WordPressの脆弱性の種類とリスクとは?
事例・対策を徹底解説

無料で利用できるオープンソース(※1)型のCMS(コンテンツ管理システム)として人気が高い「WordPress」。多くの人に利用されている一方で、脆弱性のリスクについて指摘されており、利用に不安を感じている人もいるようです。この記事では、WordPressの脆弱性や被害事例、対策方法などについて解説します。

※1 オープンソース:システム全体のソースコードが公開されているソフトウェアのこと。

今回のお悩み
WordPressの脆弱性について、詳しいことは理解できていない。どのような種類の脆弱性があるのか、どのような対策をすれば安全に使えるのかを知りたい。

私が解説します!
WordPressの脆弱性とは何か、その種類と対策の必要性について詳しく解説します。実際のサイバー攻撃の事例から原因や被害を知るとともに、脆弱性への対策方法なども理解しましょう。

( 1 ) WordPressの脆弱性とは?

WordPressとは?

WordPressは、誰もが簡単にブログやWebサイトを制作・運営できるオープンソース型のCMSです。WordPressは無料で利用できるCMSの代表格であり、プログラミングの知識がなくても自由にカスタマイズができるため、世界中で広く利用されています。日本ではCMS全体の80%以上、世界でも40%以上と圧倒的なシェアを誇っています。

参照:w3techs「Usage statistics of content management systems」 「Distribution of content management systems among websites that use Japanese」

WordPressの脆弱性

WordPressの脆弱性とは、WordPressを構成するプログラムやツールの不具合、設計ミスが原因で発生するセキュリティ上の欠陥を指します。WordPressはソースコードが公開されているため、悪意ある第三者がソースコードから脆弱性を見つけ、サイバー攻撃を仕掛けてくる可能性があります。特に市場シェア率が高いWordPressの場合、多くのユーザーが標的対象になりやすく、サイバー攻撃による被害が大きくなるリスクがあります。

( 2 ) WordPressの脆弱性の主な種類

WordPressの脆弱性は、「WordPress本体の脆弱性」と「テーマやプラグインに関する脆弱性」の2種類が挙げられます。

WordPress本体の脆弱性

WordPressを構成するプログラム自体にある不具合を指します。すでに多くの脆弱性が報告されており、修正するセキュリティアップデートも可能な範囲で提供されています。しかし、まだ発見されていない、または修正プログラムが完成していない脆弱性については、常にゼロデイ攻撃(※2)のリスクにさらされています。

テーマやプラグインに関する脆弱性

WordPressには、テーマと呼ばれる複数のテンプレートファイルがあり、変更するだけでWebサイト全体のデザインや構成を変えることができます。一方、プラグインとは「機能拡張」を意味します。WordPressは標準搭載の機能が最低限に抑えられており、用途に合わせてプラグインで機能を拡張します。
WordPressの脆弱性の多くは、このテーマやプラグインで発生しやすいと言われています。テーマやプラグインは、開発元ではない第三者も開発や提供をしています。公式に認定されているものは確認・検証が行われるため、脆弱性情報の公開や修正プログラムの提供が比較的早く行われます。しかし、非公式なものは安全性や脆弱性の対応にばらつきがあるため、注意が必要です。

※2 ゼロデイ攻撃:OSやソフトウェアの脆弱性を狙って、修正が行われる日(ワンデイ)より前(ゼロデイ)に行われる攻撃。

( 3 ) WordPressの脆弱性を狙った事例

WordPressのセキュリティ対策やサイト管理が十分でない場合、不正アクセスによるWebサイトの改ざんや情報漏洩など、さまざまなリスクが発生します。実際に起こったサイバー攻撃の事例を紹介します。

【事例01】アップデート漏れによる不正アクセス

2021年、WordPressで作成した企業のWebサイトが不正アクセスによって改ざんされ、ユーザーがそのサイトにアクセスすると、偽の外部サイトに誘導される状態になっていました。WordPress本体が最新の状態にアップデートされていなかったため、脆弱性が狙われたことが原因です。
情報の流出はありませんでしたが、この被害を受けて同社では、WordPressを常に最新の状態にアップデートすることに加え、WAF(※3)を導入する方針を決定しました。

【事例02】大量のスパムメール送信の「踏み台」に

2017年、女性向けファッション事業を運営する企業のWebサイトが、不正アクセスの被害を受けました。プラグインによるメール機能を悪用され、大量のスパム(迷惑)メールを送信する「踏み台」にされました。これは、テスト環境としてインストールし、アップデートしないまま放置していたプラグインの脆弱性を突いた攻撃によるものです。 同社は被害発生後、当該サーバのファイルをすべて削除・初期化し、再構築を行いました。

※3 WAF:「Web Application Firewall」の略。Webアプリケーションの脆弱性を狙った攻撃からWebサイトを守る。

( 4 ) WordPressの脆弱性への対策

WordPressは誰もが簡単に利用できる便利なツールですが、安心・安全に利用するためには脆弱性への対策が重要です。ここでは効果的な対策を3つ紹介します。

WordPressの脆弱性への対策

本体およびテーマ、プラグインを最新状態に保つ

脆弱性に関する多くの問題は、最新のバージョンにアップデートすることで解決できます。アップデートにはセキュリティ上の改善や強化なども含まれているため、WordPress本体だけでなく、テーマやプラグインも常に最新状態に保つことが大切です。

アップデートされないテーマやプラグインは要注意

長期間アップデートされていないテーマやプラグインには、修正されていない脆弱性が潜んでいる可能性があり、サイバー攻撃に悪用されるリスクがあります。便利な機能であっても使用は避けた方がよいでしょう。

使わないテーマ・プラグインは削除

使用していないテーマやプラグインをインストールしたまま放置すると、サイバー攻撃の標的になるリスクがあります。WordPressを安全に使用するため、定期的にチェックを行い、不要なものは削除しましょう。

( 5 ) 一般的なセキュリティ対策の必要性

どのようなソフトウェアも、ゼロデイ攻撃に代表される未知の脆弱性と無縁ではありません。WordPressも例外ではなく、攻撃を完全に防ぐことは困難です。そのため、予防策と合わせて、攻撃を受けた場合を想定したセキュリティ対策を講じる必要があります。セキュリティ対策のためのツールは多種多様ですが、コストパフォーマンスのよさを考えると1台で多層防御が可能なUTM(※4)の導入がおすすめです。さらに、定期的な脆弱性診断を実施し、安全であるかを確認することもセキュリティ強化に有効です。

※4 UTM:「Unified Threat Management」の略。1台に複数のセキュリティ機能を備えた統合的なシステムのこと。

( 6 ) まとめ

今回は、WordPressの脆弱性や、事例・対策などについて解説しました。WordPressの脆弱性はテーマやプラグインで発生しやすいため、本体だけでなくテーマやプラグインのアップデートも必要です。また、より安全にWordPressを利用するためには、一般的なセキュリティ対策が有効であることもご理解いただけたのではないでしょうか。
便利なツールを安全かつ適切に使用するためには、セキュリティ対策は欠かせません。SAXA DX-Naviでは、サイバーセキュリティの最新事例と対策をまとめた資料をはじめ、さまざまなお役立ち資料をご提供しています。自社のセキュリティ強化にぜひご活用ください。

経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。

お役立ち資料一覧はこちら