Dyno

WordPress はセキュリティが弱い?

今回は、WordPress ・その他の CMS ・ウェブアプリケーションフレームワーク等複数のウェブサイト構築ツールを扱う立場から WordPress のセキュリティは弱いのかどうか を説明します。

このあたりは十分な知識を持たない人がいい加減なことを言っている記事もよく見かけるので、一人でも多くの方に正しい知識を持っていただければと思います。

先に結論です。

  • WordPress は他の CMS と比べてセキュリティが弱いわけではない
  • WordPress のセキュリティ被害の絶対数が多いのは事実だが、それは WordPress のセキュリティが弱いからではない
  • 「 WordPress はセキュリティが弱い」という声が多いのも事実だがそれにも理由がある

以下で詳しく説明します。

WordPress のセキュリティは弱くない

CMS としての WordPress のセキュリティレベルは決して低くありません 。 CMS としてはむしろセキュリティレベルが高い部類に入ると言えるでしょう。これはおそらく一定レベル以上のセキュリティ知識があり複数のサイト構築ツールを仕事で使ったことのある人(= WordPress のセキュリティレベルを客観的に評価できる人)の間では共通の認識です。

WordPress は「プログラムがページを動的に生成する」という仕組みで動くため、静的 HTML だけで構成されるサイトに比べるとセキュリティレベルが低いのは事実です。しかしこれは現在メジャーな CMS の多くに共通した特徴でもあります。 WordPress だけがこの仕組みを採用しているわけではないので、このことを理由に「 WordPress は他の CMS よりもセキュリティが弱い」と言うことはできません。

WordPress のセキュリティ被害は実際に多い

ただし、 WordPress の利用に伴うセキュリティ被害が多いことは事実です。

セキュリティサービスを提供する Sucuri と有名なホスティング会社の GoDaddy が 2018 年に行った集計によると、 CMS を使ったサイトの被害報告の 90% が WordPress のもの とのことです。

被害を受けたウェブサイトプラットフォームの統計

出典: Hacked Website Trend Report – 2018 | Sucuri

ちなみに WordPress を含む 1 〜 5 位は以下のとおりです。

  1. WordPress 90%
  2. Magento 4.6%
  3. Joomla! 4.3%
  4. Drupal 3.7%
  5. Modx 0.9%

その前年の 2017 年のレポートでも似た数字となっています。

  1. WordPress 83%
  2. Joomla 13.1%
  3. Magento 6.5%
  4. Drupal 1.6%
  5. OpenCart 0.7%

出典: Hacked Website Trend Report – 2017 | Sucuri

サンプル数は 33,592 件とそう多くはないので偏りがある可能性はありますが、サンプル数を 10 〜 100 倍に増やしたとしても「 WordPress のセキュリティ被害が他の CMS に比べて多い」という結果は変わらないでしょう。

このように WordPress のセキュリティ被害が多いのは事実ですが、その原因は WordPress のセキュリティが弱いからではありません。

WordPress の被害が多い ≠ セキュリティが弱い

WordPress の状況は非常に特殊なので、セキュリティ被害が多い原因の大部分はその状況にあると考えるのが自然です。以下ポイントを絞って説明します。

  • 理由 1. 人気だから
  • 理由 2. 使いやすいから
  • 理由 3. ダウンロード型だから
  • 理由 4. プラグイン・テーマを配布できるから

理由 1. 人気だから

2019 年時点で WordPress の CMS マーケットでのシェアは 60% 以上 と非常に高く、 2 位と比べてもおよそ 10 倍以上の差が開いてます。利用数が圧倒的に多いため、単純な算数として被害件数は多くなります。

加えて、 CMS のクラッキング行為(一般の方が考える「ハッキング行為」)というのは、プログラムを書いて自動化させることが一般的です。プログラムを書く手間は、その標的となるサイトが 100 個でも 10,000 個でも大きく変わらないため、「できるだけ多くのサイトで利用されているプラットフォームを狙う」というのが合理的な戦略です。そのため、 WordPress がよく標的になります。

特に最近は、クラッキング行為はお金儲けを目的として組織的に行われることが多いので、以前よりも効率を重視するようになっており、結果として人気の CMS が狙われやすくなります。

つまり、クラッカーにとって圧倒的なシェアを持つ WordPress は非常にコスパの高い CMS といえます。これはちょうど、 macOS 向けのマルウェアより Windows 向けのマルウェアの方が数が多いのと同じ原理です。

理由 2. 使いやすいから

WordPress は使いやすい CMS です。おそらく メジャーな CMS の中で最もかんたんな CMS と言ってもよいかもしれません。それは WordPress が非力だからといったネガティブな意味ではなく、 WordPress が「シンプルさ」や「かんたんさ」に価値をおいて UI/UX を重視して作られてきたからです。 加えて圧倒的に人気が高いため、サイトや書籍等の情報源が他の CMS に比べて段違いに多いことも使いやすさにつながっています。

使いやすいということそのものはよいことですが、それがもたらす負の側面として、十分なセキュリティ知識を身に付けずに使う人や会社が多いという面もあります。 WordPress では「安全でないパスワードを使う」「危険なプラグインを使う」「 CMS をアップデートしないまま使い続ける」といった、セキュリティの知識がある人からすれば危険極まりない使い方が横行しています。

つまり、 WordPress はよい意味で敷居の低い CMS であるがゆえに 危険な使い方をしてしまう人が多い CMS にもなっています。

理由 3. ダウンロード型だから

CMS の分類方法のひとつに、利用者が自らソフトウェアをダウンロードしてサーバーに設置する「ダウンロード型」とクラウドサービスとして利用できる「クラウド型」という分け方があります。 WordPress には両方の利用形態がありますが、「 WordPress 」といえば特に断りの無いかぎりダウンロード型のものを指すことが一般的です。

このダウンロード型の CMS には注意点があります。クラウド型の CMS は、サービス提供者が一元的にプログラムを管理しているため、脆弱性が見つかったときの対応は一元的にスムーズに行なえます。ダウンロード型の CMS は、新しい脆弱性が見つかったときに開発者たちがすぐに対応して新しいバージョンをリリースしても、利用者たちがそれを適用しなければ、脆弱性は放置されたままになります。

つまり、ダウンロード型の CMS はその原理上 CMS そのもののセキュリティ対策がいくら適切でも、利用者が適切に対応しなければセキュリティ対策は不十分 になってしまいます。

ひとつのデータとして、 WordPress 公式の公開情報によると WordPress の最新版を使っている人は全体のおよそ半分程度と言われています。

2019 年 10 月時点の WordPress のバージョン利用状況

これは WordPress を使う人の意識がいかに低いかを表すデータです。 WordPress の公式サイト、適切なセキュリティ知識を持つ制作会社、ホスティング会社がこぞって「 WordPress は必ず最新の状態で使ってください」と言い続けても、実態はこのとおりです。

ちなみに、これは WordPress だけでなくダウンロード型のすべての CMS に共通した特徴です。 WordPress には強力な自動アップデート機能が備わっているため、その分ましな方とも考えられます。

理由 4. プラグイン・テーマを配布できるから

WordPress には公式の「プラグイン」「テーマ」配布の仕組みが用意されています。技術者はそれを利用して自分で作成したプラグインやテーマを自由に配布することができ、 WordPress の利用者はクリックするだけでそれらのプラグイン・テーマをかんたんにインストールし利用できます。

プラグインやテーマは無料で使える代わりに、利用して何か問題が起こった場合は原則自己責任 です。公開されているプラグインの中には、十分なセキュリティ知識を持たない人が作ったものや、重大な脆弱性が含まれたもの、技術者がメンテナンスをやめて放置されたものもあります。そのようなプラグインを使うことは、道端に放置された自動車にいきなり乗って運転するようなもので、大変危険です。しかし、利用者の中にはそのことを理解せずにプラグインやテーマを利用している人がたくさんいます。

まとめます。 WordPress のセキュリティ被害が多いのはまぎれもない事実です。しかしそれは WordPress のセキュリティが弱いからというよりも、 WordPress の人気が高いこと、知識が十分でない人がたくさん使っていること、利用者が適切なセキュリティ対策をしていないこと に原因があるというのが正しい認識です。

「 WordPress はセキュリティに弱い」との声も多いが……?

お見せできる統計データが手元にありませんが、「 WordPress はセキュリティに弱い」という声が多いのもおそらく事実です。

これにはさまざまな原因が考えられますが、おそらく最大の原因は上述のとおり被害の絶対数が多いことです。加えて、 WordPress は敷居が低いために十分な知識を持たない人がよく使うことも要因として大きいと思います。知識が無い人であればあるほど何か問題が起こったときに「悪いのは自分じゃなくて WordPress だ」と道具のせいにする傾向があります。

「 WordPress はセキュリティに弱い」という声が目立つ理由は他にもいくつか考えられます。

  • 他の CMS のアピールに使える
  • WordPress が嫌い

他の CMS のアピールに使える

WordPress 以外の CMS をメインで扱う制作会社はしばしば自社が推奨する CMS と WordPress を比較して自社が扱う CMS の優位性をアピールします。 WordPress には 60% 以上ものシェアがあるため、そのような制作会社にとっては WordPress に対する優位性を示すことこそがクライアントに選ばれるために重要な仕事のひとつでもあります。

もちろんその一環でセキュリティ面も比較するのですが、そのときに馬鹿正直に

WordPress は被害件数は多いですが、それは WordPress のシェアが高く敷居が低いからであって、 WordPress そのものが悪いわけではありません。適切な使い方をすれば WordPress でもまったく問題はありません。重要なのは適切な使い方をすることであって、それは WordPress でも他の CMS でも同じですよ。

などと言うのは得策ではありません。そのため、そのような制作会社はときに、あえて誤解を招くように「 WordPress はセキュリティ被害が多いですよ」と言うことがあります。

また、制作会社に勤めている人の中には、 WordPress の実態を知らずに「 WordPress はセキュリティが弱い」と思い込んでいてそれをそのまま書いたり喋ったりしている人もいます。

WordPress が嫌い

実際に WordPress が嫌いな人はたくさんいます。 これは WordPress の「有名税」としての部分もありますが別の側面もあります。

例えば、わかりやすい例でいえば、ひどい作りの WordPress サイトを引き継いで大変な思いをした技術者は、その後高い確率で WordPress を嫌うようになります。また、 WordPress は内部の設計やコーディングスタイルがあまり洗練されているとは言えません。今日的な視点で見れば古臭く、特に新しいものを好む技術者にとってはあまり積極的に触りたいと思えない側面もあります。 WordPress に使われている PHP というプログラミング言語も、いくつものプログラミング言語を使える技術が見ればあまり魅力的ではありません。

そのような WordPress が嫌いな人たちが WordPress を貶すための表現のひとつとして「 WordPress はセキュリティがダメ」と言うことがあります。

このあたりの説明は別記事でも語っているので割愛します。興味のある方は次の記事を読んでみてください。

ということで、「 WordPress はセキュリティが弱いのか?」というお話でした。冒頭のまとめを最後に再掲します:

  • WordPress は他の CMS と比べてセキュリティが弱いわけではない。
  • WordPress のセキュリティ被害が多いのは事実。しかしそれには別の理由がある。
  • 「 WordPress はセキュリティが弱い」と言う声が多いのも事実。それにも別の理由がある。

もし「 WordPress はセキュリティがダメ」と言う人がいれば、「具体的に何と比べてダメなの?」「具体的にどこがダメなの?」と聞いてみるとよいと思います。

ご参考になれば幸いです。