吉政忠志 
こんにちは。プライム・ストラテジー代表の吉政でございます。
毎月かなりのセミナー登壇をするようになりました。そのセミナーの中でよくいただく質問として、「WordPressの脆弱性対策、バージョンアップはどれくらいの頻度で行えばいいのか?」というのがあります。この質問はある意味、漠然としていていろいろな角度で説明をしなければいけないものですが、WordPressの利用者として知りたい内容ではないかと思います。
今回は私の私見ではありますが、長年、かなりの台数を運用してきた経験でお話をさせていただきます。
WordPressの脆弱性について
そもそも脆弱性とは「ソフトウェアにおけるセキュリティ上の欠陥や弱点」のLinuxなどのOS、PHPなどのプログラム、DB、nginx(エンジンエックス)などのWebアプリケーションに、もちろんWordPressなどのCMSなど、すべてのソフトウェアで発生する可能性があるものです。
よってWordPressの脆弱性対策という場合は、WordPress及びWordPressが動作するためのOS、DB、プログラム、Webアプリケーションなど、実行のための全てのソフトウェアで脆弱性を対策しなければなりません。
WordPressの脆弱性対策 3つの有効ポイント
脆弱性対策として有効なものは主には以下があると考えています。
A)常に最新のバージョンを使うこと(バージョンアップのタイミングできるだけ短くする)
B)開発が活発なソフトウェア、利用者数が多いソフトウェアを使用する
C)脆弱性情報を最速で得られるような情報ネットワークに参加すること
A)常に最新のバージョンを使うこと(バージョンアップのタイミングできるだけ短くする)
脆弱性が発見されたときに、すぐに対応しなければいけない場合がありますが、しばらくバージョンアップをしていなく、最新版にするのに大きな手間とお金がかかる場合がありますので、そのようなことがないようにします。
例えば、今のPHPの最新バージョンはPHP8.xですが、2メジャーバージョン前のPHP5.xを使用していたとします。その場合の最新版へのアップグレードはかなり手間と費用が掛かります。常に最新版にバージョンアップをしていれば、いざというときにそのような大幅なバージョンアップ作業がかからないのです。
また、人によっては最新バージョンが出てから1週間用紙を見てからバージョンアップをしたい方もいます。それは、WordPressの場合は、最新バージョンが出てすぐは不具合が見つかりやすい経験をした方からだと思います。その運営が正しい場合もあります。一方で万が一の場合に巻き戻しができるような環境であれば、そのようなことを指揮する必要もないと思うのです。
B)開発が活発なソフトウェア、利用者数が多いソフトウェアを使用する
より多くの方が使っているソフトウェアのほうが脆弱性が発見されやすいのは事実です。また、救済措置もすぐに公開されるのもメジャーなソフトウェアの特徴です。WordPressのようなCMSシェアで8割を超えてくるようなものは安全であるといえると考えています。また、開発が活発なメジャーなソフトウェアのほうが、常にバージョンアップが行われているので、その点でも安心感があります。
C)脆弱性情報を最速で得られるような情報ネットワークに参加すること
そもそも脆弱性が発見されても、それを知り対応できなければ被害が甚大になります。最近の傾向としては、ハッキングされたことがわからないようにハッキングし、情報を抜き続けたり、踏み台にし続けたりしますので、本当に最新の情報を迅速に得られる情報網に参加しておいた方がいいです。
当社のほうでWordPressの脆弱性情報をお伝えするメールマガジンを発行しています。このメールマガジンは週一発行になりますので、いささか迅速性に欠けますが、当社が重視している情報網を知るには良いと思いますし、社内に情報共有する手段としては効果的だと思います。本メールマガジンに興味がある方は以下よりお申し込みください。
Security Advisory for WordPressについて:https://kusanagi.biz/wordpress-security-advisory/
かなり万全なWordPress脆弱性対策のご紹介
脆弱性対策の基本は、迅速な情報網を持ち、迅速に対応できる環境と技術力を持つことが重要です。WordPressは広く使われているため、安全なソフトウェアであると感じている方も多いと思います。一方で企業の皆様の場合は、万が一を避けられる体制を検討しなければならないと思っています。
一般企業が迅速な情報網を持ち、迅速に対応できる環境と技術力を持つことはなかなか難しく、それはまさに私どものような専門家集団に依頼することが一番有効だと考えています。
私どもはWordPressの単なる専門家集団ではありません。長年、WordPressの分野でトップを走ってきた代表的なリーディングカンパニーなのです。
WordPressに関して、万全な体制をお考えの方がいらっしゃいましたら、まずは私どもにご相談いただきたいです。
興味がある方は、まずは以下をご覧の上、情報交換や課題解決のご提案から始めさせていただけると幸いです。
KUSANAGIマネージドサービス
※複数のサーバーを統合的に管理するサービスもございます。お気軽にお申し付けください。
https://kusanagi.biz/managed-service/
情報交換のご依頼は以下よりお願いします。
https://kusanagi.biz/contact/
執筆者/吉政 忠志 (プライム・ストラテジー株式会社 代表取締役)
100歳までの現役労働を目指す男。プライム・ストラテジー(TYO5250)代表、Python/PHP/Webセキュリティ/Rails/IPv6試験の主催者。ロードバイク、釣り、食器集めが趣味。
プライム・ストラテジーでは、Web担当者様、IT担当者様などの
お役立ち資料やYouTube動画を公開しています。ご興味ある方はぜひご覧ください。