【BreezeGroupセキュリティレポート】WordPressプラグインアップデートの重要性

BreezeGroupセキュリティレポートは、弊社で行っているセキュリティ対策や情報セキュリティに関連する情報などをまとめています。

今回は、Webページセキュリティ対策について「WordPressプラグインアップデートの重要性」についてお話しいたします。

WordPressプラグイン

WordPressは、CMS（コンテンツ・マネジメント・システム）の一種です。 HTML/CSSなどのWebページを制作する知識やスキルがなくても、 ホームページの制作や更新ができるシステムで多くの企業で広く利用されています。

初心者にも取り扱い安く、ホームページ作成後でもWebエンジニアのサポートなしで記事の公開や固定ページの更新が可能です。

WordPressの多彩な機能は「プラグイン」で実現しています。 WordPressで使用できるプラグインは、セキュリティを強化する「SiteGuard」。 SEO対策を効率的に実施できる「All in one SEO」。 お問い合わせフォームを設置する「Contact Form 7」などが挙げられます。

プラグインの脆弱性とアップデートの重要性

便利である反面、WordPressを狙ったサイバー攻撃は増加しています。 主な攻撃の狙い目は、「プラグイン」です。 これらのプラグインには、サイバー攻撃に対しての脆弱性が報告されています。

JVN iPedia 脆弱性対策情報データベースの発表では、 2023年1月～12月にかけて、約3000件のWordPressに関連する脆弱性情報がありました。（データベースでの検索結果） 報告の多くはプラグインに関連するものとなっています。

脆弱性とは、攻撃者によって悪用される可能性がある、不具合や弱点のことです。 プログラムのバグや設計上の欠陥によって引き起こされることがあります。 そのため、脆弱性を放置することは大変危険な行為です。 使用しているWordPressやWordPressプラグインは、最新の状態であることが望ましいです。

弊社の脆弱性への対策

弊社では、以下の対応を実施しています。

脆弱性情報確と対応

弊社独自の脆弱性情報への検知ツールを導入し、情報の確認と対応を行っています。脆弱性の影響がある場合は、直ちに利用停止します。脆弱性のあるプログラムの修正版が更新されたら復旧をおこないます。

WordPressおよびWordPressプラグインアップデートを実施

WordPressと各種プラグインは、不定期に機能の拡張や脆弱性の修正があり、アップデートが必要になります。自動でアップデートを実施する設定もありますが、アップデート後に予期せぬ不具合が起こることも。そのため、メジャーアップデートかマイナーアップデートかを確認して対応します。

マイナーアップデート（不具合の修正、軽微な機能追加）

テスト環境アップデート後、本番環境をアップデート。

メジャーアップデート（新機能の追加、仕様変更などの大きな更新）

テスト環境アップデート後に、動作検証を実施。
検証完了次第、本番環境アップデートをおこない、動作検証を実施します。

さいごに

最後までお読みいただきありがとうございます。
次回の配信は2024/10月を予定しております。