WordPress のセキュリティに関する 7 つの通説: 完全に覆され、誤りであることが暴かれました

世界で最も人気のあるコンテンツ管理システムであるにもかかわらず、WordPress プラットフォームのセキュリティに関する神話が広まり続けています。 オープンソースの性質のため、経験の浅いユーザーは商用製品よりも安全性が低いと考えるかもしれません。 さらに、ニュースで WordPress のセキュリティ問題が報じられると不安になるかもしれません。

誤解 #1: セキュリティはホスティング プロバイダーの仕事です

初心者または初めて Web サイトを所有する人は、Web サイトを安全に保つことは、Web サイトをオンラインに維持するためにお金を払っている人々の領域であると考えるかもしれません。 そしてそれはある意味では真実です。 Web ホスティングプロバイダーはまさに防御の最前線です。 Web サーバーへの侵入が容易でないことを確認し、サイトが存在する物理的エンティティを保護するのが彼らの仕事です。 そうでない場合は、単に悪いホストです。

ウェブサイトのセキュリティは主にあなたの責任です

ただし、それとは別に、ホスティングプロバイダーが WordPress Web サイトのセキュリティにどの程度関与しているかは、プランによって異なります。 共有ホスト、VPS ホスト、さらには専用サーバーでも、基本的にはサーバー スペースのみをレンタルします。 それをどうするかはあなた次第です。

つまり、ホスティングプロバイダーは、WordPress Web サイトの安全性を維持することについては一切支援しません。 それがあなたの仕事です。

確かに、一部のプロバイダーはファイアウォールや CDN などの追加のセキュリティ機能を提供します。 また、マルウェアやウイルスなどのサーバーを監視し、サイト上で何かを検出した場合には対処します。 ただし、多くの場合、それはサイトを無効にし、修正するよう求められることも意味します。 特に初心者の場合、理想的な解決策ではありません。

マネージドホスティングが役立つ

ホスティングプロバイダーに WordPress Web サイトの安全性に関してより積極的な役割を果たしてもらいたい場合は、マネージドホスティングを使用する必要があります。 マネージド ホスティング プロバイダーは、サーバー スペースを提供するだけでなく、Web サイトの運営に伴う日常的なタスクの一部も引き継ぐため、このように呼ばれます。 セキュリティもその 1 つであり、速度の最適化、サイトの更新、専門家のサポートも同様です。

もちろん、この種のサービスには追加料金がかかりますが、サイトを保護するための自分のスキル レベルに自信があるかどうかによっては、それだけの価値があることがよくあります。 それは大きな安心感をもたらすことができます。

ただし、全体的には、この WordPress のセキュリティ神話を完全に払拭しましょう。予約したサービスの一部でない限り、ホスティング プロバイダーは Web サイトの安全性や、Web サイトの侵害やハッキングを防ぐ責任を負いません。 その責任はあなたにあります。

誤解 #2: WordPress 自体がセキュリティ リスクである

さて、あなたはこう考えているかもしれません。「ホスティング プロバイダーがこれを行ってくれないのなら、無料のソフトウェアに依存するのは危険ではないでしょうか?」 大勢のボランティアが自由な時間を使って作るものは、どれだけ素晴らしいものになるでしょうか? さらに、Wix の担当者がテレビで WordPress も安全ではないと言っているのを見ました。」

さて、次はこれに取り組みましょう。

まず理解しなければならないのは、インターネットに接続されているものは完全に安全ではないということです。 最大のものから最小のものまで、毎日何千もの Web サイトがハッキングされています。 それは人生のようなもので、結局のところ、さまざまなレベルの不安があり、何か悪いことが起こる可能性をできるだけ低くするように努めているだけです。

WordPress には広範な安全対策が施されています

ここで、WordPress は他よりも悪い成績を収めているわけではありません。 実際、このプラットフォームは長年にわたり、コア製品のセキュリティ上の懸念を検出して対処するための堅牢なシステムを実装してきました。

主任開発者、セキュリティ研究者、その他の Web セキュリティ専門家を含む約 50 人の専門家で構成される専任のセキュリティ チームがあります。 彼らの多くは、ビジネス全体の基盤となっているソフトウェアのフェイルセーフに強い関心を持っている会社である WordPress.com で働いています。

さらに、チームは他のホスティング会社やコンテンツ管理システムの安全チームとも協議しています。

彼らの役割は、WordPress の脆弱性を積極的に監視し、発生した場合には迅速に対応することです。 報告された内容が十分に深刻な場合は、即時パッチを作成して配布する可能性があります。 この機能を特にオフにしない限り、これはバージョン 3.7 以降の WordPress Web サイトに自動的にインストールされます。

それに加えて、WordPress は一般に頻繁に更新され、年に約 2 ～ 3 つの新しいメジャー バージョンがあり、その間にマイナー アップデート、メンテナンス アップデート、セキュリティ アップデートが行われます。 それぞれのバージョンには、潜在的なセキュリティ問題に対する修正と広範なテスト プロセスが含まれています。

コミュニティが主な資産です

上記に加えて、この「ボランティアのグループ」が実際にどのようなものであるかについて、間違ったイメージを持っているかもしれません。 彼らの多くは、WordPress をビジネスに使用している百万ドル規模の企業の従業員です。 さらに、彼らは全員、生計の基盤であるソフトウェアを安全に保つためにゲーム内にスキンを持っています。

一般に、WordPress のオープンソースの性質はその強みの一部です。 ソース コードは無料で入手でき、誰でも検査したり、セキュリティの抜け穴を見つけて報告したりできます。 そして多くの人がそうします。 つまり、WordPress 6.3 の寄稿者の数を見てください。

最後に、WordPress Web サイトの安全性をさらに向上させるための専門のホスティング プロバイダーとセキュリティ プラグインが多数あります。 言うまでもなく、ユーザーがセキュリティ対策を実装するのに役立つ何千ものブログ投稿やチュートリアルも存在します。

では、この WordPress のセキュリティ神話についてはどう言えるでしょうか? それは真実ではない。 WordPress の中核製品の安全性と難攻不落性を確保するための体制は、営利団体と同等以上です。

誤解その 3: WordPress は最もハッキングされたプラットフォームである

WordPress の使用に対する不安の原因となるのは、WordPress が最もハッキングされている CMS であるという統計です。 そして確かに、このプラットフォームは過去にいくつかの重大なセキュリティ問題でニュースになっています。 つまり、このグラフを見てください。これまで何か重大な目的で WordPress を使用することに懐疑的ではないでしょうか?

WordPress のサイズを考慮する

この時点で、冒頭で述べた最初のことの 1 つをもう一度参照する必要があります。 WordPress は最も人気のあるコンテンツ管理システムです。

どれくらい人気があるのでしょうか？
W3techs によると、インターネット上のすべての Web サイトの 43% 以上で使用されています。

絶対数では 4 億 7,000 万サイトを超えます。 それはたくさんのウェブサイトです。 さらに、上のグラフからわかるように、これらの統計に匹敵するシステムは他にありません。

では、なぜ WordPress が最もハッキングされたプラットフォームなのでしょうか? ハッキングすべき WordPress ウェブサイトが他にもたくさんあるからです。

考えてみてください。もしあなたが、他人の Web サイトに侵入して生計を立てているとしたら、どのシステムをターゲットにしますか? 潜在的な犠牲者が無限に存在し、誰かが横のドアを開けっ放しにしている可能性がより高いもの、それともターゲットが遠く離れた場所にあるものでしょうか? あなたはおそらく答えを知っているでしょう。

WordPress コアは問題ではありません

最後に、統計を詳しく調べてみると、成功した WordPress ハッキングのうち、WordPress 自体が原因で発生したのはほんのわずかな割合だけであることがすぐにわかります。 そのような場合でも、多くの場合、Web サイトが古いバージョンを実行していることが原因です。

脆弱性の大部分は、WordPress 拡張機能、特にプラグインを通じて発生します。

つまり、WordPress は確かに最も侵害されているプラ​​ットフォームであり、このセキュリティ通説の多くは真実です。 ただし、その背後にある理由はさらに微妙です。

誤解 #4: WordPress プラグインは安全ではない

鋭い観察者（あなたもきっとそうでしょう）なら、私たちがバスの下で自分たちの議論を丸投げしただけであることに気づいたかもしれません。 どうやら、WordPress プラグインが大きなセキュリティ問題であることを認めたようです。

これらは WordPress のエコシステムとエクスペリエンスの中心的な部分であるため (Web サイトに機能を追加するために誰もがそれらを使用しているため)、WordPress で安全でない Web サイトを構築する以外に選択肢がないことを意味します。

いや、潰れた！

プラグインの問題

当然のことながら、ここでもより微妙なニュアンスを持たせる必要があります。

はい、明らかに WordPress プラグインに問題があります。 これらは Web サイトへの一般的なエントリ ポイントです。

ただし、それを大局的に考えるには、まず存在する膨大な数のプラグインを確認する必要があります。 WordPress リポジトリだけでも約 60,000 あります。 さらに、ウェブ上の他のショップからはさらに多くの商品が入手可能です。

ただし、WordPress エコシステムの資産は負債にもなり得ます。 これらのプラグインの作成者にはさまざまなスキル レベルがあり、すべてのプラグインが積極的に保守および更新されているわけではありません。 したがって、コードの品質とセキュリティのレベルが異なる場合があります。

WordPress コミュニティはそのことを認識しており、この問題に対応するために最善を尽くしています。 既知の問題があるプラグインがプラグイン ディレクトリから削除されている場合があります。 さらに、WordPress プラグインの全体的な品質を向上させるために、テーマ チェック プラグインに似たプラグイン チェッカーの開発に取り組んでいる人もいます。

したがって、このセキュリティ リスクを回避するための最初のルールは、a) 信頼できるソースから提供され、b) 積極的なサポートとメンテナンスを受けられるプラグインを使用することを確認することです。

プラグインだけではなく、プラグインをどのように使用するかが重要です

ただし、プラグイン自体は方程式の一部にすぎません。 多くの場合、問題は人々が自分のサイトでどのように使用するかにあります。 上記と同じレポートでは、ハッキングされたサイトの 36% に古いプラグインがインストールされていたとも述べています。

したがって、WordPress コアの場合と同様に、必ずしもソフトウェアが問題であるわけではありません。セキュリティ問題は実際に修正されつつあり、ユーザーがそれらの修正を適用しないことが問題であるためです。

さらに、プラグインの数に問題があることもよくあります。 上記から明らかなように、拡張機能にはある程度のリスクが伴います。 したがって、それらの数が多ければ多いほど、サイトにサイドドアが導入される可能性が高くなります。

解決策: 作業を完了するために必要な数のプラグインのみをインストールします。 プラグインを積極的に使用していない場合は、削除してください。 古くなり、セキュリティ上のリスクを引き起こす可能性があるものを Web サイトに残さないでください。

誤解 #5: あなたのサイトはターゲットではない、誰も気にしません

これは、WordPress 以外でも、Web サイトのセキュリティに関する通説の中で古典的なものです。 多くの人、特に趣味の Web サイトや小規模な Web サイトを運営している人は、ハッカーが攻撃に興味を持つほど収益性の高いターゲットが提供されるとは考えていません。 つまり、ペットのハムスターの写真を投稿しているだけなら、誰かがあなたの Web サイトに侵入して何が得られるでしょうか?

ハッキングは個人的なものではない

ここで理解しなければならないことが 2 つあります。 まず、Web サイトのハッキングは映画で見るようなものとはまったく異なります。 パーカーを着てラップトップの前に座って、サイトを厳選し、そこへの侵入方法を手動で探して時間を費やしている人はいません。

いいえ、ほとんどの攻撃は自動的に発生します。 Web サイトの既知の脆弱性がないか常に Web をスキャンし、脆弱性が見つかった場合はそれを利用する自動ボットの軍団が存在します。 ほとんどの場合、あなたは単なる機会の犠牲者です。

サイトを乗っ取ることが本当の目的ではない

第二に、Web サイトのハッキングは、多くの場合、財務データやその他の機密情報を盗むことではありません。 ほとんどの場合、ハッカーは単に自分たちの利益のためにサイトを利用するためにサイトの一部を乗っ取ろうとしているだけです。

• DDoS 攻撃などに使用するためにボットネットの一部として採用する
• メールサーバーからスパムを送信する
• 訪問者のコンピュータにマルウェアを拡散する
• 詐欺的な Web サイトへのリンクをサイトに投稿する

単にあなたのサイトを改ざんし、自分のスキルを証明するためにそれを行う人もいます。

覚えておいてください。 これはあなたのことではありません。 それは単に悪用される可能性のあるターゲットになるということであり、それを避けるために最善を尽くす必要があります。

誤解 #6: 強力なパスワードを使用するとサイトは安全に保たれる

安全なログイン情報を使用することは間違いなく WordPress セキュリティの一部であり、それは神話ではありません。 脆弱なパスワードとユーザー名が戻ってきてあなたを攻撃する可能性がある方法はたくさんあります。

• ブルート フォース攻撃– 何かがうまくいくまで、プログラムがランダムに異なるユーザー名とパスワードの組み合わせを試行することを意味します。
• Credential Stuffing – これはブルート フォース攻撃に似ていますが、より標的が絞られています。 この場合、ハッカーは、たとえば別のサイバー攻撃で明らかになったなど、すでに侵害されている資格情報を使用します。 この攻撃は、多くの人がユーザー名とパスワードを再利用しているという事実に基づいています。

これがそれほど悪いことであるとは信じられない場合は、ハッカーがパスワードの複雑さに基づいて平均どれくらいの速さでパスワードを解読できるかを示すインフォグラフィックを以下に示します。

したがって、強力なパスワードはサイトを保護するのに役立ちます。 では、なぜこの点が WordPress のセキュリティ通説のリストに登場するのでしょうか?

強力なパスワードだけでは役に立たないからです。 Web サイトのセキュリティはパズルの 1 ピースにすぎません。 残りの部分を無視すると、攻撃者が Web サイトに侵入するための重要な手段が残されたままになります。

さらに、パスワードは始まりにすぎません。 ログイン ページを実際にロックするには、ログイン試行を制限し、多要素認証を使用し、ファイアウォールを検討することをお勧めします。 さらに、強力な資格情報はサイト自体だけでなく、ホスティング アカウントや FTP アカウントなど、サイトに関連するあらゆるものにとっても重要です。

誤解 #7: セキュリティ プラグインをインストールするだけで作業は完了

WordPress のセキュリティについてあまり詳しくない初心者の多くは、サイトを安全に保つためにプラグインに依存しています。 WordFence、MalCare、Sucuri などの WordPress セキュリティ プラグインは、そのための天の恵みです。 これらは、経験の浅いユーザーが数回クリックするだけで攻撃者に対してサイトを強化するのに非常に役立ちます。

ただし、繰り返しになりますが、これはサイトを安全に保つ確実な方法ではありません。 これらのプラグインの影響範囲には制限があり、実際にはサイト自体をロックダウンすることしかできず、そのより大きな環境に対して影響を与えることはできません。

サイトがセキュリティで保護されていないサーバー上に存在する場合、またはホスティング アカウントが脆弱なパスワードによって侵害された場合、セキュリティ プラグインはサイトを防御することができなくなります。 繰り返しになりますが、WordPress セキュリティ プラグイン自体は神話ではなく、単独では機能しないというだけです。

最終的な通説: WordPress のセキュリティは複雑である

WordPress ウェブサイトを安全に保つのは難しいという考えも、人々が独自のウェブサイトを開設することを妨げているもう 1 つの誤解です。 これは重要なトピックではありますが、ロケット科学でもありません。 結局のところ、Web サイトのセキュリティの大部分は、いくつかのベスト プラクティスに従うことになります。

• 適切なホスティングプロバイダーを使用し、セキュリティに関するサポートが必要な場合はマネージドホスティングを選択してください
• WordPress とすべてのプラグインとテーマを最新の状態に保つ
• サイトには最小限の拡張機能のみを配置し、アクティブに使用していない拡張機能は無効にして削除し、サイト上の拡張機能が適切に維持されていることを確認します。
• ログイン資格情報が強力であることを確認して安全に保ち、ログイン試行を制限し、多要素認証を通じてセキュリティを向上させます。
• 以前のバージョンにロールバックできるように、Web サイトを定期的にバックアップします。
• サポートとして WordPress セキュリティプラグインを使用しますが、制御できない部分についても考慮してください

これらを導入すれば、サイトで何かが起こる可能性は、たとえゼロにはできないとしても、大幅に減少するはずです。

あなたが定期的に聞いている WordPress のセキュリティ通説、または購読していたものは何ですか? コメントでお知らせください！