WordPressはサイトデザインを作れない人でも簡単に綺麗なサイトを作れるテーマがたくさん開発されています。
それだけでなくWordPressの機能を拡張できるプラグインもあり、それらを有効活用することで納得いくサイトを効率良く、尚且つ低コストで作成することができます。
それらテーマやプラグインは頻繁にアップデートされているものや全然更新されていないものがあります。
ですが、テーマやプラグインを更新しない・長時間更新されていないテーマやプラグインを使用し続けている場合はセキュリティ面のリスクが大きく高まります。
今回はテーマやプラグインを更新せずに放置するデメリットについて詳しく見ていきます。
テーマやプラグインを更新せずに放置するデメリット
テーマやプラグインにメジャーアップデートが入って大きくしようが変わってしまうことがありますが、それは嫌ってテーマプラグインを更新しないという方も少なくないでしょう。
確かにその気持ちは分かります。アップデートしたことによって正常に動くがなくなると、一時的にサイトを閉鎖してメンテナンスする必要があるのでとても大変なことになってしまいます。
ですが、テーマやプラグインを更新しなかったことによって脆弱性が放置され、ハッカーに脆弱性を見つけられた場合は深刻な問題に巻き込まれる可能性があります。
なので、まずはテーマやプラグインを更新せずに放置するデメリットについて見ていきましょう。
データベースに不正アクセスされる
テーマやプラグイン脆弱性があると、WordPressが使用しているデータベースに不正アクセスされる可能性があります。
データベースに不正アクセスされると以下のようなリスクが伴います。
- データベースのデータがが破壊される
- ユーザー情報など重要な情報が盗まれる
- 不正なウイルスコードが仕込まれる
- 別のサイトに自動的にリダイレクトされるようになる
これらのような不正改ざんリスクが高まります。
テーマやプラグイン脆弱性があるとWordPressの管理画面にアクセスすることなくこれらのことが可能になる場合があるので非常に危険です。
ですので、可能な限りテーマやプラグインを更新し続けることが大切なのです。
トップページなどが改ざんされる
データベースや管理画面に不正アクセスされてしまうと、テーマファイルやプラグイン・記事が改ざんされて、全く関係ない情報が書き込まれたり、ウイルスが配信されてしまう可能性があります。
このような状態になると、サイト運営者だけでなくサイトを見に来てくれた人にも悪影響が及ぶことになるので、早急にサイトを停止させて原因の特定・対策をする必要があります。
もちろんその間はサイトにアクセスできない状態になってしまうので、大きな機会損失にもつながります。
最悪の場合、一度WordPressを完全に削除して新しいデータベースを使ってWordPressを再インストールした後、バックアップを使って復元する必要があります。
バックアップを使って復元した後も、原因となるテーマやプラグインのアップデート・もしくは削除をしない限りまたサイトが乗っ取られて改ざんされてしまうのでとても大変です。
もしこのような被害にあった場合は、当サイトにお問い合わせください。
また、まだこのような被害に遭っていない場合でも、いつ何が起きても大丈夫なようにバックアップだけはしっかり作成するようにしましょう。
バックアップ自動作成する体制が整っていない場合はこちらの記事を参考にバックアップをするようにしてください。
別サイトにリダイレクトされる
Webサイトにアクセスしたユーザーを別のサイトに転送するリダイレクトという機能が存在します。
この機能は基本的にサイトを引っ越しした時やページのURLが変わった時に使われるものですが、ハッカーが勝手にリダイレクトの設定を行うことで、サイト運営者が意図しないサイトにリダイレクトされてしまう可能性があります。
リダイレクトの設定がされてしまった場合、サイト運営者も自分のサイトにアクセスできず別のサイトにリダイレクトされる可能性があるので、こちらも極めて危険です。
ドメインがブラックリストに登録される
Googleなどの検索エンジンがハッキングされているサイトと認識した場合、ブラックリストに登録されて検索結果から削除されてしまうなどのペナルティを負ってしまう可能性があります。
そうなってしまうとハッキングされた原因を断ったとしても、ブラックリストから削除されない限り、いつまでたってもペナルティを受け続けることになります。
トップページやデータベースを改ざんされた程度であればバックアップで復元することができますが、ブラックリスト入りしてしまったものを元に戻すのは非常に困難ですので、テーマやプラグインを更新しない一番のデメリットでもあります。
テーマプラグインを更新しない場合はセキュリティアップデートを定期的に確認する
テーマやプラグインをカスタマイズしていてあまり更新したくないという場合もあるでしょう。
そういう場合は定期的に更新していないテーマやプラグインのアップデート内容を確認するようにしてください。
機能追加しかしていないアップデートであれば無視しても特に問題はありませんが、セキュリティアップデートが含まれていた場合は別です。
セキュリティアップデートをせず放置した場合、セキュリティアップデートをするきっかけになった脆弱性を突かれて管理画面やデータベースに不正アクセスされる可能性があります。
その影響でデータベースが破壊されてサイトに全くアクセス出来なくなったり、ハッカーのサイトに強制的にリダイレクトされる可能性もあります。
ですので、アップデートしないからといってアップデート内容確認しないということを非常に危険です。
すぐにアップデートしている場合は関係ありませんが、どうしてもアップデートできない理由がある場合は必ず確認しておきましょう。
長期間アップデートされていないものも注意
長期間アップデートされていないテーマやプラグインは出来る限り使わないようにしましょう。
非常に便利であっても脆弱性のリスクがある限りは非常に危険です。
どうしてもそういったリスクがあるテーマやプラグインを使用したい場合は後述しているWAFを必ず導入するようにしましょう。
セキュリティ対策はできるだけやった方がいい
WordPressは世界で最も利用されているCMSのだけあり、世界中のハッカーのターゲットにされています。
また、誰でも簡単に利用でき、誰でも簡単にテーマやプラグインを開発できるからこその大きな欠点があります。
- 開発が停止していることがよくある
- セキュリティ面で問題があるテーマやプラグインも少なくない
- 脆弱性が発表されてもアップデートがされない・アップデートまで時間がかかることがある
このように、WordPressだからこその問題を抱えています。
それだけでなく、ブルートフォースアタックなどの強引に不正ログインしようとしてくる攻撃をされるかもしれません。
ですのでテーマやプラグインの更新をしっかりするだけでなく、
- セキュリティプラグインを導入して適切な設定を行う
- WAFを導入する
- Recaptchaを導入する
- 2段階認証を導入する
などの対策も本当はすべきです。
特にWAF(Web Application Firewall)の導入は非常に重要であり、万が一使用中のテーマやプラグイン脆弱性があっても、WAFを導入していると脆弱性を突かれた攻撃(クロスサイトリクエストフォージェリなど)を防げる可能性があります。
ですので、できるだけWAFは導入するようにしておきましょう。
WAFの導入が分からない場合は気軽にお問い合わせください。
セキュリティ対策に不安な場合は問い合わせください
WAFの導入を含む、Wordpressのセキュリティ対策について困っている場合は、ぜひ当サイトまでお問い合わせください。
- ブルートフォースアタックの対策をしたい
- 使用中のテーマやプラグインが安全かどうかチェックしてほしい
- ユーザー権限などその他の設定に問題がないかどうか
など、対応させていただきます。
気になる方は下記フォームかこちらのお問い合わせフォームでご相談ください。