WordPressはセキュリティリスクが高いと聞いたことがある方も多いでしょう。それでも企業サイトの運用でWordPressを使い続けている理由の一つには、提供事業者から勧められるままにWordPressでのCMS運用を行っているケースが挙げられます。本来企業のサイト運用担当は、WordPressのセキュリティリスクを踏まえて、自社の運用にあうCMSを選ぶことが大切です。本記事では、WordPressのセキュリティリスクが高い理由や実際に被害があったプラグインの事例を交えながら、企業が主体的にサービスを選ぶことの重要性を解説します。
この記事のポイント
- WordPress本体およびプラグインは多くの脆弱性が報告されており、企業で利用し続けることはリスクが大きい
- CMSの選定は、オープンソースは避け、有償でもセキュリティ面が充実しているものを選ぶことが重要
- クラウドCMSの場合、提供事業者がインフラを管理するため、CMSのセキュリティを一任でき、かつ安心
ここでは、「WordPressが脆弱性を標的にする攻撃者からターゲットされやすく、セキュリティリスクが高い」といわれる理由を3つご紹介します。
- 利用者が多い
WordPressは世界中で最も利用者が多いCMSです。攻撃者からすると、一つでも攻撃方法を見つけられれば、同じ方法でより多くのサイトを攻撃できます。
- オープンソースである
WordPressはオープンソースのためプログラムコードが誰でも読めます。脆弱性があると、攻撃手法が把握されやすくなり、攻撃を受ける可能性も高まります。また様々なプラグインが利用できるのもWordPressのメリットですが、流通しているプラグインにも脆弱性が潜んでいたり、中には悪意のある処理が含まれたプラグインも。プラグインの利用は避けて通れませんが、導入にあたっては安全性の見極めが必要になります。
- アップデートが困難なケースがある
企業のWordPress利用においては、自社の要求仕様に応えるため、提供事業者がさまざまなプラグインを導入しているケースが多いでしょう。要求に応じてカスタマイズされた結果、WordPress自体やプラグイン同士のバージョンが複雑に関連してしまい、容易にアップデートできないこともあります。
企業でWordPressを利用する場合はこのようなリスクを抱えながら運用することが多いため、個人利用以上にセキュリティリスクが高くなる傾向にあるのです。
WordPress本体やプラグインをアップデートせずに使い続けると、最悪の場合管理者権限を奪われたり、他にも以下のような被害を受ける可能性があります。
- ページの書き換え:自社サイトが偽ページへの誘導やマルウェアをダウンロードするよう誘導するサイトなどに書き換えられる
- ランサムウェア:身代金要求型不正プログラムの感染
- 社内のデータベースへの不正アクセス:情報の改ざんや情報の抜き取り
- SQLインジェクション:想定しないSQL文が実行されデータの盗聴や漏えい、データの破壊
- 踏み台:詐欺サイトなどへ誘導する迷惑メールの大量送信
WordPressのプラグインに関する脆弱性は、2022年だけでもすでに多くの事例が報告されています。例えば、以下のプラグインでは、クロスサイトスクリプティング(悪質なサイトへの誘導スクリプトで情報の搾取などをする攻撃)の脆弱性が報告されています。
- Newsletter
- Modern Events Calendar Lite
- WP Statistics
- Advanced Custom Fields
などです。
このように、WordPressのプラグインには多くの脆弱性が報告されています。自社のサイトにおいてどのようなプラグインが使用されているかを、今一度確認してみることをおすすめいたします。
CMSのセキュリティについては高まるCMSセキュリティの重要性。今一度確認しておきたい、セキュリティの脆弱性が与えるリスクとCMSの選定ポイントにて詳しく解説していますので、あわせてご覧ください。
WordPressのままでの運用が難しいと判断した場合、別のCMSに変更すべきかを検討しなければなりません。とはいえ、乗り換えるCMSの選定をシステムの良し悪しで判断するのは難しいことです。そこでCMSの選定はセキュリティの「リスクの低さ」を軸にしてみてはいかがでしょう。企業で利用するCMSであれば、オープンソースは避け、有償でもセキュリティ面が充実しているものを選ぶことが重要です。また、セキュリティ以外に、管理面やデザインの表現自由度、さまざまな機能要求に応えられるかどうかにも着目しましょう。
これらを踏まえておすすめなのが、クラウドCMSです。クラウドCMSは、セキュリティ面はもちろん、サーバーなどインフラ管理も含めてアウトソース化できます。
クラウドCMSの場合、提供事業者がインフラを管理するため、企業の担当者が細かなセキュリティ対策を行わずに済むようになります。専門的でわかりづらいCMSのセキュリティをすべて任せられるのは、何より安心ではないでしょうか。また、クラウドCMSならば、機能仕様は基本的に完成しているため、導入前に操作感や要望の実現性が事前に確認できるのも魅力だといえます。利用料がかかったとしても、長く運用することを考えれば、セキュリティメンテナンスや、不具合に対する改修対応などを管理する必要がほとんどなくなり、結果的に時間やコスト削減にもつながります。
クラウドCMSについてはクラウドCMSって何?その特徴や選定ポイントなどを詳しく解説で詳しく解説していますので、あわせてご覧ください。
クラウドCMSの一つに「ShareWith」があります。ShareWithは、細かなセキュリティ対策を専門の技術者に任せられることはもちろん、デザインカスタマイズ性が高いというメリットもあります。現在までに200社以上が導入しており、上場企業に最も導入されているクラウドCMSです。導入理由の一つとして、複雑になりがちな組織のサイト運営がスマートに管理できるよう、さまざまな体制にフィットするよう設計されていることが挙げられます。また、管理画面のわかりやすさやサポート体制が充実していること、MA など最新の SaaS とのスピーディな連携が可能で、マーケティング目的など幅広い用途で利用できる点でも、企業が利用する商用CMSとして、まず選択肢に入れたいサービスだといえます。
クラウドCMSのShareWithについてはこちらをご覧ください。
セキュリティの観点でいうと、WordPressを企業で利用し続けることはリスクが大きいといえます。万一サイバー攻撃の被害を受けてしまえば、企業の信頼低下につながる結果になりかねません。今後、企業がCMSの利用運を考える際には、セキュリティも重視して主体的にツールやサービスを選ぶことが大切です。その選択肢として、クラウドCMSを検討してみてはいかがでしょうか。
