最近、あるところで「セキュリティ対策を考えるとWordPressはあまり良くないと言われています」という言葉を目にしました。こういう話がどこから出ているのかは不明ですが、大いなる誤解なので説明していきたいと思います。そもそも論として「セキュリティ対策を考えるとWindowsはあまり良くないと言われています」って話にはならないですよね?それと同じ事なのです。
まずは例え話を。「100,000件のサイトで使われているCMSでサイバー攻撃に遭って被害を被ったのが1,000件」という話と「10,000件のサイトで使われているCMSでサイバー攻撃に遭って被害を被ったのが100件」と言う話。どちらが危険だと思いますか?
一見すると、前者の方が危険だよねと言う印象を受けるかと思います。でも、実際にはどちらも等しく危険なのです。被害件数に目を奪われがちですが、シェアが大きければ被害件数も多くなるのは当然ですし、考え方によっては1件でも被害が出れば危険なのだという事もできます。それと同じ事がCMSでは「WordPressは危険」という話でも、OSでは「Windowsは危険」という話でも言えるわけです。
実際、弊社では改竄されたサイトの調査を長期に渡って行ってきましたが、確かにWordPressで構築されたサイトが多いですけど、他のCMSで構築されたサイトがゼロかというと、そんな事はありませんでした。情報漏洩なんかで見るとEC-CUBEで構築されたサイトの被害が多く見られるようになります。そう言った意味では「どのCMSだから安全。どのCMSだから危険」という事は無いなという印象です。
では、被害に遭ったサイトにはCMS以外に特徴的なことはあるのでしょうか?
実はあるんです。
それは「どのサイトもCMS本体やプラグイン等のバージョンが古い」という事なんですね。要するに日々運用する上で大変重要なポイントである「ソフトウェアは最新に」が守られていないのです。それ故に、脆弱性が存在し、それを突く攻撃を受けて改竄被害や情報漏洩被害に繋がるという事なのです。
そういう実態を理解すると話は簡単ですね。「どのCMSを選ぶか」ではなく「どう運用保守していくのか」が重要なのです。とは言え、脆弱性情報はじっと待っていても入ってこないので積極的に収集する必要があります。例えば、本メルマガでも「CMSの脆弱性情報」を紹介していますが、その情報元である「Japan Vulnerability Notes」を毎日確認することは非常に重要です。情報は昼休み前後に掲載されることが多いので「毎日14時以降に確認する」みたいにルーチン化すると良いでしょう。該当するものが掲載されたときに詳細を読むと、小難しいことが書かれていて理解出来ないと思うかもしれませんが、対策方法が書かれているのでそれを読めばOKです。アップデートしろとか、使うの止めろとか書かれているだけですから誰でも理解出来ます。
結局のところ「セキュリティ対策を考えるとWordPressはあまり良くないと言われています」は正しくなく、運用保守を蔑ろにするからサイバー攻撃の被害に遭うのであって、そこを理解出来なければ、どのCMSを使っても同じ結果になるのだという事です。あと、サイバー攻撃はインターネットに接続した途端に必ず遭うものと思ってください。規模の大小やソフトウェアの種類は関係なく何らかの形で必ず遭遇します。ただ単に気が付いていないだけなのです。だからこそ日々の運用保守が大切なのだという事なのです。