サイト運営者に悪意はなくても、導入しているテーマやプラグインが原因でサイト訪問ユーザーに被害が出てしまうことがある。
ここでいう被害とは、
- フィッシングサイトへのリダイレクト
- ログインユーザーの場合、パスワードなどのログイン情報
- 許可しない仮想通貨マイニング
などユーザーに不利益が及ぶものです。
もし、セキュリティ対策を怠っていてユーザーに上記したような被害が出てしまったとしましょう。
その際の責任は誰に対して向けられるのでしょうか?
- 訪れたユーザー?
- ハッキングした悪質なハッカー?
- サイト管理人
- テーマ・プラグイン開発者?
いざ考えるとあまりよく分かっていないのでないでしょうか・
このような被害が出た時の責任能力について詳しく解説していきます。
ユーザーに被害がでたときの責任の所在は?
答えを先に言うとサイトを運営している管理人です。
テーマやプラグインの開発者には責任能力が一切ありません。もちろんこれにはちゃんとした理由があります。それは、テーマやプラグインに与えられているGPLライセンスです。
GPLライセンスとは?
GPLライセンスとはソフトウェアライセンスの一つであり、WordPressテーマ・プラグインには例外なくGPLライセンスが付与されます。
GPLライセンスを全文読むとものすごく長いのですが、要約すると
- 著作権は放棄していない(著作権表示を消してはいけない)
- 複製・改変・販売・再配布は各自の自由。許可もいらない
- GPLライセンスが付与されたソフトウェアを再配布する際は、必ずGPLライセンスを付与する(改変した場合も含む)
- 使う際は自己責任
ここで一つ引っかかることがあります。
それが「使う際は自己責任」という点です。
テーマやプラグインを選んで使うのは誰でしょうか?サイトを訪れてくるユーザーではありませんよね。
テーマやプラグインを使うのは、サイトを運営する管理人です。
つまり、「テーマやプラグインを使う際はサイト運営者が責任を持って使ってください」ということです。
なので、万が一テーマやプラグインが原因でユーザーに不利益が及んだ際の責任は、全てサイト運営者にあるということです。
このライセンスの関係でテーマやプラグイン開発者を訴えが通ることは基本的にありません。万が一訴えを起こしたとしても、GPLライセンスのことを主張されてしまえば特別な理由がない限り勝ち目はないでしょう。
有料テーマ・プラグインも同じ
有料テーマや有料プラグインも同じです。
ただ有料なだけで付与されるライセンスはGPLライセンスであるため、必ず自己責任で使わなければなりません。
- ダウンロードする権利
- サポートを受ける権利
- アップデートを適用する権利
これらを売っているのであって、テーマやプラグイン本体は無料で使い放題というケースがほとんどです。
有料テーマ・有料プラグインを再販・再配布してもいいのか?
GPLライセンスに従うと全く問題ありません。この辺りの問題は本人のモラルに依存します。
テーマやプラグインを開発することにも時間がかかりますし、それらの売上で生活をしている方も少なくありません。
また、有料テーマやプラグインを再販・再配布することは間違いなく批判を受けることになるので、出来る限りやらないようにしましょう。
ライセンス的には問題がないからトラブルは起こらないということは一切ありませんので忘れないようにしてください。
もし、仕事などサイトカスタマイズ依頼で有料のものを使いたい場合は、公式サイトで再購入したものを使うようにしましょう。
脆弱性が報告されたテーマ・プラグインは速やかに更新すること
脆弱性が発表された場合、できるだけ早く最新のアップデートを適用するようにしてください。
アップデートがなかなか適用されない・開発が既に終了しているテーマ・プラグインは停止して、ほかのテーマやプラグインに乗り換えるようにしましょう。
どうしても今のテーマやプラグインを使いたいという場合は当サイト「WordPressのお医者さん」がコード評価・対策を施させていただきます。
日本でもよく使われている有名なプラグインの脆弱性
「WordPress プラグイン おすすめ」などと検索すると紹介されていることが多いプラグインも、過去に脆弱性があったケースが少なくありません。
そこで、過去に脆弱性があったプラグインについて少し紹介していきます。
長らくサイトを更新せず放置している方は必ずチェックしておきましょう。
Pretty Links
20万サイト以上で利用されている短縮 URL 作成プラグインです。
2019年5月という比較的最近発見された脆弱性で、この脆弱性が悪用されるとフィッシング詐欺の利用されたり、サイト全体が乗っ取られてしまう危険性をはらんでいました。
比較的最近発見された問題だったので、更新せず放置しているサイトがある場合は必ず確認しておきましょう。
脆弱性が修正されているのはバージョン2.1.9以上です。2.1.8以下のPretty Linksを使っている場合は必ずアップデートしてください。
Easy Digital Downloads
ダウンロード管理に役立つプラグインですが、ユーザーのIPアドレスが盗まれる可能性のあるXSS(クロスサイトスクリプティング)が発見されています。
発見されたのはかなり最近で、2019年8月です。
修正されたバージョンもごく最近のものですので、Easy Digital Downloadsを使っている方はすぐに更新するようにしてください。
ほかにも脆弱性が発見されたプラグインはたくさんある
2019年に脆弱性が発見されたプラグインだけでも何十個もあります。
もし、自サイトに適用しているプラグイン脆弱性があるかどうか気になる方は一度ご相談下さいませ。
導入プラグインの脆弱性情報について調査させていただきます。
WordPress5.2.3以下は重大な脆弱性アリ
WordPress5.1以下を使っていると、テーマやプラグインを一切入れていないサイトでもハッキングされてしまう可能性があります。
WordPress本体に関する脆弱性であり、この脆弱性を使って攻撃されるとサイトが完全に乗っ取られてしまう可能性があり、到底放置できる問題ではありません。
ですので、特別な理由がない限り必ずバージョンアップするようにしましょう。2019年12月1日時点での最新バージョンは5.3ですが、現状は5.2.4以上にバージョンアップしておけば問題ありません。
Gutenberg問題でバージョンアップをためらっている場合は?
この場合、Gutenberg機能が除去されたClassicPressを使うといいでしょう。
ClassicPressとは、Gutenbergに否定的な意見を持つ有志によって更新され続けているWordPressで、WordPress5.2.3以下に存在する脆弱性もすでに修正されたバージョンがリリースされています。
もし、Gutenberg関係の不具合で5.0以上にバージョンアップできないという方はぜひ当サイトまでお問い合わせください。
ClassicPressの導入についての相談を受けさせていただきます。
まとめ:頻繁に更新され続けているテーマやプラグインを使うように!
少しでもテーマやプラグインの脆弱性の影響でユーザーに被害を出さないためにも、頻繁に更新されているテーマやプラグインを使うようにしましょう。
プラグインの場合、できれば「使用中の WordPress バージョンと互換性あり」と書かれたものが望ましいです。
この表示があるものはWordPressのバージョンアップごとにプラグインが更新されているということを示しているので、万が一脆弱性が発見されてもすぐに修正してくれるケースが多いです。
逆に「使用中の WordPress バージョンで未検証」と書かれているものはなかなか更新されないことが多く、脆弱性が発見されても放置されているケースが少なくありません。
上記プラグインは最終更新が8ヶ月前となっており、長らく更新されていないことが確認できます。
とても便利であってもこのようなプラグインはできるだけ導入しないようにしましょう。
どうしても導入したい場合は、XSRF・XSSなどの攻撃に対するセキュリティ対策をしっかりやっておくようにしてください。
どのようにセキュリティ対策をすればいいのか分からないという場合はお問い合わせくださいませ。