クライアント様からワードプレスの「テーマのアップデート」はセキュリティー上重要かというご質問をいただきましたので、こちらについて解説したく思います。
結論から言いますと当社ではワードプレスのテーマのアップデートは不具合が出る可能性が高く、セキュリティー上の懸念もプラグインほど大きくないことからアップデートは慎重にされた方がよいと考えております。
ワードプレスのテーマを不用意にアップデートすると不具合やレイアウト崩れが出やすい
ワードプレスのテーマは、結構な割合で、functions.phpやStyle.cssなどのファイルがカスタマイズ(改造)されていたりします。
こちらをアップデートすると、そのカスタマイズ部分が消えてしまい、レイアウト崩れや、機能が無くなってしまったりして、サイトが表示不全になることがございます。
また、子テーマを使用されていたとしても、テーマの制作者が、そのデザインや機能を大幅に変えることがあります。(おそらくテーマ製作者はデザインベースで考えるため、テーマの機能の後方互換にそれほど注意を払わない場合があるからと考えられます)
こういった場合にも、子テーマと本テーマの間の互換性が切れてしまい、レイアウト崩れや機能不全が起こることがあります。
この為、テーマのアップデートをされる場合は、バックアップを取って慎重に行うか、テストサイトを用意してそちらでアップデートをしてまずお試しいただくことをお勧めいたします。
テーマをアップデートしなくてもセキュリティー上問題ない?
テーマにおいても脆弱性が出る場合がございますが、その数はプラグインに比べ少ないといえます。
例えば、下記の画像はNISTの脆弱性データベースでテーマの危険性の高いスコア(中以上)の脆弱性を検索したものですが、221しか出てきませんでした。
ワードプレスのテーマで日本製のものやオリジナルなテーマで脆弱性を利用される確率はかなり低く(ハッカーは最も簡単に侵入できるサイトを総あたりで探すためです)、よっぽど普及している海外製テーマを使用されていない限り、テーマの制作者様が脆弱性に関する注意喚起を行っていないのであれば、脆弱性を過度に心配される必要はないかと考えます。
ただ、海外製テーマ(ワードプレス公式のもの)で普及しているテーマは幾分注意が必要と考えられます。ハッカーがこのようなテーマをよく研究して脆弱性を見つけ出すことがあるからです。
とくにワードプレスの公式のテーマTwenty系をカスタマイズしてお使いの場合は子テーマ化して、アップデート前にバックアップを取っていただいた上で、こまめなアップデートをされた方が安心かと存じます。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
WordPress ワードプレスのマルウェア駆除・セキュリティー対策、テストサイト作成、アップデート等のご依頼・ご相談はワードプレスドクターまでお気軽にお送りください