ワードプレス(WordPress)

WordPressの脆弱性対策としては適切に最新版にアップデートすることが重要で、それができるテーマを選択するのがおすすめです

この記事は約12分で読めます。

WordPressの脆弱性対策WordPress(ワードプレス)に複数の脆弱性が発表されました。
11月8日に公開されたWordPressの脆弱性には「クロスサイトスクリプティング」など複数の問題があるようです。Webサイトの脆弱性を突かれて攻撃スクリプトを設置されることにより閲覧者に悪影響を与えたり、メール投稿のしくみを悪用して個人情報を取得したりすることが可能になっているようです。セキュリティの深刻度を表すCVSS v3という10点満点の基準では6.1点で「警告」というかなり高いレベルです。
WordPressのバージョン6.03より以前の場合は、すみやかに最新版にアップデートしたほうがよいでしょう。

WordPressの脆弱性対策

今回のWordPressの脆弱性はCVSS v3基準で6.1点

WordPressに複数の脆弱性 クロスサイトスクリプティングで閲覧者・投稿者が影響受ける恐れ
https://www.itmedia.co.jp/news/articles/2211/08/news185.html

WordPressに複数の脆弱性、アップデートを
https://news.mynavi.jp/techplus/article/20221109-2508198/

上記のニュース記事の内容をみると今回の脆弱性はCVSS v3基準で6.1点です。これは「警告」というかなり高いレベルの脆弱性です。

国の情報処理に関する機関であるIPA(情報処理推進機構)によると、脆弱性を0から10点までの範囲でスコアづけをしています。

CVSS(Common Vulnerability Scoring System)
~脆弱性の深刻度を評価するための指標~
https://www.ipa.go.jp/security/vuln/CVSSv3.html

昨年(2021年)の11月にMovable Type(ムーバブルタイプ)で大きな影響を受けたさいのCVSS v3スコアは9.8でした。このときは、Movable Type(ムーバブルタイプ)で構築されているWEBサイトがほとんどといっていいくらい「改ざん」や「乗っ取り」などの影響を受けました。これには驚きました。ほとんど軒並みといっていいくらいの確率で影響を受けていました。あのときの悪夢が蘇りそうです。

今回のCVSS v3スコアは6.1点ということなので「警告レベル」にあたります。

「緊急」や「重要」までには至っていないのですが、だからといって放置できないレベルです。さらに脆弱性が上昇するリスクもあります。

今年2月にロシアがウクライナ侵攻を始めてからのインターネットは戦争状態であり、サイバー攻撃がいっきに10倍以上なっていると言われています。非常に危険な状況が続いていますので、WEBサイトの運用にはよりいっそう注意が必要です。

WordPressの最新版は6.1

WordPressの最新版は2022年11月に「6.1」となりました。

▼WordPressの最新版ダウンロードページ
https://wordpress.org/download/
(ここで最新版が確認できます)

WordPressを最新版にアップデートするために、通常はWordPressのダウンロードを使う必要はありません。WordPressの管理画面にログインした管理画面「ダッシュボード」に「更新」という情報マークが表示されているはずなので、その更新ボタンを押すと更新可能なバージョンが表示されています。基本的にそのボタンを押すだけで最新版に更新できます。(管理者権限がある場合)

WordPress6.1には「MISHA(ミーシャ)」というコードネームがつけられています。
https://ja.wordpress.org/2022/11/02/misha/

いくつかの先進的な機能追加もあるようですが、今回はセキュリティ面での強化という意味でアップデートしておいたほうがよいです。

PHPの最新版は8.1.6

ちなみに、WordPressはPHPというプログラムで稼働しています。そのPHPにもバージョンがあり、現在の最新バージョンは8.1.6です。当社のWEBサイトはエックスサーバーを利用していますが、PHPのバージョンは8.1.6にしています。

おそらく、WordPressを利用している多数のサイトは共有サーバーでしょう。共有サーバーだとPHPのバージョンはまだ7.xxのところが多いと思われます。共有サーバーの場合は、PHPのバージョン更新が遅めなので注意が必要です。
とくにPHPのバージョンが7.2より以前だと、すでに非推奨です。できるだけすみやかにアップデートをしたほうがよい状況です。

なぜWordPressが狙われるのか?

なぜ、WordPressの脆弱性が問題になるのか。

それはWordPressが世界で一番使われているCMS(コンテンツマネジメントシステム)だからです。一説によるとWordPressのシェアは世界の全WEBサイトの43%にものぼると言われています。

悪意を持ったハッカーたちは、効率よくハッキングをしようをします。必然的にWordPressがもっとも狙いやすくなります。

ですから、WordPressを使う立場としては、常にセキュリティの意識を高く持つ必要があります。

どのようなタイミングでアップデートするか

当社のWEBサイトは今年の夏までMovable Type(ムーバブルタイプ)で構築し運用していました。WordPressに移行したのは夏以降なのでわりと最近のことです。

そのさいに運用ルールとして決めたことは「常に最新のバージョンで運用する」という方針です。

最新のバージョンというのは、WordPressだけでなく、利用しているプラグインやテーマも含めてです。

基本的に「WordPressは自動的に最新版に更新する」という設定をしています。

サーバー回りでも、PHPのバージョンやMySQLなどのデータベースもできるだけ最新バージョンにて運用するように心がけています。

この方針は「セキュリティ優先」という意味が強いです。

WordPressのアップデートのかなりの部分はセキュリティ対策です。もちろん機能追加というような利便性向上の要素もありますが、実際のところ脆弱性のカバーのためのアップデートというケースがかなり多いです。

しかも脆弱性については発見されてもすぐに公開されないことが多いです。
それは、脆弱性が公開され修正される前にハッカーに知られるとそこを狙われるからです。

そのようなこともあり、開発側は静かに対策を進めて最新バージョンをアップデートすることが多いです。脆弱性対策についての最新版をアップデートしたことは、ハッカーに脆弱性を知らせてしまうことになります。

ということは、最新版を公開された直後がもっとも危険なタイミングではないでしょうか。

だから私はできるだけ早く最新版をアップデートするのです。

昨年のMovable Typeの脆弱性問題に直面したこともあり、いったん被害にあうと回復までに多大な労力と時間とコストを浪費することを痛感したのがおおきく影響しています。

ちなみに当社のMovable Typeには直接的な被害はありませんでしたが、被害にあった方々からの相談が多数寄せられて、その復旧に半年以上かかったり、いまだに復旧できずにサイトを閉鎖してしまったという例もあります。

以来、WEBサイトを安全に運用することの重要性を最上位においています。

アップデートを阻害するのは「デザイン性」という罠

WordPressは多様な機能があるので、デザイン性を追求することもできます。デザインに凝った場合は「テーマ」というファイル群はデザイナーが作成したオリジナルになります。このデザインの「テーマ」がちょっとした問題をはらんでいます。

WordPressや関連プラグインをアップデートすると、そのアップデートにより「テーマ」内のコードが適合しなくなることがあり、結果的にデザインが崩れてしまうことがあります。デザインが崩れてしまう理由は、これまで利用していた関数や機能のコードが変更になったり廃止になったりするからです。

デザインテーマが崩れるかもしれないから…という理由ですぐにアップデートしない。

という考えがあります。
とくに制作者側からの意見としてよく聞く話です。

ここでジレンマが発生します。

本来はアップデート案内があるたびごとに、既存のテーマのデザインが崩れないかどうかというテストをする必要があります。

WordPressのアップデートの頻度が多い理由はかなりの場合がセキュリティ向上のためです。しかもここしばらくは毎日のようにプラグインなどのアップデート案内があるくらい、アップデートの頻度が高いです。

カタチあるものはいつか壊れます。壊れないようにするためには修復したり維持したりする手間がかかります。

デザインを守るため(壊れないように、崩れないようにするため)には、アップデートをするタイミングでテストをして不具合が起きれば修正する必要が生じます。これはかなりの手間がかかります。つまり、オリジナルのデザインの場合はアップデート対応にコストが発生するということです。

ですから、オリジナルのデザインテーマを利用している場合は、一定のタイミングでしかアップデートできません。自家用車でいうと定期点検か車検のようなイメージですね。このタイミングが毎月くらいなら許容範囲かもしれませんが、1年とか2年とかという期間だと明らかに「遅い」と思われます。

アップデートできない期間が長ければ長いほど、脆弱性のリスクが高まるので、WEBサイトが改ざんされたり乗っ取られたりする可能性が高まります。

デザインが崩れないようにするために適切なアップデートができない…という状況が発生しているWEBサイトはかなり多いです。

そのような運営方針で大丈夫でしょうか?

WordPressを運用するのなら「デザインを捨てる」という決断も有効です

ここであらためて「WEBデザイン」とはなにか?と考えてみてはいかがでしょうか。

パソコンで見られるよりもスマホで見られることが多いWEBサイトで、どこまでデザインにこだわりますか?

ということです。

ユーザーがWEBサイトに求めているのはコンテンツである。と、私は考えています。
少なくとも集客を目的としたビジネスサイトはそのように運用すべきではないでしょうか。となると、WordPressで構築する情報発信サイトの場合は、「文章」が最大の価値ではないでしょうか。もちろん、オリジナルの写真や画像も重要です。

その重要なコンテンツを訴求するのが「WEBデザイン」です。

ここではざっくりとしか書きませんが、
「WEBデザイン」は、本来の「デザイン」とは別物である
と考えています。

デザインというのは日本語では適切に訳する言葉がありませんが、中国語では「設計」という表現になるようです。「設計」というのは、図面通りに作り上げる建築物や構築物のように完璧に再現されるというイメージですよね。

スマホで閲覧するWEBサイトでは、どこまで設計者の意図通りに再現されるでしょうか?

画面のサイズ、文字サイズ、発色の具合、場合によってはフォントまでが、閲覧者のほうで自由に設定できます。決定権は閲覧者側にあるということですね。

だとすると、確実に再現できるのは「文章内容」だけではないでしょうか。

であれば、「文章内容」をできるだけ、発信者の意図通りに閲覧者に伝えるというしくみが、「WEBデザイン」に求められる機能です。読む方にとって「文章内容」を読みやすく統一感をもって表現することが「WEBデザイン」には重要です。

一般的に思われてるざっくりとしたイメージの表現するための装飾行為としての「デザイン」なら、その考えは捨てたほうが「WEBデザイン」としてはよいのではないでしょうか。

「文章内容を中心にして、シンプルなコンテンツ訴求をしたい」という目的のWEBサイトならば、「デザインを捨てる」という選択もありということです。それが「デザインを捨てる」という意図です。

ここで、「デザイン」と「WEBデザイン」の違いを整理すると、

デザイン→再現性が高くデザイナーの意図どおりに表現できる→デザイナー主体

WEBデザイン→デザインの再現性は低いためコンテンツ中心に表現する→ユーザー主体

というような違いがあるのではないかと思います。

「デザインを捨てる」というのは、ユーザー中心の「WEBデザイン」するということです。

そして、WEBデザインの安定性を重視するためにも、できるだけ最新版のWordPressに更新するような運用方針が望ましいです。

WordPressのテーマは「自動更新」ができるものから選択する

ということで結論は「自動更新」できるテーマを選ぶということになります。

自動更新できるテーマとは、WordPressのダッシュボードの「外観」から選択できて、少なくともWordPressのアップデートにあわせてアップデートのテストをしてくれるというテーマです。

自動更新できるテーマなら、WordPressのアップデートにあわせて随時アップデートできます。現在、テーマにも「自動更新」という設定ができるのでそうしておくのがベターだと考えています。

セキュリティ不安がある現代において、WordPressのアップデートにあわせてタイムリーに自動更新してくれるテーマを選択すること。

それが、WEBデザインを自由にする構造であると考えています。

WordPressテーマの選び方

というわけで、WordPressのテーマの選び方についてまとめておきます。自動更新ができるという意味もわかりにくいかもしれないのでできるだけ具体的に項目を列挙しておきます。

・更新頻度が高いこと(ここは重要です)
・できるだけシンプルなデザイン構造であること
・適度なカスタマイズ性があること(自由度があること)
・スマホで閲覧したときの視認性がよいこと

つまり汎用性が高いテーマということになります。

今のところ、そのような考えで選択できる日本語対応のテーマは、
Lightning(ライトニング)


が有力候補のひとつでしょう。

他にもいくつかよいテーマはありそうですが、私自身が検証できているのはLightningだけです。
当社のサイトも現在はLightningの無料版を利用しています。
(コピーライト表示を編集するライセンスだけは購入しています)

なお、当サイトのテーマですが、2023年2月にCocoon(コクーン)に変更しました。

当サイトのデザインテーマをコクーン(WordPressのCocoon)に変更しました
当サイトのワードプレス(WordPress)のデザインテーマをコクーン(Cocoon)に変更しました。これまではライトニング(Lightning)というテーマを利用していましたので見え方が少し変わってきます。 テーマを変更した理由は、ユーザーがスマホで表示した場合の閲覧性を高めるためです。ライトニングよりコクーンのほうがスマホでの表示設定を容易に変更できました。また、カスタマイズもしやすく動作も安...

Lightningがいいか、Cocoonがいいか、という問題ではなくて、中長期的に安定的に使える汎用的なテーマを選択することが大事ということです。

テーマ選定の考えは、私の個人的な見解です。
WEBデザイナーさんを批判するつもりはまったくありませんので、誤解がないようにおねがいします。