WordPressプラグインの更新が必須である理由

　インストール型のワードプレスを使っていて、面倒だと思うことのひとつが、プラグインの更新作業だと思います。

　管理画面にアクセスする度に、更新が必要なプラグインの数が表示されていることに、もう慣れてしまった方が多いかもしれませんが、更新せずにそのまま放置にしてしまうのは、いただけません。

　理由はセキュリティー上のことなのですが、この投稿では、なぜ更新しなければならないのかを、最近の例を含めて説明してみます。

◆ そもそもインターネットの始まりがオープンだった

　まず、ワードプレスを構成しているプログラム（ソースコード）は誰でも見ることができるしコピーして使ってよいということは、もうみなさんご存知ですよね？

　ボランティアが集まって作り上げているワケですから、それをみんなで使ってみて、オープンに議論を重ねて、より便利にしていきましょうというのが、ワードプレスに限らず、オープンソースの考え方です（詳しくはウィキペディアのこちらの記事）。

　このことは、ワードプレスに組み込んで使うプラグインも同様です。現在は、ワードプレス本体にセキュリティー上の脆弱性が見つかることはあまりありませんが、プラグインについては、実は結構頻繁に起きていることなのです。

　あ、ここで、だからワードプレスはダメという結論にならないで下さいね。オープンソースは、いってみれば諸刃の剣のようなもので、公開して知恵を寄せ合う方が、見えなくしてしまうよりも安心安全という考え方なのです。

　それに、オープンソースを否定してまったら、インターネットが広まることを支えてきた思想（あるいは文化と呼ぶべきか）を否定することになるというのが、札幌Geezer の理解です（RedHat のこちらのページが詳しく分かりやすいと思います）。

◆ 脆弱性が公表されるということは、裏口が公表されること

We are seeing a dramatic rise in attacks against the vulnerability in the File Manager plugin found earlier this week. Today alone, as of 9AM Pacific Time, Wordfence has already recorded attacks against over 1 million sites.https://t.co/PLx8EMiWH4

— Wordfence (@wordfence) September 4, 2020

　オープンソースに限ったことではありませんが、外部からの侵入やファイルの書換えを許してしまいかねないような脆弱性が見つかった場合には、すぐに対策を取らなければなりません。

　で、ここで知っておいて欲しいことは、脆弱性が公表されるときは、それに関する技術情報も公表されるということです。札幌Geezer なんかは、そうした技術情報を読んでも、トンチンカンなのですが、分かる人には分かるようになっていますから、ことは重大です。

　考えてもみて下さい。自分のサイトが勝手に書き換えられて、ウィルスやマルウェアを勝手に配布し始めてしまったら…。

　最近も、人気プラグインのひとつであもある File Manager に脆弱性があることが発表されました。

　情報源が英語なので申し訳ないのですが、記事を読んでみると、脆弱性に対応した修正版に更新していないウェブサイトを自動的に探し回るボットがあるということですから、これは怖いです。

　もしこのボットに見つかってしまったら、自分のサイトに外部からの不正アクセスを許すことになってしまいます。

◆ 脆弱性の情報は、どこから入手すればよいのか？

　詳細な技術情報までは不要なワケですから、専門のサイトをチェックするよりは、ワードプレスの管理画面に現れる更新に通知があるかどうかで判断すれば十分だと思います。

　プラグインの更新には、セキュリティ対応ではなく機能の更新という場合のほうが多いと思いますが、詳細をチェックし始めたら切りがありません。

　また、たまに更新するのが怖いと感じられている方がいらっしゃいますが、札幌Geezer的には、更新しないほうが怖いです。更新が怖いのは、「もし更新版に問題があったら？」ということですよね？

　「プラグインを更新したら管理画面が真っ白になった」という投稿記事が、ネット上にはたくさんありますので、そうした記事を目にしたことがある方なら、いたしかたないとは思います。

　でもそれは、バックアップに自信がないということを意味していると思いますが、いかがでしょうか（キッパリ）。

　趣味のブログは別として、仕事に使っているウェブサイトであれば、何かあった際の復旧手順は、きちんと決めておき、少なくとも一度は実際にやってみましょう。避難訓練と同じです。

　バックアップについては、こちらの『ワードプレスサイトの保守管理を自分でする方法』に、ある程度のことは説明してありますので、参考まで。

◆ まとめ

　どこぞの企業のウェブサイトに、第三者が不正アクセスしたというニュースは、たまに耳にしますよね？

　ニュースになるのは、大手の企業によるもので、カード情報など個人情報が漏れたような場合だと思いますが、狙われているのは、そうした大手企業だけではありません。

　もっともやってはいけないのは、作りかけのサイトを放置してしまうことだと思います。お金は先払いしてしまったので、契約切れになるまで放置のまま、というパターンは危ないです。

　個人で作成するサイトの場合には、盗まれて困るようなデータが入っていることはあまりないと思いますが、データの改ざんを許してしまうと、悪さをしている人達に、結果として協力していることになってしまいます。

　プラグインに限ったことではありませんが、更新は小まめに行って下さい。札幌Geezerからのお願いです。