WordPressのプラグインは便利だけど、安易に入れすぎるのは超危険!

WEB活用

From:馬場宏
川崎市溝の口のオフィスより、、、

最近では、ホームページをワードプレスなどのCMSを使って、自作する人もたくさんいます。特に、個人事業主のスタートアップでは多いです。自作ではなくて、副業やフリーランスでワードプレスのテンプレートを使って制作している人もたくさんいます。

そういう人たちが直面するのが・・・
「もっと〇〇したい」という想いです。例えば、もっと自由にレイアウトを組みたい、もっと今風に画像に動きを付けたい、もっと綺麗な表を作りたい、、、色々あるでしょう。

でも、技術的に自力で実現できない。でも、ワードプレスならプラグインで出来るかもしれないと思って検索すると、ほぼほぼ欲しいプラグインが見つかります。

しかもありがたいことに、「プラグイン名 使い方」「プラグイン名 設定方法」などで検索すると、おススメの設定方法を画面付きで丁寧に解説してくれているサイトが、これでもか!っていうくらいたくさん出てきます。

そうなると、飛びついてプラグインをインストールしてしまう。その気持ちはめちゃくちゃよく分かります。

でも、ワードプレスのプラグインを安易にインストールしすぎると危険です。最悪あなたが悪意のある第三者に利用されてしまうセキュリティーリスクもあります。実際にどんな危険があるのかお伝えします。

1.プラグインの数だけセキュリティーリスクが発生する

まず最初の理由は、セキュリティーリスクです。
インターネットの世界は常にセキュリティーの問題と向きあわなければなりません。これを避けて通ることはできません。まず、こちらをご覧ください。

これは、さくらインターネットのWebアプリケーションファイアウォールの検知ログです。ちょっとびっくりするくらいの量の攻撃をうけています。そういうものだという前提で読み進めてください。

まずプラグインとは何かというと、ワードプレスの機能を拡張するためのソフトウェアです。ソフトウェアであるということが重要です。ソフトウェアなので、プログラムの欠陥を見つけて悪さをする人がいます。ワードプレスの本体だけにセキュリティーリスクがあるのではないのです。

ということは、プラグインの数が多ければ多いほど、セキュリティーリスクが高まります

ワードプレスの公式プラグインだから大丈夫なんてことはありません。公式か非公式かなんて関係ありません。ソフトウェアである以上、セキュリティーリスクは常にあります。そもそもワードプレス本体だってそうなのですから。

インストールしたプラグインが原因でなにかセキュリティーインシデントに巻き込まれたら、あなたは対応できますか?そこまで考えてプラグインの利用規約まで読んで、問題発生時の責任まで確認できていますか?

弊社の私のメールアドレスには3、4ヶ月に1回は変なメールが届きます。
これはメールアドレスを踏み台として使われるという事象です。ドメインから会社を調べて、「こんなメールが届いている」と連絡すると、とても驚かれます。

「どうすればいいですか?」と連絡した私に聞かれる方もいますが、どうやって作っているか分からないので、ホームページを制作した会社に対応してもらってください、としか言いようがありません。

こういうことになるリスクを少しでも減らすために、プラグインは必要最低限インストールすることを強くおススメします

プラグインインストール時の注意点

セキュリティーリスクを考えると、少なくとも次のようなプラグインはインストールしてはいけません。

・プラグインの最終更新日が古いもの(数ヶ月更新されていない)
・ワードプレス本体がプラグインの最新バージョンに対応していないもの

数ヶ月間更新されていないのは、機能アップや改善がない、ソフトウェアに脆弱性が発見されていない、ということかもしれません。しかし、3ヶ月とか4ヶ月も更新されていないなら、疑ってかかった方が良いかもしれません。

そもそも3ヶ月も更新されていなかったら、ワードプレス本体が対応しなくって、「使用中の WordPress バージョンで未検証」と表示されるようになると思われます。未検証というのは、セキュリティーリスクだけでなく、本体で検証できていないからプラグインが動作しないかもしれない、おかしな挙動をするかもしれない、エラーがおきるかもしれない、そういうことを意味します。

プラグインの更新はできるだけ早く対応する

結構プラグインの更新があっても更新しないで放っている人がいます。これは良くないです。気付いたら速やかに更新しましょう。単なる機能改善ではなく、脆弱性への対応が含まれた更新の場合もあります。それなのに更新しないということは、いつ攻撃されてもおかしくないことを意味します。

他社が制作したホームページで、スポットで対応依頼が来たときに、「プラグイン更新していないのがたくさんあるから更新した方がいいですよ」と伝えると、「プラグインって何ですか?」となる会社・人があります。こういうところでは2年くらい更新してなかったりします。

もともとの問題は、制作会社がワードプレスで制作する以上、本体やプラグインは更新する必要があることを伝えなければいけません。保守の委託を受けていれば制作会社が更新しますが、保守の委託を受けることなく、説明もしていないケースが結構あります。

ホームページ制作時にソフトウェアはなにで作るのか?ワードプレスならプラグインは必要最低限で作るように依頼しましょう。そして、保守を委託しない場合は自分で速やかに更新しましょう。

2.プラグイン更新が原因で表示に不具合が起こる可能性がある

たくさんプラグインを入れていて面倒なので、更新があったときにワードプレス本体の対応状況を確認せずに更新すると、本体が対応していなくて不具合が起きることがあります。他に、今まで問題なかったのに更新したことで、他のプラグインと競合が起きて不具合が発生することがあります。

どんな不具合が起きるかというと、ホームページのレイアウトが崩れたり、画像が表示されなくなったり、動きがおかしくなったり、画面が真っ白になったり、、、たくさんあります。

検証用の環境で更新して問題ないことが確認できてから本番環境で更新する、ということができる人はほとんどいないでしょう。多分大丈夫だろう、そうそう問題なんて起こらないと思って更新する人がほとんどだと思います。

プラグインの数が多ければ多いほど、そうそう起こらないはずの問題が起こります。プラグインの競合なんて、当然、数が多ければ多いほど起こりやすくなります。

起こってしまった場合は、プラグインを1個ずつ停止して問題が解消されるか確認していくしかありません。問題のプラグインが見つかれば削除して、同様の機能があるプラグインを入れて問題がないか検証します。見つからなければ、そのプラグインで実現していた機能をあきらめるしかありません。

自分で保守をする可能性があるなら、それを見越してプラグインは必要最低限で作るように依頼しなければ、問題が起きたときに自分が困ることになります。

3.中身を考えるのよりプラグインで出来ることが楽しくなる

自作をする人の場合は、ある意味、これが一番本質的な危険かもしれません。ホームページを作る目的が置いてきぼりになってしまうのです。

外注する費用をかけたくない、少しでも安く作りたいということで自作をする人は、絶対に目的を見失ってはいけません。目的はホームページを作って得たい成果(売上アップ、求人応募数アップ、資料請求数アップ、問い合わせ数アップ・・・)を手に入れることであって、綺麗に作ること、格好良く作ることではないですよね。

ただ単に綺麗に格好良く作りたいだけなら、今なら10万円未満で綺麗なホームページを作ってくれる制作会社がたくさんありますので、外注した方が圧倒的に良いです。

成果につながるホームページを作ることが目的であれば、見た目よりも内容が重要です。商品サービスを売るのは言葉です。誰にどんなメッセージをどんな言葉・表現で伝えるかでホームページで出る成果が決まります。プラグインをインストールして、いろいろ試す時間があれば、その時間を内容を考える時間にあてましょう。

自作の利点の1つは、すぐに修正できることです。
実際にお客さんと会ったり、商談したり、見込み客のリサーチをしたりする中で修正しなければいけない箇所が出てきます。それをすぐに修正し、その結果を検証するのです。自作の場合は、このプロセスをスピード感をもって対応できるのです。

それにもかかわらず、作った後も内容よりも見た目を修正するためにプラグインをインストールする人が本当に多いです。特に、まだ十分なお客さんがいないときは時間に余裕があるため、必要ではないことに手を出してしまいやすくなるので、要注意です。

ページトップへ