企業でWordPressを使う際、セキュリティリスクを回避するため、「脆弱性」について確認する必要があります。本記事では、WordPressの脆弱性の概要やWordPressを使い続けるリスクを交えながら、クラウドCMSという選択肢についても解説します。
この記事のポイント
- WordPressを安全に利用するためには、脆弱性に対する理解と情報収集が必要
- 企業利用では多くの要求仕様に応えるために多くのプラグインが使用されている分、リスクが高くなっている
- 企業がCMSの利用を検討する場合、必要な機能があらかじめ揃ったクラウドCMSの選択がおすすめ
WordPressやそのプラグインは、多くの脆弱性が報告されています。悪意のある人物によって脆弱性が利用されると、不正アクセスを許したりウイルスに感染したりする可能性があります。また、管理画面を乗っ取られたり、不正なプログラム(プラグインなど)を仕込まれたりすれば、顧客や取引先にも迷惑をかけ、意図せずサイバー攻撃の加害者になる恐れもあります。また、WordPressで利用しているデータベースに不正アクセスされれば、データを盗まれたり破壊されたりする可能性もあります。WordPressを安全に利用するためには、脆弱性に対する理解と情報収集を行い、継続的に対策していく必要があります。
WordPressの脆弱性には大きく2種類あります。一つはWordPress本体のプログラムコードに存在する脆弱性、もう一つはWordPressのプラグインに存在する脆弱性です。
企業利用では多くの要求仕様に応えるために多くのプラグインが使用されていますので、それだけリスクが高くなっていることを意識しておかなければなりません。
WordPressのプラグインには、公式のものと非公式のものがあります。公式のものは脆弱性が見つかったあとの修正プログラムの提供や、情報流通自体が比較的早い傾向があるため、どちらかといえば非公式のプラグインの方がより注意が必要だといえます。
WordPressにどのような脆弱性が発見・報告されているかについては、「脆弱性対策情報データベース検索」というサイトにて一覧で確認できます。たとえば「深刻度(CVSSv3) :緊急」に絞っても、以下のような多くの脆弱性が報告されています。(2023年6月時点)
ID |
タイトル |
CVSSv3 |
CVSSv2 |
公表日 |
最終 更新日 |
JVNDB-2023-001446 |
WordPress 用 User Post Gallery - UPG プラグインにおけるコマンドインジェクションの脆弱性 |
9.8 |
- |
2023/1/3 |
2023/4/7 |
JVNDB-2022-005031 |
Paid Memberships Pro WordPress プラグインにおける SQL インジェクションの脆弱性 |
9.8 |
7.5 |
2022/1/6 |
2023/5/15 |
JVNDB-2022-004827 |
[GWA] AutoResponder WordPress プラグインにおける SQL インジェクションの脆弱性 |
9.8 |
7.5 |
2022/2/4 |
2023/5/8 |
JVNDB-2022-004782 |
WordPress GDPR WordPress プラグインにおけるクロスサイトスクリプティングの脆弱性 |
9.6 |
6.8 |
2022/1/26 |
2023/5/1 |
JVNDB-2022-004534 |
Essential Addons for Elementor WordPress プラグインにおけるパストラバーサルの脆弱性 |
9.8 |
7.5 |
2022/1/31 |
2023/4/18 |
JVNDB-2022-004110 |
Joy Of Text Lite WordPress プラグインにおける SQL インジェクションの脆弱性 |
9.8 |
- |
2022/12/8 |
2023/3/22 |
JVNDB-2022-004109 |
Cryptocurrency Widgets Pack WordPress プラグインにおける SQL インジェクションの脆弱性 |
9.8 |
- |
2022/12/9 |
2023/3/22 |
JVNDB-2022-004107 |
WP User WordPress プラグインにおける SQL インジェクションの脆弱性 |
9.8 |
- |
2022/12/9 |
2023/3/22 |
JVNDB-2022-004074 |
WP AutoComplete Search WordPress プラグインにおける SQL インジェクションの脆弱性 |
9.8 |
- |
2022/12/12 |
2023/3/17 |
JVNDB-2022-004071 |
Wholesale Market WordPress プラグインにおけるパストラバーサルの脆弱性 |
9.8 |
- |
2022/12/12 |
2023/3/17 |
JVNDB-2022-004060 |
Build App Online WordPress プラグインにおける SQL インジェクションの脆弱性 |
9.8 |
- |
2022/12/6 |
2023/3/17 |
JVNDB-2022-004048 |
LetsRecover WordPress プラグインにおける SQL インジェクションの脆弱性 |
9.8 |
- |
2022/12/12 |
2023/3/17 |
企業でWordPressを利用する場合、多くのプラグインを導入し独自にカスタマイズを施すことで、脆弱性の根本的な対策であるアップデートが困難になることがあります。カスタマイズ範囲が広いほど、アップデートに伴う影響も大きくなり、動作検証に伴うコストや時間も増大してしまうのです。企業が、リスクを承知でWordPressを使い続ける要因の一つには、このような背景があります。
企業にWordPressを提供したWeb制作会社のエンジニアが、異動や退職などでアサインができずに保守が困難になるケースもあります。開発時点で技術共有が行われず、属人化された部分があると、脆弱性にあわせたアップデートがますます難しくなるのです。
CMSのセキュリティやリスクについては「高まるCMSセキュリティの重要性。今一度確認しておきたい、セキュリティの脆弱性が与えるリスクとCMSの選定ポイント」でも詳しく解説していますので、あわせてご覧ください。
企業がWordPressを使う場合、プラグインを利用したカスタマイズは避けられません。機能性向上と引き換えに、負担の大きい脆弱性対策が発生するジレンマがあります。企業がCMSの利用を検討する場合、必要な機能があらかじめ揃ったクラウドCMSが選択できれば、こうしたジレンマから脱却できます。
クラウドCMSとは事業者がクラウド上で提供しているCMSのことで、セキュリティ面の運用なども任せられるサービスです。たとえばクラウドCMSである「ShareWith」は、標準で金融機関からも選ばれるハイレベルなセキュリティ対策が施されています。また、上場企業においては230社以上の導入実績があり、クラウドCMSで最も多く選ばれています。管理画面のわかりやすさやサポート体制の充実度から信頼性が高く、サイト運営の生産性向上に貢献できるCMSだといえるでしょう。
クラウドCMSについては「クラウドCMSって何?その特徴や選定ポイントなどを詳しく解説」で詳しく解説していますので、あわせてご覧ください。
ShareWithのサービス詳細についてはこちらの公式サイトをご覧ください。
WordPressでは多くの脆弱性が報告されています。一方、企業では独自のプラグインや多くのカスタマイズを行ってWordPressを運用していることも多く、すぐにアップデートができない場合があります。WordPressは、開発が容易ですが保守が難しい傾向があり、企業で利用し続けるには一つひとつの課題とリスクを抱え続ける必要があるのです。そのため、別のシステムに変更するとWordPressよりもセキュリティリスクが低くなり、企業価値を守れるかもしれません。これからCMSの改修やリプレイスを行う場合は、WordPressからクラウドCMSへの変更を念頭におくのも一案です。