こんにちは、ウェブロードの山口です。
セキュリティの推奨項目の第4回目は、テーマやプラグインを厳選するというお話になります。
▶️WordPress保守管理時のセキュリティ確認事項16項目
WordPressのプラグインは安全か?
WordPressのテーマやプラグインは、多数の開発者から提供されています。
しかし、全てのテーマやプラグインが信頼できるわけではありません。
基本的には、WordPressの管理画面から呼び出して表示されるプラグインを使うことが望ましいです。
バージョンアップが止まっているプラグインは、そのまま使い続けるのはリスクが伴いますので、代わりのプラグインに置き換える必要があります。
例えばプラグインの画面を見た時に、最終更新が2ヶ月前とか3ヶ月前、4ヶ月前ぐらいでしたら全く問題ないんですが、それが年単位になっていると、「ちょっと更新が止まっているプラグインかな…」と怪しむ必要があります。
そして、5年とか10年、10年はあまりないかもしれませんが、5年ぐらい更新が止まっているプラグインはたまに見かけます。
そういったプラグインは、その5年間のインターネットの進化についていけていない可能性がある。
要するに、PHPのバージョン(PHPっていうのはWordPressで使われているプログラム言語のこと)が最新バージョンに対応していなかったり、古いコードで書かれているプログラムが一部ソースの中に残っていたりするわけです。
そういったところがいわゆる脆弱性と言われる部分で、その更新されていない、対応されていない古い状態のコードが狙われたりする可能性があります。
ですから、テーマやプラグインも「管理画面からインストールしたから全て問題なく使えるだろう、安心だろう」という考えは危険であるということを知っておいて欲しいと思います。
いろんなプラグインが出ていますので、1つ使えなくなっても、同じ機能のプラグインが別でまた新しく開発されているということもあります。
例えば、予約フォームのプラグインを使っていて、5年も6年も更新されていないとします。
しかし、ネット検索をして同じ予約フォームのプラグインを探すと、最新バージョンで頻繁に更新されていて、ユーザー数も多い別のプラグインが見つかったりします。
そういう時は、古いずっと使っているプラグインを使い続けるよりも、最新のバージョンに適用された、多くのユーザーが使っているプラグインで代用できないかなとか、リプレイスできないかなというところを検討するに値する、ということです。
使わないプラグインは削除しよう
プラグインとは何か?ということなんですが、プログラムの集合体というか、簡易プログラムというか、1つの機能を作るためのコードの集合体みたいなもので、僕もよく説明するときには、スマホでいうところのアプリというような表現をすることが多いです。
これらはWordPressの本体自体がバージョンアップを継続していきますので、それに合わせてそのプラグインも同じようにバージョンアップしてくれる、という個人の方が開発しているプラグインを使うっていうのが1番リスクの少ない方法になります。
WordPressのプラグインは、セキュリティ上の脅威になることがあります。
この脅威というのは、今まで脅威とはならないプラグインだったけれども、しばらく開発がストップしてバージョンアップが疎かになっていて、その間にセキュリティの脆弱性が見つかった。
問題なかったプラグインが、突然脅威になってしまう可能性があるということを知っておいて欲しいです。
そのため、使わないプラグインは削除して、WordPressのインストールフォルダ内、管理画面内に置いたままにしないようにしましょう。
とにかく使っていないプラグインは削除しておきましょう、ということです。
また、それは有効化しているプラグインだけでいいのかという話なんですが、有効化していない置いているだけのプラグインもアップデートせずに放置しているものがあったら、外部からの攻撃者に付け入る隙を与えることにつながります。
ずっとアップデートされていないかどうか?
普段からサイトを触っていないなら、余計わからないですよね。
管理画面でプラグインのリストを見るということも、皆さんは普段の業務外の仕事になると思いますので、そんな頻繁には見ることもないと思います。
通常は使っている投稿の画面など、そちらの方ばかりを見る形になってしまうと思いますので、時々プラグインのアップデート状況も確認して、継続的なアップデートをして、現在進行形で使っているプラグイン以外は全て削除しておくことが運営では望ましいといえます。
あくまで望ましいということなので、「今後もまた使うな」というプラグインはそのまま置いておいて停止させます。
停止していてもアップデートの通知が来ますので、その時にきちんとアップデート対応していれば、特に問題にはなりません。
アップデートはいつするか?
プラグインのアップデートの通知が来ると、しばらく(2、3日ぐらい)はちょっと置いておいて欲しいんです。
もちろん、「至急アップデートしてください。重要な脆弱性が見つかりました」っていうような連絡がプラグインのサイト、サポートサイトなんかにあれば、それはもう至急アップデートしないといけません。
しかし、
通知が来てすぐアップデートすると、不具合が見つかったり、開発者から「バグがあって、もう1回再度アップデートしました」というようなことも、たまにプラグインの中にはありますので、すぐに赤ランプが点いたからといって、プラグインをアップデートせずに、少し様子を見てからアップデートした方がいいということです。
後は、外部からプラグインをダウンロードしてくるっていうよりも、WordPressの管理画面内で呼び出して使えるプラグインを極力使うということをしていただけると、さらにリスクを下げていくことはできるかと思いますので、この辺りも注意しながらプラグインの運営管理をしていただければなと思っています。
では、今回はここまでになります。本日もご視聴どうもありがとうございました。
投稿者プロフィール
- 2004年頃の会社員時代からブログ作成を始める。ブログ作成が楽しくなり、そのまま趣味が高じて2006年にホームページ制作で起業、2008年に株式会社ウェブロードを設立。現在は、個人・中小事業者のWordPressサイト制作・改善を中心に、Web業界18年の知識と経験を生かして、大型案件のWebディレクターとしても活動中。 プロフィールはこちら
最新の投稿
WordPress講座2024年12月19日使わないWordPressプラグインは、なぜ削除する方が良いの?- 01メルマガバックナンバー2024年12月16日攻めと守りのバランスをとる会社経営
- お知らせ2024年12月5日年末年始休業のお知らせ
- サイト運営ノウハウ2024年11月23日自社サイトのサーバーの管理がどうなっているかわからない
お問合せフォームはこちら
弊社サービスをご検討いただきありがとうございます。
相見積もりや社内検討用など、概算お見積りのPDFが必要な場合はこちらでご入力・出力できます。
お見積りのご依頼・打ち合わせはZOOM/GoogleMeet/お電話等、オンラインでも対応可能です。全国からお問い合わせを受付けています。
2営業日を過ぎても弊社からの連絡がない場合はメールが届いていませんので、大変お手数をお掛けしますが、下記メールアドレスにご連絡ください。
