にアクセス可能です。

だから、先のログイン画面に簡単にたどり着けないようなURLに変えましょうということです。
これはインターネットで調べて頂きながら、自社で対応することも不可能ではありませんが、難易度は低くはなく、作業方法を誤るとWEBサイト自体が閲覧できなくなったりするリスクもあるので、弊社ネクストソリューションズのような専門業者にご相談いただくことが安全です。

またこれは今まさに、WordPressで制作を進めているのであれば、制作会社の担当者にお願いした方が良いです。
(通常、制作途中であれば、URLを変えるだけで追加料金で多額の費用を請求されることはまずないです。)

管理画面に二段階認証を用意しましょう

ログイン画面でID、Passwordを入力する前に、そもそもそのページにアクセスするための別のID、Passwordを求める方法です。
以前であれば「htaccess」というプログラムを使うなど、やや難易度も高い作業が必要でしたが、今ではプラグインで比較的簡単に設置することも可能なので、できればこれも専門業者にご相談されてみてはいかがでしょうか。

さらに管理画面にIP制限をかけましょう

管理画面にIP制限をかけてしまえば、決まった拠点からでないとログイン画面にアクセスできなくなります。
ただ以前のように出社でなく、リモートワーク前提の企業様だとVPN接続などのネットワーク構築も併せて必要になってきます。
(そもそもリモートワーク前提であれば、それらの体制はできていると思いますが…。)
ここはまず自社の情シスなどのネットワーク担当者にご相談されてみてはいかがでしょうか。

そもそもPasswordを複雑にしましょう

WordPressに限った話ではなく、商用CMSを導入される際もそもそもPasswordは推測されにくいものにしましょう。
もうITツール全体(パソコン含め)の「基本のき」ですね。

WordPressだと下記のように、左メニューの「ユーザ」→「プロフィール」から変更可能。

ただし、WordPressのメインメニューは「お客様がなんでも自由に触れるとWEBサイトが壊れることがある」ため、敢えてこの画面も出していない可能性があります。
そういった場合は、まず制作を担当された制作会社様にご相談してください。

Passwordもこまめに変更するとより安全性が高まります。

他にもセキュリティレベルを向上させる方法があります

特に公共性の高いWEBサイトや、顧客情報が蓄積されていて攻撃されたときの被害が大きくなるECサイトなどであれば、CMSなどアプリケーションの攻撃を防ぐWAFと呼ばれるツールを導入したり、あるいはそれでも攻撃を受けてしまった場合、「攻撃されてしまいました」といち早く報告を受けられる「WEBサイト改ざん検知」など様々なサービスがありますので、ここはあまり神経質になりすぎず、皆様のWEBサイトで扱っている情報や万が一のことが起きた場合のリスクなど含めて、一度ご相談いただけると幸いです。

WordPressに限らず重要なことは保守サービスを受けること

絶対に安心安全なシステムというものは世の中に存在していません。
万が一が起きた場合に必要なことは「原因追及と改善策の作成」と「元に戻す」これを同時に行うことです。

元に戻すためには、そもそもバックアップデータがないと戻しようがありません。
ですので保守は保険と同じ。なにもなければ「無駄」になってしまうかもしれませんが、保守サービスは必要だと思います。

私も実際過去に、2009年頃流行した「Gumblar(ガンブラー)」というウィルスに担当していた、超ナショナルクライアント様が攻撃を受けてしまい、そのサブサイト復旧に携わったことがありますが、攻撃される前の直前のデータがないと即座に戻せないので時間がかかってしまいます。

あとWordPressは頻繁にバージョンアップしていきます。それに対応するためにも保守サービスに入っておくことは大切です。

マーケ支援など「攻め」だけでなく「守り」にも知見のあるパートナー企業を選ぶ重要性

結論はややセールスぽい表現になってしまうかもしれませんが、それでもハッキリ伝えておけることはWordPressを扱うことは簡単です。
専門学校などで軽くWEBサイトの作り方を学んだばかりの学生様でも、簡単に扱えます。

もちろん学生様が安心できないという意味ではありません。

ただしっかりとした運営、マーケティングを語るWEB制作会社様は多いですが、「攻め」だけでなく「守り」にもきちんとした知見を持った制作会社をパートナーに選ぶことは大切だと思います。

著者・編集者情報

ネクストソリューションズ (WEB編集部)

単なるWEB制作会社にとどまらず、企業のDXにつながる支援を行うネクストソリューションズWEBサイト編集部です。

DX推進のための役立ち資料

セミナーのご案内

CONTACT / OFFICE

CONTACT

TOKYO OFFICE

03-5422-3850

ACCESS

OSAKA OFFICE

06-7777-9633

ACCESS