6月からとあるキッカケでWordPressでブログを書き始めましたが、正直なところWordPressを使うのは危険だなぁーという気持ちがありました。
ブログを始めたキッカケはコチラから↓
自分はインフラエンジニアをやっているため、職業柄、セキュリティに関してかなりアンテナを張っている方だと思います。
セキュリティ対策とコンピュータウイルス(悪意のあるプログラム)の登場はイタチごっこになってます。対策できたと思っても、次から次へと新しいコンピュータウイルスが出てきて、正直キリが無い状況です。
ただ、そうだと分かっていても対策しないと大事な情報やデータを抜き取られてしまう危険やがんばって書き溜めたブログの内容が書き換えられてしまう危険が高まるだけなんですよね。
正直、大変な情報社会になってしまったと思います。そう思いませんか?
目次
残念ながらWordPressは攻撃対象として狙われやすい
まず、NetApplication社が公開しているオペレーションシステム(OS)のシェア比率を見てみると、圧倒的にWindowsが多く8割以上、Macでも1割弱といったところが確認できます。
Operating System Market Share
引用元:NetApplication社
みなさんが「悪意のある」側だと人間だと仮定した場合、どのオペレーションシステムを攻撃対象にするでしょうか?
利用者が多いオペレーションシステムを対象にした場合、「とりあえず数撃てば当たるだろう」って思うのではないでしょうか?
また、スマホのオペレーションシステム(OS)で見てみると、シェアが多いのはAndroid、iOSですね。
Mobile Operating System Market Share Worldwide June 2017 – June 2018
引用元:StatCounter社
シェアの多いソフトウェアも同じことが言えます。
そして一般的なサイトで言うと・・・
そう、WordPressのシェアが多いんです。
株式会社イノーバ社の情報によると、WordPressは全世界のサイトの3割、コンテンツマネージメントシステム(CMS)限定だと、6割のシェアを持っているとのことです。
WordPressが日本でも世界でもシェアNo.1CMSである理由
引用元:株式会社イノーバ社
そもそもソフトウェアに完璧なものは無く、人が作っているものなので、気付かない欠陥部分(脆弱性と言います)は間違いなくあります。その脆弱性情報が公開されてしまうと、残念なことにその穴が開いた部分を狙って情報を抜き出してやろうというイタズラをする人たちが出てきます。
WordPressがメジャーなソフトウェア故に狙われやすいってことです。
そのため、各々が穴をふさぐ努力をする必要があります。
そもそも、その穴(脆弱性)をふさぐ必要あるの?
ソフトウェアの穴をふさぐ前に、どんな穴なのか知る必要があります。特に問題のない穴だったら、そんなに慌ててふさがなくて大丈夫です。
例えば、家の壁に開いた穴なら大きさにもよりますが、そんなに急いでふさがなくてもいいと思います。ただ、家の屋根に開いた穴だったら、雨漏りしてしまうため、急いでふさがないといけませんよね。そんなイメージです。
ソフトウェアの穴(脆弱性)情報はメジャーどころだと以下から入手できます。
ただ、これらのページはWordPress以外の脆弱性情報であふれているため、正直見てもよく分からないと思います。
そのため、Google先生に
「WordPress 脆弱性」
と聞いて、新鮮なネット記事をチェックしておけば、情報収集は一旦大丈夫だと思います。
WordPressは5日、ブログツール「WordPress」の最新バージョン「4.9.7」を公開した。攻撃者がサーバー上の任意のファイルを削除できる脆弱性など、17件の不具合が修正されており、バージョン「3.7」以降が対象のセキュリティアップデートとなる。WordPressはユーザーに対して早急なアップデートを呼び掛けている。
「WordPress 4.9.7」公開、任意のコードを実行される脆弱性など不具合17件を修正
引用元:Impress社
この記事を書き始めた2018年7月11日だと、Impress社のネット記事で情報が要約されていました。
その情報を見て急いで穴をふさがないといけないのか、ふさがなくて大丈夫なのか判断する必要があります。
ネットの記事になるくらいなら、かなり大きな穴でイタズラさてしまうと大きな影響が出るレベルです。ネット記事を見かけたら、穴をふさぎにかかりましょう!
どうやって穴(脆弱性)をふさぐの?
自分はXSERVERのレンタルサーバでWordPressをインストールして使っているのですが、7月6日に以下のようなメールが届きました。
そうなんです。自分ではWordPressの穴をふさぐことなく、XSERVER側でWordPressの穴をふさいで(アップデート)くれたんです!
即時アップデート推奨とのこと。昨日、XSERVERからアップデートしました!ってメール来てたなー。
【セキュリティ ニュース】セキュリティ更新「WordPress 4.9.7」がリリース – 即時アップデートを強く推奨(1ページ目 / 全1ページ):Security NEXT https://t.co/4FfmadBkzW
— ぐーぐーぺこりんこ@社畜㌠ (@gugupeco999) 2018年7月6日
つまり、自分がWordPressに穴がないかチェックしていなくても、サービス提供元のXSERVER側で穴がないかチェックしてくれていて、穴を見つけてふさいでくれていたんですね。そして、「穴ふさいでおいたよー」と連絡してくれたということです。
こういうセキュリティ対策がしっかりされているところは安心して使うことができます。
また、「WordPress管理画面左メニュー」→「ダッシュボード」→「更新」で最新バージョンのWordPressがインストールされているかどうか確認できます。
もし、最新版がインストールされていないようであれば、インストールすることをオススメします。
結論:でもWordPress便利だから使い続ける!
結局のところ、便利で価値があるものだと思うからこそみんなWordPressを使い続けているわけで、「危険があるんだったら使わない!」というのは極論すぎだと思います。
便利だけど、危険があることを知りつつ、上手く使い続けていくのがいいと思うし、自分はそうやって使い続けていこうと思います。
みなさんもWordPress使っていきましょう!
