WordPressのセキュリティ分析：実際の安全性は？

WordPressは安全ですか？特にWordPressがオープンソースのプラットフォームであることを知っている場合、多くの新規ユーザーがこの質問をします。今日はその質問にデータでお答えします。

WordPressのコア、テーマ、プラグインのセキュリティ、ログイン情報の保護、ホスティングサービスのセキュリティに関する統計情報やレポートを見ていきます。

私の目標は、WordPressの全体的なセキュリティ体制を理解するだけでなく、潜在的なリスクのある場所を理解し、それらに対処するための対策を講じることができるようにすることです。

ワードプレス：ハッカーの格好の標的？

地面W3Techsのデータでは、WordPressの使用率は43.31 TP3Tであり、これはWordPressを使用している世界中のウェブサイトの割合を示す数字です。このパーセンテージは、コンテンツ管理システム市場におけるWordPressのシェアではなく（その方が高いでしょう）、ウェブ上のすべてのウェブサイトにおけるシェアであることに注意してください。

もちろん、WordPressのウェブサイトは、その数の多さからハッカーの主要な標的となっています。によるとスクリ 2022年の調査では、感染したほぼすべてのウェブサイトのうち96.21 TP3TがWordPressを使用していることが報告されています。これは、WordPress ウェブサイトのセキュリティは、攻撃から保護するために特別な注意が必要であることを意味します。

WordPress自体が安全ではないのですか？

WordPressサイトがハッカーの主な標的になっているという統計を聞くと、WordPressのセキュリティが十分でないと思うかもしれません。しかし実際は、WordPressが攻撃の対象となるのは、主にWordPressが非常に人気があり、広く使用されているためで、ハッカーにとっては好都合なターゲットなのです。結局のところ、何億ものウェブサイトがあるプラットフォームを攻撃する方が、はるかに利用者の少ないプラットフォームを攻撃するよりもはるかに効率的なのです。毎年多くのWordPressサイトがハッキングされているのは事実ですが、こうした攻撃の多くは実は回避可能なものです。問題は、WordPress自体が安全でないことではなく、多くのウェブマスターがサイトを保護するために必要なセキュリティ対策を講じていないことです。簡単に言えば、ウェブサイトを保護する方法を知ることで、これらの攻撃を効果的に防ぐことができます。

1.ワードプレスのバージョン問題分析

WordPressのセキュリティを理解するために、WordPressのコアソフトウェア自体のセキュリティ統計から始めましょう。ハッキングされたWordPressサイトの多くは、最新バージョンにアップデートされていないことが判明しています。Sucuriのレポートによると、2022年までに、マルウェアに感染したWordPressサイトの半数以上が古いバージョンで運営されるようになるとのことです。このことは、既知の脆弱性を防ぐためにWordPressサイトを更新し続けることの重要性を強調しています。

古いバージョンのコンテンツ管理システムには、セキュリティ上の脆弱性があることが公表されています。したがって、これらのバージョンでウェブサイトを運営し続けることは、これらのセキュリティの脆弱性を利用するために誰かを招待しているようなものです。

実際、WordPress で最もセキュリティ上の問題が発生したのは、4.0 より前のバージョンでした。それ以降、脆弱性の数は着実に減少しており、WordPress サイトのアップデートの重要性が浮き彫りになっています。

地面WordPress.org 追跡対象となったサイトで稼働しているWordPressのバージョンは、最新バージョンを使用すると約67%となり、大半がWordPress 4.0以降で稼働していることがわかります。

WordPressバージョン5.6で導入された自動アップデート機能は、ウェブサイトのメンテナンス方法を変えました。ウェブサイトが自動的に WordPress の最新バージョンをインストールするため、ユーザーは手動で更新ボタンをクリックする必要がなくなりました。この変更により、ウェブサイトが常に最新で最も安全なバージョンのソフトウェアを実行していることが保証されるため、セキュリティ侵害のリスクが軽減され、ウェブサイトの安全性を維持するのに役立ちます。

2.WordPressセキュリティインフラ分析

WordPressサイトの更新頻度が低いユーザーもいるかもしれませんが、WordPressのセキュリティチームは生産性を維持し、各リリースでセキュリティ問題を迅速に特定して修正しています。23件の脆弱性を修正しました。

WordPressエコシステムのプラグインとテーマも警戒を怠らず、セキュリティの脆弱性を迅速に修正しました。例えば、ページビルダーの Elementor は深刻なセキュリティ問題を修正し、フォームプラグインの Ninja Forms は WordPress.org から強制アップデートを受け、バックアッププラグインの BackupBuddy はリスクの高いセキュリティ脆弱性を解決し、ユーザーにアップデートを配布しました。これらの措置は、WordPress コミュニティの迅速な対応とセキュリティ維持へのコミットメントを示しています。

他のソフトウェアと同様に、WordPressもセキュリティ問題に直面していますが、WordPressにはそれらを迅速に解決する強力なメカニズムがあります。しかし、最大の課題は、ユーザーにこれらのセキュリティアップデートや解決策を採用してもらうことです。

3.WordPressのテーマとプラグインのセキュリティ分析

WordPressエコシステムにおける脆弱性の大部分はプラグインに起因しており、報告された脆弱性のうち92%がプラグインに起因しています。対照的に、WordPress のコアとテーマは問題のごく一部にすぎません。最も人気のあるウェブサイト構築プラットフォームとして、WordPressは多くのプラグインを提供しており、その多くは無料です。このことは、ウェブサイトの所有者がプラグインを慎重に管理し、セキュリティのベストプラクティスを遵守することの重要性を浮き彫りにしています (ホスティンガー ).

その結果、ウェブサイトに追加するすべてのプラグインやテーマがハッカーの侵入口になる可能性があります。これらの拡張機能は異なる開発者によって作られており、WordPress のコアのような厳格なセキュリティテストを受けていない可能性があります。また、開発者が製品を更新しなくなることもあり、プラグインやテーマが古くなり、セキュリティ上のリスクが高まります。

そのため、WordPressのセキュリティ問題ではプラグインとテーマが大きな役割を果たしますが、特にプラグインが重要です。によるとWPSスキャンのデータは、WordPressのセキュリティ脆弱性の大部分を占めています。

もちろん、フリープラグインのセキュリティは問題です。

このような問題を避けるにはどうすればいいのでしょうか？

プラグインとテーマを最新の状態に保ち、メンテナンスすること 人気のあるプラグインやテーマは、多くのハッキング攻撃の原因でもあります。例えば Sucuri のレポートによると、最も脆弱な WordPress コンポーネントの中には Contact Form 7、Freemius Library、WooCommerce の古いバージョンが含まれています。

4.ログイン情報のセキュリティ分析

ログイン情報のセキュリティは、ウェブサイトがハッキングされるのを防ぐための重要な要素です。単純なユーザー名とパスワードはクラックされるリスクを高め、ウェブサイトは総当たり攻撃やクラッシュ攻撃にさらされやすくなります。サイト自体やプラグインが最新にアップデートされていても、ハッカーがサイトにフルアクセスすれば、自由に操作されてしまいます。スクリの調査によると、2022年に感染したウェブサイトの3分の1以上で悪意のあるWordPress管理者アカウントの埋め込みが確認されており、ログインセキュリティの重要性が明らかになりました。

ユーザーが直接コントロールできる分野のひとつに、ログイン情報のセキュリティがあります。例えば、WordPressには安全なパスワードを自動生成する機能があり、利用する価値は十分にあります。さらに、ホスティングやFTPなど、サイト上の他のアカウントについても同様のセキュリティ対策を講じる必要があります。また、ログイン試行回数を制限したり、二要素認証を使用したりすることで、ログインページのセキュリティをさらに強化することができます。これらはシンプルですが、ウェブサイトのセキュリティを向上させる効果的な方法です。

5.ホスティング・セキュリティ分析

ホスティング環境とその中の技術も、セキュリティ、特にWordPressを実行するPHPのバージョンにおいて重要な役割を果たします。例えば、PHP 7 は、その前身である PHP 5 よりも優れたセキュリティ機能を導入しています。

WordPressは、異なるバージョンのスピードテストにおいて、新しいバージョンのPHPでより良いパフォーマンスを発揮します。

WordPressのセキュリティまとめ：
完全に安全なCMSシステムというものは存在しませんが、WordPressのセキュリティは一般的にかなり優れています。いくつかの問題はありますが、その多くは積極的に対処されています。サイトのセキュリティをさらに強化するには、WordPress、プラグイン、テーマを最新の状態に保つ、信頼できるソースからの拡張機能のみを使用する、強力なパスワードを使用する、ファイアウォールやCDNの使用を検討する、ログイン試行を制限する、サイトトラフィックにSSL証明書の暗号化を使用する、PHPのバージョンを最新に保つホスティングを選択するなどのベストプラクティスに従うことができます。これらの推奨事項に従うことで、WordPress サイトのセキュリティ性能が向上します。