WordPress(ワードプレス)に複数の脆弱性が発表されました。
11月8日に公開されたWordPressの脆弱性には「クロスサイトスクリプティング」など複数の問題があるようです。Webサイトの脆弱性を突かれて攻撃スクリプトを設置されることにより閲覧者に悪影響を与えたり、メール投稿のしくみを悪用して個人情報を取得したりすることが可能になっているようです。セキュリティの深刻度を表すCVSS v3という10点満点の基準では6.1点で「警告」というかなり高いレベルです。
WordPressのバージョン6.03より以前の場合は、すみやかに最新版にアップデートしたほうがよいでしょう。
WordPressの脆弱性対策
今回のWordPressの脆弱性はCVSS v3基準で6.1点
WordPressに複数の脆弱性 クロスサイトスクリプティングで閲覧者・投稿者が影響受ける恐れ
https://www.itmedia.co.jp/news/articles/2211/08/news185.html
WordPressに複数の脆弱性、アップデートを
https://news.mynavi.jp/techplus/article/20221109-2508198/
上記のニュース記事の内容をみると今回の脆弱性はCVSS v3基準で6.1点です。これは「警告」というかなり高いレベルの脆弱性です。
国の情報処理に関する機関であるIPA(情報処理推進機構)によると、脆弱性を0から10点までの範囲でスコアづけをしています。
CVSS(Common Vulnerability Scoring System)
~脆弱性の深刻度を評価するための指標~
https://www.ipa.go.jp/security/vuln/CVSSv3.html
昨年(2021年)の11月にMovable Type(ムーバブルタイプ)で大きな影響を受けたさいのCVSS v3スコアは9.8でした。このときは、Movable Type(ムーバブルタイプ)で構築されているWEBサイトがほとんどといっていいくらい「改ざん」や「乗っ取り」などの影響を受けました。これには驚きました。ほとんど軒並みといっていいくらいの確率で影響を受けていました。あのときの悪夢が蘇りそうです。
今回のCVSS v3スコアは6.1点ということなので「警告レベル」にあたります。
「緊急」や「重要」までには至っていないのですが、だからといって放置できないレベルです。さらに脆弱性が上昇するリスクもあります。
今年2月にロシアがウクライナ侵攻を始めてからのインターネットは戦争状態であり、サイバー攻撃がいっきに10倍以上なっていると言われています。非常に危険な状況が続いていますので、WEBサイトの運用にはよりいっそう注意が必要です。
WordPressの最新版は6.1
WordPressの最新版は2022年11月に「6.1」となりました。
▼WordPressの最新版ダウンロードページ
https://wordpress.org/download/
(ここで最新版が確認できます)
WordPressを最新版にアップデートするために、通常はWordPressのダウンロードを使う必要はありません。WordPressの管理画面にログインした管理画面「ダッシュボード」に「更新」という情報マークが表示されているはずなので、その更新ボタンを押すと更新可能なバージョンが表示されています。基本的にそのボタンを押すだけで最新版に更新できます。(管理者権限がある場合)
WordPress6.1には「MISHA(ミーシャ)」というコードネームがつけられています。
https://ja.wordpress.org/2022/11/02/misha/
いくつかの先進的な機能追加もあるようですが、今回はセキュリティ面での強化という意味でアップデートしておいたほうがよいです。
PHPの最新版は8.1.6
ちなみに、WordPressはPHPというプログラムで稼働しています。そのPHPにもバージョンがあり、現在の最新バージョンは8.1.6です。当社のWEBサイトはエックスサーバーを利用していますが、PHPのバージョンは8.1.6にしています。
おそらく、WordPressを利用している多数のサイトは共有サーバーでしょう。共有サーバーだとPHPのバージョンはまだ7.xxのところが多いと思われます。共有サーバーの場合は、PHPのバージョン更新が遅めなので注意が必要です。
とくにPHPのバージョンが7.2より以前だと、すでに非推奨です。できるだけすみやかにアップデートをしたほうがよい状況です。
なぜWordPressが狙われるのか?
なぜ、WordPressの脆弱性が問題になるのか。
それはWordPressが世界で一番使われているCMS(コンテンツマネジメントシステム)だからです。一説によるとWordPressのシェアは世界の全WEBサイトの43%にものぼると言われています。
悪意を持ったハッカーたちは、効率よくハッキングをしようをします。必然的にWordPressがもっとも狙いやすくなります。
ですから、WordPressを使う立場としては、常にセキュリティの意識を高く持つ必要があります。
どのようなタイミングでアップデートするか
当社のWEBサイトは今年の夏までMovable Type(ムーバブルタイプ)で構築し運用していました。WordPressに移行したのは夏以降なのでわりと最近のことです。
そのさいに運用ルールとして決めたことは「常に最新のバージョンで運用する」という方針です。
最新のバージョンというのは、WordPressだけでなく、利用しているプラグインやテーマも含めてです。
基本的に「WordPressは自動的に最新版に更新する」という設定をしています。
サーバー回りでも、PHPのバージョンやMySQLなどのデータベースもできるだけ最新バージョンにて運用するように心がけています。
この方針は「セキュリティ優先」という意味が強いです。
WordPressのアップデートのかなりの部分はセキュリティ対策です。もちろん機能追加というような利便性向上の要素もありますが、実際のところ脆弱性のカバーのためのアップデートというケースがかなり多いです。
しかも脆弱性については発見されてもすぐに公開されないことが多いです。
それは、脆弱性が公開され修正される前にハッカーに知られるとそこを狙われるからです。
そのようなこともあり、開発側は静かに対策を進めて最新バージョンをアップデートすることが多いです。脆弱性対策についての最新版をアップデートしたことは、ハッカーに脆弱性を知らせてしまうことになります。
ということは、最新版を公開された直後がもっとも危険なタイミングではないでしょうか。
だから私はできるだけ早く最新版をアップデートするのです。
昨年のMovable Typeの脆弱性問題に直面したこともあり、いったん被害にあうと回復までに多大な労力と時間とコストを浪費することを痛感したのがおおきく影響しています。
ちなみに当社のMovable Typeには直接的な被害はありませんでしたが、被害にあった方々からの相談が多数寄せられて、その復旧に半年以上かかったり、いまだに復旧できずにサイトを閉鎖してしまったという例もあります。
以来、WEBサイトを安全に運用することの重要性を最上位においています。
アップデートを阻害するのは「デザイン性」という罠
WordPressは多様な機能があるので、デザイン性を追求することもできます。デザインに凝った場合は「テーマ」というファイル群はデザイナーが作成したオリジナルになります。このデザインの「テーマ」がちょっとした問題をはらんでいます。
WordPressや関連プラグインをアップデートすると、そのアップデートにより「テーマ」内のコードが適合しなくなることがあり、結果的にデザインが崩れてしまうことがあります。デザインが崩れてしまう理由は、これまで利用していた関数や機能のコードが変更になったり廃止になったりするからです。
デザインテーマが崩れるかもしれないから…という理由ですぐにアップデートしない。
という考えがあります。
とくに制作者側からの意見としてよく聞く話です。
ここでジレンマが発生します。
本来はアップデート案内があるたびごとに、既存のテーマのデザインが崩れないかどうかというテストをする必要があります。
WordPressのアップデートの頻度が多い理由はかなりの場合がセキュリティ向上のためです。しかもここしばらくは毎日のようにプラグインなどのアップデート案内があるくらい、アップデートの頻度が高いです。
カタチあるものはいつか壊れます。壊れないようにするためには修復したり維持したりする手間がかかります。
デザインを守るため(壊れないように、崩れないようにするため)には、アップデートをするタイミングでテストをして不具合が起きれば修正する必要が生じます。これはかなりの手間がかかります。つまり、オリジナルのデザインの場合はアップデート対応にコストが発生するということです。
ですから、オリジナルのデザインテーマを利用している場合は、一定のタイミングでしかアップデートできません。自家用車でいうと定期点検か車検のようなイメージですね。このタイミングが毎月くらいなら許容範囲かもしれませんが、1年とか2年とかという期間だと明らかに「遅い」と思われます。
アップデートできない期間が長ければ長いほど、脆弱性のリスクが高まるので、WEBサイトが改ざんされたり乗っ取られたりする可能性が高まります。
デザインが崩れないようにするために適切なアップデートができない…という状況が発生しているWEBサイトはかなり多いです。
そのような運営方針で大丈夫でしょうか?
WordPressを運用するのなら「デザインを捨てる」という決断も有効です
ここであらためて「WEBデザイン」とはなにか?と考えてみてはいかがでしょうか。
パソコンで見られるよりもスマホで見られることが多いWEBサイトで、どこまでデザインにこだわりますか?
ということです。
ユーザーがWEBサイトに求めているのはコンテンツである。と、私は考えています。
少なくとも集客を目的としたビジネスサイトはそのように運用すべきではないでしょうか。となると、WordPressで構築する情報発信サイトの場合は、「文章」が最大の価値ではないでしょうか。もちろん、オリジナルの写真や画像も重要です。
その重要なコンテンツを訴求するのが「WEBデザイン」です。
ここではざっくりとしか書きませんが、
「WEBデザイン」は、本来の「デザイン」とは別物である
と考えています。
デザインというのは日本語では適切に訳する言葉がありませんが、中国語では「設計」という表現になるようです。「設計」というのは、図面通りに作り上げる建築物や構築物のように完璧に再現されるというイメージですよね。
スマホで閲覧するWEBサイトでは、どこまで設計者の意図通りに再現されるでしょうか?
画面のサイズ、文字サイズ、発色の具合、場合によってはフォントまでが、閲覧者のほうで自由に設定できます。決定権は閲覧者側にあるということですね。
だとすると、確実に再現できるのは「文章内容」だけではないでしょうか。
であれば、「文章内容」をできるだけ、発信者の意図通りに閲覧者に伝えるというしくみが、「WEBデザイン」に求められる機能です。読む方にとって「文章内容」を読みやすく統一感をもって表現することが「WEBデザイン」には重要です。
一般的に思われてるざっくりとしたイメージの表現するための装飾行為としての「デザイン」なら、その考えは捨てたほうが「WEBデザイン」としてはよいのではないでしょうか。
「文章内容を中心にして、シンプルなコンテンツ訴求をしたい」という目的のWEBサイトならば、「デザインを捨てる」という選択もありということです。それが「デザインを捨てる」という意図です。
ここで、「デザイン」と「WEBデザイン」の違いを整理すると、
デザイン→再現性が高くデザイナーの意図どおりに表現できる→デザイナー主体
WEBデザイン→デザインの再現性は低いためコンテンツ中心に表現する→ユーザー主体
というような違いがあるのではないかと思います。
「デザインを捨てる」というのは、ユーザー中心の「WEBデザイン」するということです。
そして、WEBデザインの安定性を重視するためにも、できるだけ最新版のWordPressに更新するような運用方針が望ましいです。
WordPressのテーマは「自動更新」ができるものから選択する
ということで結論は「自動更新」できるテーマを選ぶということになります。
自動更新できるテーマとは、WordPressのダッシュボードの「外観」から選択できて、少なくともWordPressのアップデートにあわせてアップデートのテストをしてくれるというテーマです。
自動更新できるテーマなら、WordPressのアップデートにあわせて随時アップデートできます。現在、テーマにも「自動更新」という設定ができるのでそうしておくのがベターだと考えています。
セキュリティ不安がある現代において、WordPressのアップデートにあわせてタイムリーに自動更新してくれるテーマを選択すること。
それが、WEBデザインを自由にする構造であると考えています。
WordPressテーマの選び方
というわけで、WordPressのテーマの選び方についてまとめておきます。自動更新ができるという意味もわかりにくいかもしれないのでできるだけ具体的に項目を列挙しておきます。
・更新頻度が高いこと(ここは重要です)
・できるだけシンプルなデザイン構造であること
・適度なカスタマイズ性があること(自由度があること)
・スマホで閲覧したときの視認性がよいこと
つまり汎用性が高いテーマということになります。
今のところ、そのような考えで選択できる日本語対応のテーマは、
Lightning(ライトニング)
が有力候補のひとつでしょう。
他にもいくつかよいテーマはありそうですが、私自身が検証できているのはLightningだけです。
当社のサイトも現在はLightningの無料版を利用しています。
(コピーライト表示を編集するライセンスだけは購入しています)
なお、当サイトのテーマですが、2023年2月にCocoon(コクーン)に変更しました。
Lightningがいいか、Cocoonがいいか、という問題ではなくて、中長期的に安定的に使える汎用的なテーマを選択することが大事ということです。
テーマ選定の考えは、私の個人的な見解です。
WEBデザイナーさんを批判するつもりはまったくありませんので、誤解がないようにおねがいします。
この記事を書いた遠田幹雄は中小企業診断士です
遠田幹雄は経営コンサルティング企業の株式会社ドモドモコーポレーション代表取締役。石川県かほく市に本社があり金沢市を中心とした北陸三県を主な活動エリアとする経営コンサルタントです。
小規模事業者や中小企業を対象として、経営戦略立案とその後の実行支援、商品開発、販路拡大、マーケティング、ブランド構築等に係る総合的なコンサルティング活動を展開しています。実際にはWEBマーケティングやIT系のご依頼が多いです。
民民での直接契約を中心としていますが、商工三団体などの支援機関が主催するセミナー講師を年間数十回担当したり、支援機関の専門家派遣や中小企業基盤整備機構の経営窓口相談に対応したりもしています。
保有資格:中小企業診断士、情報処理技術者など
会社概要およびプロフィールは株式会社ドモドモコーポレーションの会社案内にて紹介していますので興味ある方はご覧ください。
お問い合わせは電話ではなくお問い合わせフォームからメールにておねがいします。新規の電話番号からの電話は受信しないことにしていますのでご了承ください。
【反応していただけると喜びます(笑)】
記事内容が役にたったとか共感したとかで、なにか反応をしたいという場合はTwitterやフェイスブックなどのSNSで反応いただけるとうれしいです。
遠田幹雄が利用しているSNSは以下のとおりです。
facebook https://www.facebook.com/tohdamikio
ツイッター https://twitter.com/tohdamikio
LINE https://lin.ee/igN7saM
チャットワーク https://www.chatwork.com/tohda
また、投げ銭システムも用意しましたのでお気持ちがあればクレジット決済などでもお支払いいただけます。
※投げ銭はデジタルコンテンツ購入という通販のしくみにしました。
※投げ銭は100円からOKです。シャレですので笑ってください(笑)
