2018.11.13

WordPressが脆弱なんてのはデマ!正しい知識を身に着けよう

    WordPressは脆弱性がある?

    ※脆弱性とは、、、
    平たく言えば、セキュリティに穴があって改竄や侵入を許してしまうってことです

    とかなんとか、よく言われてるのを耳にしますが。

    まずは結論から。

     

    あります

    が、それはすべてのWebサイトに言えること。

     

    なぜWordpressは脆弱性が云々言われる?

    ってと頃ですよね。すべてのWebサイトがセキュリティホールなくて完璧かって言われたらそんなことない(はず)

    ※セキュリティホールとは

    プログラム面やネットワークのポートと呼ばれるものやら、とにかく外部からの侵入を許してしまうセキュリティの穴

    それなのになぜWordpressばかりがあーだこーだ言われやすいのか、という点をちょっとだけ書いてみます。

     

    利用者が多く、無知な人でも使えてしまうから

    まぁまずはこれです。

    利用者が多いってのは、それだけ理解者も多いってこと。

    それ以外にも、単純にアンチが湧くからよく知りもしないであーだこーだ言う人が多いのもあります。

    そして何より、ほぼ無知な人でもちょっと頑張ればサイト一個作れてしまうんですね。。。!

    同じほぼ無知な人でも、HTMLだけの静的なサイトを作ってるならセキュリティや脆弱性はレンタルサーバー提供もとのサーバー、ネットワークに依存するのでまぁ大丈夫でしょう。(自前で公開サーバー建ててるなら話は別)

    でも、Wordpress見たいなWeb上でサーバーと色々なやり取りが発生したり、データベースと呼ばれるものに連携してたり、PHPとかいうプログラム言語使ってるサイトはそれだけリスクが上がってしまうのです。

    然るべきセキュリティ対策、脆弱性対策を行っていなければ、そりゃ格好の的になってしまう。。。

    そこを指摘して言われてるのも多分にあります。そしてこれらは事実です。

    じゃー、Wordpress以外でもたくさんある、「無知でも作れるWebサイト制作サービス」はどーなんじゃって話は次

     

    オープンソースのソフトウェアだから

    「理解者が多い」と書きましたが、ここでもこれは関連付いてきます。

    理解者が多いってのは単に使えるってだけじゃなくて、このソフトウェアの構造も理解者してる人が多いって話になります。

    そしてWordpressってのはオープンソースです。

    ※オープンソースとは

    とある開発者や組織が、プログラムの中身も全部好きに弄って好きに使っていいよーと公開しているソフトウェアの総称

    一般的な「Webサイトが誰でも作れるよWebサービス」は、ソフトウェアというよりはWebサービス的な立ち位置。(あんま使ったことないから違ったらすみません)

    基本はサーバーとセットで、既にそのサーバー上に構築されたソフトウェア上で、出来ることがすごい限られたなかで作っていく。

    当然、中枢のシステムは権限が分けられているのでアクセスできなけりゃ弄ることもできない。

    CSSひとつ弄るにしても、大抵の場合は大本のCSSは触れなくて、上書きするようにCSSを追加していく感じ。

    だがWordpressはソフトウェア丸ごと落として弄ってあれよこれよできる優れもの。

    自分のサーバーに載せることもできるし、中身も好きにいじれる。

    となれば当然権限管理も自分でできる。

    温いことしてれば温い権限管理になる。

    となればまぁ、そういうことです。

     

    あとは、ログイン画面も簡単にアクセス出来ちゃったり、ユーザーアカウントも対策してなけりゃネットの知識で簡単に割れちゃったりとね。

    もちろん、きちんとやればこういったものは全部対策できますよ。

     

    テーマとかプラグインとかのオンパレード

    これらを利用することが一概にダメって訳じゃないです。

    でもこれ、イメージ的には家に家政婦さん雇って入れてるみたいなイメージです。

    どう言うことかと言うと、

    そりゃテーマ使えば楽にプロのデザイナーがデザインしたクオリティの見た目が作れます。

    そりゃプラグイン使えばプログラミングなんてわかってなくても、普通に開発依頼したら100万とかいっちゃうかもな機能をボタンポチポチで導入できます。

    でも、知らない上に信用ない人を家にあげて家事任せますか?

    そのリスクを理解した上で、怖いならよく調べてから使ってください。

    気づいたら大事なデータ全部盗まれてたり、壊されてたりなんてことあるし、いい家政婦さんでも買収されてスパイになってるかもしれません。

     

    結局使っちゃダメなの?

    って聞かれたらNoです。大丈夫です。

    ただ、個人で導入するならリスクを理解しましょう。ちゃんとわかってて使うなら無問題だし、理解できてなくても人から恨み買うようなサイトじゃないなら別に平気だし。

    大事な、ちゃんとしたサイト作りたいなら、Wordpress使ってもいいけどプロに相談したほうが無難です。価格もグッと押さえられるかもしれないし。

    予算出せるなら、WordpressみたいなCMSは入れないでフルスクラッチもありかもですね。(下手な会社じゃこっちのが危ないけど)

     

    まとめると、

    WordPressは優秀です。

    知識をもって使えばセキュアにもできます。

    ただ、知識がないなら穴はあるし、脆弱性は知識があっても押さえられないこともあります。

    でもそんなのは他のサービスも同じこと。

    お金があるならプロに判断を委ねる。

    もっとあるなら作ってもらう。

    ないなら、リスクを理解して自分で頑張る。

     

    ってところですかね。。。まぁ相談くらいなら、プロでも結構のってくれる人はいます。

    でも信用できない人だと、嘘疲れる可能性もあるのでちゃんと信用できる人に。。。

     

    PS:そういえば、ホワイトハウスのWebサイトもWordpressにしたらしいですね。

    こここそまさにセキュリティガッチガチが求められるのにWordpress使ってるあたりが、ちゃんと使えば非常にセキュアなサイト構築ができる

    証拠になるかもしれません。

    Yoshiki Kobayashi
    Yoshiki Kobayashi

    ITインフラのエンジニア・コンサルタントを経た後、
    職種を変え動画クリエイターとWebエンジニアを兼業する。
    飽きっぽく、常に新しいことに取り組んでいないと落ち着かず
    現在はVR動画とAMPについて勉強中。
    東京から離れるために奮闘中。