WordPressのプラグイン更新は要注意!便利だけど安易に入れすぎはリスク

WEB活用

From:馬場宏

川崎市溝の口のオフィスより、、、

最近では、ホームページをワードプレスなどのCMSを使って、自作する人もたくさんいます。特に、個人事業主のスタートアップでは多いです。自作ではなくて、副業やフリーランスでワードプレスのテンプレートを使って制作している人もたくさんいます。

そういう人たちが直面するのが・・・
「もっと〇〇したい」という想いです。例えば、もっと自由にレイアウトを組みたい、もっと今風に画像に動きを付けたい、もっと綺麗な表を作りたい、、、色々あるでしょう。

でも、技術的に自力で実現できない。でも、ワードプレスならプラグインで出来るかもしれないと思って検索すると、ほぼほぼ欲しいプラグインが見つかります。

しかもありがたいことに、「プラグイン名 使い方」「プラグイン名 設定方法」などで検索すると、おススメの設定方法を画面付きで丁寧に解説してくれているサイトが、これでもか!っていうくらいたくさん出てきます。

そうなると、ついついプラグインをインストールしてしまう。その気持ちはよく分かります。

でも、ワードプレスのプラグインを安易にインストールしすぎると危険です。プラグインを更新したら画面が真っ白になったり、最悪、悪意のある第三者に利用されてしまうセキュリティーリスクもあります。

1.プラグイン更新が原因で不具合が起こる可能性がある

本体とプラグイン、プラグイン同士の競合で更新で不具合が発生する可能性

たくさんプラグインを入れていて面倒なので、更新があったときにワードプレス本体の対応状況を確認せずに更新すると、本体が対応していなくて不具合が起きることがあります。他に、今まで問題なかったのに更新したことで、他のプラグインと競合が起きて不具合が発生することがあります。

どんな不具合が起きるかというと、ホームページのレイアウトが崩れたり、画像が表示されなくなったり、動きがおかしくなったり、画面が真っ白になったり、、、たくさんあります。

プラグインの数が多ければ多いほど、そうそう起こらないはずの問題が起こります。プラグインの競合は、当然、数が多ければ多いほど起こりやすくなります。

起こってしまった場合は、プラグインを1個ずつ停止して問題が解消されるか確認していくしかありません。問題のプラグインが見つかれば削除して、同様の機能があるプラグインを入れて問題がないか検証します。見つからなければ、そのプラグインで実現していた機能をあきらめるしかありません。

更新の順番が原因で不具合が発生する可能性

他にも、更新する順番で不具合が発生することもあります。

2021年にあったものだと、All in one security & firewallというプラグインの更新をWordPress本体の更新より前にやると、ログイン画面がひょうじされないというものがありました。WordPress本体を自動更新で設定すると、ある日突然ログイン画面がエラーで表示できないとなって、焦ってしまう人も多かったはずです。

こうしたプラグインの更新に伴う不具合発生を避けるためには、まず検証用の環境で確認してから本番の環境で更新をすることになります。

しかし、「検証用の環境で更新して問題ないことが確認できてから本番環境で更新する」ことができる人はほとんどいないでしょう。多分問題は起きないだろう、大丈夫に違いないと思って更新する人がほとんどだと思います。

自分で保守をする可能性があるなら、それを見越してプラグインは必要最低限で作るように依頼しなければ、問題が起きたときに自分が困ることになります。

2.更新漏れでプラグインの数だけセキュリティーリスクが発生する

インターネットの世界は常にセキュリティーの問題と向きあわなければなりません。これを避けて通ることはできません。まず、こちらをご覧ください。

これは、さくらインターネットのWebアプリケーションファイアウォールの検知ログです。ちょっとびっくりするくらいの量の攻撃をうけています。そういうものだという前提で読み進めてください。

まずプラグインとは何かというと、ワードプレスの機能を拡張するためのソフトウェアです。ソフトウェアであるということが重要です。ソフトウェアなので、プログラムの欠陥を見つけて悪さをする人がいます。ワードプレスの本体だけにセキュリティーリスクがあるのではないのです。

プラグインを自動更新に設定していなければ自分で更新する必要がありますが、しょっちゅうログインすることがなくて更新に気付くのが遅くなると、プラグインの数が多ければ多いほど更新漏れによるセキュリティーリスクが高まります

自動更新にしていたらしていたで、先述のとおり更新の順序性の問題で不具合が起きる可能性があるので、やはり手動更新の方が無難ではあります。ただ、手動更新にするのであればログイン回数を増やして、未更新の状態で放置する時間が短くなるようにすることが大切です。

インストールしたプラグインが原因でなにかセキュリティーインシデントに巻き込まれたら、あなたは対応できますか?そこまで考えてプラグインの利用規約まで読んで、問題発生時の責任まで確認できていますか?

弊社の私のメールアドレスには3、4ヶ月に1回は変なメールが届きます。
これはメールアドレスを踏み台として使われるという事象です。ドメインから会社を調べて、「こんなメールが届いているのですぐに対応した方が良いですよ」と連絡すると、とても驚かれます。

こういうことになるリスクを少しでも減らすために、プラグインは必要最低限インストールにする、更新はタイムリーにすることを強くおススメします

プラグインインストール時の注意点

更新の問題とは違う観点になってしまいますが、セキュリティーリスクを考えると、少なくとも次のようなプラグインはインストールしてはいけません。

・プラグインの最終更新日が古いもの(数ヶ月更新されていない)
・ワードプレス本体がプラグインの最新バージョンに対応していないもの

数ヶ月間更新されていないのは、機能アップや改善がない、ソフトウェアに脆弱性が発見されていない、ということかもしれません。しかし、3ヶ月とか4ヶ月も更新されていないなら、疑ってかかった方が良いかもしれません。

そもそも3ヶ月も更新されていなかったら、ワードプレス本体が対応しなくって、「使用中の WordPress バージョンで未検証」と表示されるようになると思われます。未検証というのは、セキュリティーリスクだけでなく、本体で検証できていないからプラグインが動作しないかもしれない、おかしな挙動をするかもしれない、エラーがおきるかもしれない、そういうことを意味します。

プラグインの更新はできるだけ早く対応する

繰り返しになりますが、更新はすみやかにしましょう。プラグインの更新があっても更新しないで放っている人が結構います。これは良くないです。気付いたら速やかに更新しましょう。単なる機能改善ではなく、脆弱性への対応が含まれた更新の場合もあります。それなのに更新しないということは、いつ攻撃されてもおかしくないことを意味します。

他社が制作したホームページで、スポットで対応依頼が来たときに、「プラグイン更新していないのがたくさんあるから更新した方がいいですよ」と伝えると、「プラグインって何ですか?」となることがあります。こういうところでは2年くらい更新してなかったりします。

もともとの問題は、制作会社がワードプレスで制作する以上、本体やプラグインは更新する必要があることを伝えなければいけません。保守の委託を受けていれば制作会社が更新しますが、保守の委託を受けることなく、説明もしていないケースが結構あります。

ホームページ制作時にソフトウェアはなにで作るのか?ワードプレスならプラグインは必要最低限で作るように依頼しましょう。そして、保守を委託しない場合は自分で速やかに更新をするようにしましょう。

3.プラグインの更新放置より危険かもしれないこと

自作をする人の場合は、ある意味、これが一番本質的な危険かもしれません。ホームページを作る目的が置いてきぼりになってしまうことです。まぁ危険の意味が違うものになってしまうかもしれませんが。

セキュリティーリスクとしての危険なのか、ホームページを制作した目的を達成できない危険なのか。プラグイン更新放置によるセキュリティーリスクはそれはそれでとても対策することは重要です。でも、それ以上にホームページが制作する目的を達成できるかどうか、目的を見失ってしまう危険に目を向けることが重要です。

外注する費用をかけたくない、少しでも安く作りたいということで自作をする人は、絶対に目的を見失ってはいけません。目的はホームページを作って得たい成果(売上アップ、求人応募数アップ、資料請求数アップ、問い合わせ数アップ・・・)を手に入れることであって、綺麗に作ること、格好良く作ることではないですよね。

ただ単に綺麗に格好良く作りたいだけなら、今なら10万円未満で綺麗なホームページを作ってくれる制作会社がたくさんありますので、外注した方が圧倒的に良いです。

成果につながるホームページを作ることが目的であれば中身が重要です。商品サービスを売るのは言葉です。誰にどんなメッセージをどんな言葉・表現で伝えるかでホームページで出る成果が決まります。プラグインをインストールして、いろいろ試す時間があれば、その時間を内容を考える時間にあてましょう。

自作の利点の1つは、すぐに修正できることです。
実際にお客さんと会ったり、商談したり、見込み客のリサーチをしたりする中で修正しなければいけない箇所が出てきます。それをすぐに修正し、その結果を検証するのです。自作の場合は、このプロセスをスピード感をもって対応できるのです。

それにもかかわらず、作った後も内容よりも見た目を修正するためにプラグインをインストールする人が本当に多いです。特に、まだ十分なお客さんがいないときは時間に余裕があるため、必要ではないことに手を出してしまいやすくなるので、要注意です。

ページトップへ