「WordPressはセキュリティが弱い」「ハッキングされやすい」という記事を見たことがある方は多いと思います。
これは半分正しく、半分は誤りです。
結論から言います。WordPressが危険なのではありません。管理を怠ること・プラグインを増やしすぎること・更新を放置することが危険の正体です。不正アクセスを自分のサイトとクライアントのサイトで計2回経験した上で言います。
この記事では、「WordPressは危険」という主張の正体と、正しく管理すれば安全に使える理由を解説します。
WordPressの世界シェアと「危険論」の背景
世界シェア43%のCMSが使われ続ける理由
WordPressは世界のウェブサイトの43%以上で使われています。企業サイト・個人ブログ・メディア・ECサイト、多様な用途で使われているCMSです。
これほど広く使われているものが「本当に危険」なら、世界中の企業が使い続けるはずがありません。
「WordPressは危険」という主張が出る理由は、WordPressが広く使われているからこそ、攻撃者に狙われやすいということです。シェアが高いということは、攻撃対象の母数が大きいということでもあります。
ただし、それはWordPress自体の欠陥ではなく、使用者が多いことの副作用です。
危険と言われる根拠の多くは管理の問題
「WordPressでハッキングされた」という事例の多くは、管理の問題が原因です。
古いプラグインの脆弱性を放置していた。パスワードが弱かった。更新通知を無視し続けていた。こういったケースが大半です。
不正アクセスを経験して分かった危険の正体
1回目:自分のサイトへの侵入
7年前、自分のWordPressサイトが不正アクセスを受けました。
サイトのレイアウトが崩れ、管理画面にアクセスできなくなりました。エックスサーバーのサポートからメールが届き、サーバー側がすでに不正ファイルを検知・無効化していることがわかりました。
サポートとのやりとりの中で原因を確認しました。更新が止まったプラグインに脆弱性が残っていたことが侵入経路でした。
「半年以上更新されていないプラグインは削除してください」という言葉が、今も記憶に残っています。
2回目:クライアントのサイトへの侵入
その後、クライアントのWordPressサイトでも不正アクセスの被害がありました。
同様に、更新が止まったプラグインが原因でした。1つのサイトへの侵入が、同じサーバーアカウント内の他のサイトにも影響を及ぼす可能性があることを、このときより強く意識するようになりました。
通信事業で20年間働いた経験から言えば、通信は入口を曖昧にするほど侵入リスクが上がります。1か所から入れれば、関連するすべてに流れます。
危険の正体は3つ
危険1:古いプラグインの脆弱性
プラグインはWordPressの機能拡張ツールです。便利ですが、セキュリティの観点では増えるほどリスクが上がります。
プラグインに脆弱性が発見された場合、更新版が公開されます。更新を適用すれば脆弱性は修正されます。
しかし、更新を放置し続けると、既知の脆弱性が残ったままになります。攻撃者は公開された脆弱性情報を使って、更新していないサイトを自動的に探して攻撃します。
危険2:ログインの甘さ
WordPressのデフォルトのログインURLは /wp-login.php です。これは広く知られているため、自動攻撃のターゲットになりやすいです。
パスワードを無作為に試し続けるブルートフォース攻撃も、弱いパスワードには有効です。ユーザー名が「admin」のままになっているサイトも狙われやすいです。
危険3:保守の怠慢
WordPress本体・テーマ・プラグインの更新を放置することが、最も多い危険の原因です。
「今動いているから更新しなくていい」という判断が、既知の脆弱性を放置し続ける結果につながります。
正しく管理すれば安全に使える
やるべきことは4点
WordPressを安全に使うために必要なことは4点です。
1. プラグインを最小限にする。 使わないプラグインは削除します。サーバー機能・手動作業で代替できるものはプラグインを使いません。詳しくは「プラグイン最小主義とは何か」を参照してください。
2. WordPress・テーマ・プラグインを定期的に更新する。 更新通知が来たら、できるだけ早く適用します。更新前にバックアップを取る習慣をつけてください。
3. CloudSecureでログインURLを変更し、試行制限をかける。 デフォルトのログインURLを変更し、ブルートフォース攻撃への対策をします。詳しくは「CloudSecure WP Securityの設定方法」を参照してください。
4. エックスサーバーのWAFを有効にする。 サーバーレベルで不正なアクセスを遮断します。
この4点を守ることで、「WordPressは危険」と言われる原因のほとんどを回避できます。
まとめ|WordPressは管理の問題であってツールの問題ではない
この記事の内容を整理します。
WordPressのシェアは世界で43%以上です。「危険」であればこれほど使われ続けていません。
危険の正体は、古いプラグインの脆弱性放置・ログイン設定の甘さ・保守の怠慢の3つです。
この3つを管理すれば、WordPressは信頼できるツールです。
不正アクセスを2回経験した経験から言えます。WordPressが危険なのではなく、管理しないことが危険です。
