WordPressでブログやサイトを運営していると、プラグインを使用することって必ずありますよね。
Web制作の現場でもプラグインを活用して、お客さんのウェブサイトを作成することは多々あります。
しかし、Wordpressのプラグインを入れることはリスクがあることだって知っていましたか?
この記事では、プラグインを入れることのリスクとその注意点をご紹介いたします。
WordPressでブログやウェブサイトを運営している方には、ぜひとも自分のブログやウェブサイトを守るという意識を持つようにしていただきたいです。
この記事は下記のような方に向けて書かれています。
- ブログやウェブサイトをWordpressで運営している
- プラグインを使って、機能を追加している
- 会社や組織のウェブサイトを任せられている!
目次
プラグインってなに?
プラグイン(Plug in)は、本来「差込口」の意味だが、IT用語としては、アプリケーションの機能を拡張するソフトウェアを指す。個別に追加してバージョンアップが可能で、不要になれば、アプリケーションに影響を与えることなく削除できる。
引用:大塚商会
つまりは、「Wordpress」というブログ更新システム(CMS)に機能を追加するパーツのようなものです。
誰でも簡単に機能を追加することができるようになり、大抵のことはプラグインに任せれば機能を実現させることができます。
しかし、プラグインを入れるということはリスクを背負うということになります。
プラグインって誰が作っているの?
皆さんは、プラグインって誰が作っているのかご存知でしょうか。
一応、Wordpressの公式が作っているプラグインもあるのですが、ほとんどが一個人や他の組織が作成しているものになります。
がんばれば、私でもプラグインを作成して、皆さんのWordpressに入れてもらうことができるのです。
ちょっと怖くなってきませんか?
だからこそ、個人でのセキュリティ管理能力が必要になってくるのです。
プラグインを入れると発生するリスク
まずは、具体的にプラグインをいれることで発生するリスクを知り、対策を考えていきましょう。
プラグインの脆弱性をつかれた攻撃
よくある事例として、プラグインの脆弱性(プログラムの不具合)を利用してハッカーに攻撃されるということです。
あまり現実味がない話なのですが、利用者数の多いサイトなどでは、世界のあらゆるところから悪意を持った人たちが訪れています。
ネットに公開されているウェブサイトやブログは、24時間誰でも利用することができます。
いついかなる時でも、リスクを管理するという意識を持たなくてはいけません。
注意する3つのポイント
もちろん、プログラミングを学んで「ハッカーと戦いましょうよ!」なんてことはいいません!
プラグインを入れる際に以下のポイントに気をつけるようにしましょう。
- ポイント1:その機能は本当に必要なのか
- ポイント2:開発元を確認する
- ポイント3:プラグインの最終更新日を確認する
一つずつ詳しく見ていきましょう!
ポイント1:その機能は本当に必要なのか
はじめに考えなくてはいけないのは、「本当にその機能って必要なのか」ということです。
ブログやウェブサイトを運営する上で、「もっとこうなればいいのに」「もっとこうしたい」なんて考えが出てくるのは当たり前だと思います。
もしかしたら、要望を叶えてくれるプラグインを探せばあるかもしれません。
しかし、プラグインを入れることはリスクを背負うことになります。
1個のプラグインを1リスクだとすると、100個のプラグインをWordpressに入れれば、100リスク背負うと思ってください。
本当にその機能が必要なのかどうかということを意識して、実際に導入するプラグインを厳選しましょう。
ポイント2:開発元を確認する
プラグインの開発者は、必ずしもWordpressの公式が作成しているとは限りません。
一応、管理画面内から追加することができるプラグインは公式がチェックし、OKをもらったプラグインが表示されています。
プラグインの新規追加画面を見てもらうとわかるのですが、「作者」という欄があります。
「作者」の欄に表示されている情報が実際のプラグイン開発元となります。
この「作者」の欄が「組織」なのか「個人」なのかを注目してみるようにしてください。
個人であれば、プラグインの保守体制が整っていないなど、それなりのリスクがあるということです。
評価の欄もあるので、こちらも参考にしてみるのがいいと思います。
もっと言ってしまえば、Web制作の現場であれば「プラグイン名 脆弱性」で検索をして、リスクを最小限に抑えると思います。
ポイント3:プラグインの最終更新日を確認する
多くのプラグインでは、Wordpressのバージョンアップや脆弱性対策にともなって、プラグインのアップデートを行っています。
最低でも1年以内に最終更新がされているプラグインを入れるようにしてください。
たまに、1年以上前の更新で止まってしまっているプラグインがあります。
更新が止まっているプラグインは、絶対に入れないことをオススメします!
今後、更新される可能性が低く、Wordpressのバージョンアップにすらついていけないです。
勘のいい人なら気付いているかもしれませんが、これは「新規追加」する時に限ったことではありません。
日々のブログやウェブサイトを運営するなかで、プラグインの最終更新日はチェックしておかなければいけません。
実は、Wordpress自体にもリスクがある
Web制作の現場では、Wordpress自体がセキュリティの観点からあまり推奨されない場合があります。
なぜなら、Wordpressというブログシステム(CMS)は、地球でもっとも使用率が高いからです。
地球でもっとも使用率が高いということは、つまりはWordPressに詳しい人がいっぱいいるということです。
詳しい人の中には、善人だけでなく悪人もいるのです。攻撃できる人が多くいるということです。
まとめ | だからこそセキュリティの意識を持とう!
いろいろとプラグインを入れることのリスクと注意点を書いてきましたが、一番重要なのは「セキュリティ意識」を持つということです。
インターネットに公開しているものには、リスクというものが存在し、それを管理するということが大切です。
もちろん、上記した注意点を確認することがセキュリティ管理につながってきますが、疑心暗鬼になっていては、思ったように運営していくことが難しくなってしまいます。
まったく、リスクを背負わないなんていうことは不可能です。
リスクをどれだけ取り、運営していくのかということを意識するようにしましょう!