Dyno

WordPress はセキュリティが弱い?

2019/10/28

「 WordPress はセキュリティが弱い」「 WordPress は脆弱性が多い」と言われることがあります。これは本当のことでしょうか?それとも事実無根の中傷でしょうか?

今回は、 WordPress と WordPress 以外の CMS 、そして CMS 以外のサイト構築ツールを扱うウェブ技術者の立場から WordPress のセキュリティは弱いのか という点について説明したいと思います。

まとめ

先にまとめです。

  • WordPress は他の CMS と比べてセキュリティが弱いわけではない。
  • しかし、 WordPress のセキュリティ被害が多いのは事実。しかしそれには別の理由がある。
  • また、「 WordPress はセキュリティが弱い」という声が多いのも事実。それにも別の理由がある。

以下に細かく説明していきます。

WordPress のセキュリティは弱くない

CMS として WordPress のセキュリティは弱くありません

おそらくこれは、 WordPress を含む複数のサイト構築ツールの実務での利用経験があり、 WordPress の特徴を他と比較できるだけの知識を持つ人であれば共通の認識です。

WordPress のセキュリティは弱くありません。むしろ CMS としてはセキュリティが強い部類に入るでしょう。

ただし、 WordPress は「サーバーにアクセスがあれば、プログラムが動いてページを生成して送り返す」という仕組みになっています。つまり「サイトに WordPress を使う」イコール「サーバー上で WordPress のプログラムを動かす」です。プログラムが動くかぎりそこにはクラッカー(=悪意のあるハッカー)に悪用される可能性が存在するので、その意味で WordPress には静的な HTML サイトには無い危険性が伴います。

しかし、この仕組みは現在大きなシェアを持つ多くの CMS に共通です。 WordPress だけがこの仕組みを採用しているわけではないので、このことを理由に WordPress は他の CMS よりもセキュリティが弱いということはできません。

しかし WordPress のセキュリティ被害は多い

WordPress のセキュリティは弱くはありませんが、 WordPress のセキュリティ被害が多いのは事実です。

セキュリティサービスを提供する Sucuri とホスティングを行う GoDaddy の 2018 年の集計では CMS を使ったサイトの被害報告の 90% が WordPress のもの とされています。

被害を受けたウェブサイトプラットフォームの統計

出典: Hacked Website Trend Report – 2018 | Sucuri

ちなみに WordPress を含む 1 〜 5 位は以下のとおりです。

  1. WordPress 90%
  2. Magento 4.6%
  3. Joomla! 4.3%
  4. Drupal 3.7%
  5. Modx 0.9%

その前年の 2017 年のレポートでも似た数字となっています。

  1. WordPress 83%
  2. Joomla 13.1%
  3. Magento 6.5%
  4. Drupal 1.6%
  5. OpenCart 0.7%

出典: Hacked Website Trend Report – 2017 | Sucuri

2018 年の集計ではサンプル数は 33,592 件とのことなので、多少偏りがあると仮定したとしても「 WordPress のセキュリティ被害は他の CMS に比べて多い」というのは事実と考えて間違いないでしょう。

そう、 WordPress のセキュリティ被害が多いのは事実です。しかしその原因は WordPress のセキュリティが弱いからではありません。

WordPress の被害が多い≠セキュリティが弱い

WordPress のセキュリティ被害が多いことは、 WordPress のセキュリティが弱いことを必ずしも意味しません。 WordPress の状況は非常に特殊なので、むしろそこに原因があると考えるのが自然です。以下ポイントを絞って説明します。

理由 1: 圧倒的に人気だから

2019 年時点で WordPress は CMS の世界で 60% 以上の高いシェア を持っています。 2 位以下とはおよそ 10 倍以上の大差があり、 CMS が使われていないサイトを含めても世界の全サイトのおよそ 3 つに 1 つで必ず WordPress が使われている状況です。

利用数が多いため、単純な算数の問題として、被害件数はそれだけ多くなります。

加えて、 CMS のクラッキング行為というのは、共通のプログラムを書いて自動化させて行うことが一般的となっています。プログラムを書くという意味では、標的が 100 個でも 10,000 個でもその手間はほとんど変わらないため、効率を考えるなら、できるだけたくさんのサイトで利用されている CMS を狙うのが合理的です。特に最近のクラッキング行為はオレオレ詐欺のようにお金儲けを目的として行われるので、なおさら効率重視となっています。

結果として、 60% もの高いシェアを持つ WordPress はクラッカーにとって非常にコスパの高い CMS となります。

理由 2: 使いやすいから

WordPress はとても使いやすい CMS です。おそらく メジャーな CMS の中で最もかんたんな CMS と言ってもよいでしょう。ただし、それは WordPress が非力だからとか単純なサイトしか作れないといったことではなく、 WordPress がシンプルさやかんたんさを重視して作られているためです。

加えて、人気が高く他の CMS よりも得られる情報が圧倒的に多いため、学習コストや導入のハードルが非常に低い CMS です。

結果として、適切なセキュリティ知識を持たないまま WordPress でサイト制作を行ったり、適切なセキュリティ対策を行わずに WordPress を利用したりする人や会社がたくさんいます。

「安全でないパスワードを使う」「安全かどうかわからないプラグインを使う」「 WordPress のアップデートをしない」といった、少しセキュリティを知る人からすれば危険で見ていられないような使い方が世界中で行われている状況です。

つまり、 WordPress は間口の広い CMS であるために、 知識の不十分な初心者や危険な使い方をしてしまっている人が多い CMS となっています。

理由 3: ダウンロード型だから

CMS の分類方法のひとつに、利用者が自身でサーバーに設置する「ダウンロード型」と SaaS として利用できる「ウェブサービス型」という分類があります。 WordPress には両方の利用形態がありますが、 基本的にはダウンロード型の CMS という位置づけです。

ウェブサービス型の CMS の場合は、サービス提供者がそのプログラムを管理しているため、脆弱性が見つかったときにはサービス提供者が一元的に対応することが可能です。

一方のダウンロード型は、脆弱性が見つかってそれにコア開発者たちが対応し新しいバージョンをリリースしても、利用者たちがそれを適用しなければいけません。

ダウンロード型では、 CMS そのもののセキュリティ対応がどれだけ適切に行われても、利用者が適切な対応をしなければ、 CMS はセキュリティ的に脆弱な状態で放置されることとなります。

WordPress 公式の統計では、 WordPress の最新版を使っている人は全体のおよそ半分だと言われています。

2019 年 10 月時点の WordPress のバージョン利用状況

WordPress の公式サイト、セキュリティ知識を持つ制作会社、ホスティング会社等は「 WordPress は必ず最新の状態で使ってください」と言い続けているのですが、実態はこのような状況です。

ちなみにこれは WordPress にかぎらず、「設置型」の CMS に共通した特徴です。

理由 4: プラグイン・テーマを自由に配布できるから

WordPress には公式の「プラグイン」「テーマ」配布の仕組みがあり、技術者が自分で作ったプラグインやテーマを自由に配布することができます。 WordPress の利用者たちは、コミュニティから提供されたそれらのプラグインやテーマをかんたんにインストールすることができます。

多くのプラグインやテーマは無料で使える代わりに、利用して何か問題が起こったとしても自己責任 です。そして、公開されているプラグインの中には、十分なセキュリティ知識を持たない人が作ったプラグインや、思わず重大な脆弱性が含まれたプラグイン、技術者がメンテナンスをやめてしまったプラグインなんかもあります。そういったプラグインを使うことは、「誰が作ったかも誰が整備したかもわからない自動車を運転する」ようなもので、大変危険です。

その状況とリスクを十分に理解せずに危険なプラグインやテーマを利用している場合がたくさんあります。

つまり、 WordPress のセキュリティ被害が多いのは事実ですが、それは WordPress のセキュリティが弱いからというよりも、 WordPress の人気が高いこと、知識が十分でない人がたくさん使っていること、利用者が適切なセキュリティ対策をしていないことに原因がある というのが正しい認識です。

「 WordPress はセキュリティに弱い」と言う声も多いが

根拠となる統計データが手元にあるわけではありませんがを、「 WordPress はセキュリティに弱い」という声が多いのもおそらく事実です。

その最大の理由は単純で、上で述べたように、実際に WordPress のセキュリティ被害が多いからです。被害の数が多いとその分声も多くなります。

加えて、 WordPress の場合は十分な知識を持たずに使っている人が多いため、たとえ自分の利用方法が悪い場合でも「悪いのは WordPress だ」と考えがちになるのではないかと思います。

WordPress はセキュリティに弱いという声が多いのには他にも理由があります。

理由 1: 他の CMS のアピールによいから

WordPress 以外の CMS を使ってサイト制作を行う制作会社(= WordPress を扱わない制作会社)の多くは、マーケティング活動の一環として、しばしば自社が推奨する CMS の WordPress に対する優位性を強調します。

なぜなら、 WordPress は 60% ものシェアを持つ CMS で、一定の知識を持つクライアントにとっては必ず第一候補となる CMS だからです。他の CMS と比較するよりも、まず第一に WordPress に対する優位性を示すことこそが WordPress を扱わない制作会社にとって重要だからです。

その一環で、当然 WordPress のセキュリティ面にも触れることになります。そのときに「 WordPress は被害件数は多いですが、それは WordPress のシェアが圧倒的に高くて敷居が低いからであって、 WordPress そのものが悪いわけではありません。重要なのは適切な使い方をすることであって、それは WordPress でも他の CMS でも変わりませんよ」なんて本当のことを言ってしまえば自社のビジネスにプラスになりません。そのため、「 WordPress は脆弱性が多いですよ」といったことを言うことになります。

理由 2: WordPress が嫌い

もうひとつの大きな理由は、 WordPress が嫌いな人がいるからです。これには単純に有名税的なところもありますし、現代的な視点で見れば「 WordPress の設計や構造が古びている」というところも原因としてあります。

しかし客観的に見て、 WordPress のセキュリティが他の CMS に比べて特段悪いということはありません。逆に WordPress が抜きん出てよいということもありませんが、少なくとも CMS のレイヤーで行うべきセキュリティ対策において WordPress が著しくレベルが低いということは私が知るかぎりありません。

このあたりの詳細は別記事でも語っているので割愛します。興味のある方は次の記事を読んでみてください。

ということで、 WordPress はセキュリティが弱いかというお話でした。最後に、冒頭のまとめを再掲します。

  • WordPress は他の CMS と比べてセキュリティが弱いわけではない。
  • しかし、 WordPress のセキュリティ被害が多いのは事実。しかしそれには別の理由がある。
  • また、「 WordPress はセキュリティが弱い」と言う声が多いのも事実。それにも別の理由がある。

ご参考になれば幸いです。