ワードプレスの本体、テーマ、プラグインは稀に脆弱性が明らかになり、その製作者様がセキュリティー向上のためにアップデートを公開しますが、アップデートを行うことによってサイトに不具合が出ることもあります。サイトに不具合が出るため、アップデートをしないように運営会社様に禁止されている事例もございます。
このジレンマは常にワードプレスの運営について回ります。どのように対処したらいいかを解説いたします。


ワードプレスのセキュリティー向上のためのアップデート

ワードプレスがハッキングされ、改ざんされる原因は、その半分以上がプラグイン等の脆弱性を利用されることによって起こります。

ゆえに、多くのサイトではセキュリティー向上のためにプログラム更新を常に行うというのが必ず書いてあります。

ワードプレス本体は、デフォルトの状態で、セキュリティーパッチが自動で当たるようになっていますが、プラグインやテーマは、プログラム全体の更新と、セキュリティーパッチのアップデートが区別されず、更新すると機能向上や変更も含めて適応されてしまうため、他のテーマやプラグインとの整合性が崩れ、サイトの不具合を起こす可能性があるところが難しいところです。

不具合を起こさずプラグインを更新するためのテストサイトの利用

こういった場合、不具合を起こさずにプラグインを更新をする方法としてテストサイトの構築を行い、そちらで更新を適応してみて、不具合を確認・修正の上、更新を適応するという方法がございます。

ワードプレスドクターでは、専門家がこの作業を代行いたしますことも可能です。

脆弱性を調べて、そのプラグインだけを更新する

また、脆弱性が既知となっている危険なプラグインを調べて、そのプラグインだけを更新するという方法もございます。
ワードプレスのプラグイン全体を最新に保つ事より、安全性は多少落ちますが、多くのハッキング行為は、著名な脆弱性を次々に機械的に検査して突破するツールを利用されて行われますので、この方法でも侵入を防ぐかなり有効な手立てとなります。

プラグインの脆弱性を調べるには、wpscanという脆弱性の大きなデータベースより
https://wpscan.com/plugins
で自サイトのインストールプラグインを検索して、調べる方法がございます。

ただ、wpscanの脆弱性データベースには、サイトの改ざんまでに至る危険度の高い脆弱性以外にも、軽度なあらゆる脆弱性が網羅されているため、こちらで脆弱性のあるプラグインを利用していたからといって直ちに改ざんの危険があるというわけではございません。

重要なのは、脆弱性を利用することによってハッカーがどのような不正な活動を可能となるかという部分でございます。

また、【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] をご利用いただくことで最も危険性の高い改ざん等に利用される可能性のある脆弱性だけの検査を無料で一度実施いただけます。

テーマは更新するべき?

テーマは、製作者様や、サイト独自の拡張が含まれていることが多く、更新するとデザインが消えてしまったり、サイトが表示されなくなるという問題がプラグインより起こりやすいです。

また、テーマの製作者は、その更新により、機能自体をガラッと変えたりレイアウトの変更を伴うような変更を加えることが多いため、テーマの更新は子テーマを利用していたとしてもプラグインより更新のハードルが高く、ワードプレスドクターでも更新はあまりお勧めしていません

幸いにも、独自制作のテーマや日本のメーカーがリリースしているテーマは、ハッカーによって脆弱性が解析されておらず、テーマそのものの脆弱性が利用されることは日本においては少ないです。

テーマの脆弱性で危険性が高い場合は?

ただ、海外製のテーマかつ非常に普及しているテーマをサイトに利用している場合、その脆弱性がハッカーによって解析されていて既知となっているのであれば、突破されて改ざんされる危険性が高くなります。

この事例に当てはまる場合は、下記のような手段がセキュリティーの向上として有効となるかと存じます。

・前述と同様のテストサイトの利用による更新確認
・テーマの脆弱性だけをふさぐプログラムを独自制作し適応する
・テーマのフォルダ名を変えて、Dorkを防ぐ
・テーマのフォルダ全体を書き込み不可のパーミッションに変える

WordPress ワードプレスのマルウェア駆除・セキュリティー向上・アップデートのご依頼ご相談はWPドクターまでお気軽にお送りください