WordPress とは

WordPress（ワードプレス）は、ブログから高機能なWebサイトまで作ることができるオープンソースのソフトウェアです。

WebサイトやCMS（コンテンツ管理システム）のソフトウェアとして WordPress は世界でも圧倒的に高いシェアを占めています。

Webサイト・コンテンツ管理システムの使用統計

WordPress コア（本体）には、Webサイトを制作するうえで必要最低限の機能しかありません。そこで一般的には、独自の機能を追加したり見た目や動線を整える「テーマ」や、容易に交換可能な機能を追加する「プラグイン」などを、好みや必要に応じてインストールしたり独自開発して使います。

• テーマ
  トップページや記事の一覧、記事本体の表示など、それぞれのページをどのように表示するか指定するためのファイルをテンプレートと呼びます。それを1つにまとめたものがテーマです。Webサイトの見栄えの他にシステムに独自の機能を追加する際にもこのファイル群を編集します。

• プラグイン
  「SEO対策をしたい」「バックアップを取りたい」「Google アナリティクスと連携したい 」など、着脱可能な独自性のない機能に適しています。

WordPress コアもテーマもプラグインも、それぞれに、セキュリティ対策・機能の改善・新機能の追加などを目的とした「更新（アップデート）」があります。テーマやプラグインの利用状況によって異なりますが、更新の頻度は高く、すべて含めると数日に1回は生じる可能性があります。

更新の通知に応じると自動でアップデートされるテーマは、WordPress 公式ディレクトリで配布されている無料のテーマや、販売者が管理している有料のテーマであり、いずれも汎用的なテーマです。

独自で開発したオリジナルのテーマは更新通知が来たり自動でアップデートされることはありません。そのためオリジナルテーマの場合は必要に応じて改変し手動でアップデートする必要があります。

WordPress コアのリリースロードマップ

下記URLは記録があるすべての WordPress コアのリリースのアーカイブです。
コアのアップデートの履歴が確認できます。

更新しないリスクと更新するリスク

更新（アップデート）しないリスク

「脆弱性」や「セキュリティーホール」といった言葉があります。いずれも情報セキュリティの欠陥を指します。放置すれば、Webサイトが乗っ取られたり、改ざんされたり、消去されたり、パスワードなどデータベースの情報を盗まれたりする可能性があります。そのため、問題が報告されると、アップデートが行われています。

WordPress 自体に「特に脆弱性の問題が多い」というわけではありません。しかし、先述のシェア調査を見ても WordPress は非常に利用者の多いシステムです。そのため、標的にされやすい傾向があるのだと思います。

実際、カロニマのような小さな会社のWebサイトでも信じられないぐらい日々サイバー攻撃を受けています。今のところ、サーバー側と WordPress プラグイ側の対策ツールのおかげで防げていますが、その攻撃の頻度と数には驚きます。セキュリティ対策のプラグインを利用してサイバー攻撃を検知しているので攻撃を受けた事とその手口が通知されます。攻撃者は日々その手法を試行錯誤して攻撃しているようです。

主な目的は「踏み台」にするためだと思われます。そのためWebサイトやドメインの有名無名を問わず「踏み台」に利用するために「脆弱なWebサイト」や「セキュリティホール」を狙って総当たり攻撃を仕掛けているようです。

踏み台攻撃は、攻撃者が特定のWebサイトやWebサーバーを乗っ取って、攻撃に使用することを言います。この踏み台攻撃により、情報漏洩・サイバー攻撃・迷惑メールを仕掛けることができるので、大きな被害につながることがあります。

乗っ取られたWebサイトやWebサーバーは、攻撃者に操られて攻撃に加担してしまうため、「踏み台」と表現されるのです。

攻撃者からすると、他人のコンピュータのIPアドレスを使って攻撃を仕掛けると、「足がつかない」ことになるため、隠れ蓑となり攻撃拠点となる「踏み台」を作る行為は、とても重要な作戦となります。そのため日々、無差別に乗っ取り攻撃を仕掛けています。

ある日突然

「Webサイトが書き換えられたり」直そうにも「管理画面にログインできない」…。

「自分のWebサイトからスパムメールを送信されたり」あるいは「大切なデータを盗まれたり」…。

「まさか自社のWebサイトが狙われるとは思えない」という気持ちは想像できますが、多くの攻撃者は「有名なWebサイト」を狙って攻撃しているわけではありません。世界中のWebサイトの4割以上が WordPress を使用しているので統計的に考えると総当たりすれば、およそ3サイトに1サイトは WordPress 用の攻撃手法が利用できるので攻撃者からすると格好の標的となります。

WordPress コアの仕組みや同じプラグインを使っているWebサイトが多く、それらの脆弱性やセキュリティホールを突いた攻撃手法が編み出されるため、その対策として緊急アップデートがリリースされることもあります。

これらを踏まえると更新しないことによる危険性は、確かにあるのだと思います。

サイバー攻撃による想定被害

• 自サイトを踏み台にされスパムメール送信の拠点にされる
• スパムサイトへのリダイレクトサイトにされる
• ドメインやメールアドレスを詐欺に利用される
• Webサイトの改竄や不正なページを作成される
• データベースの情報を盗まれる

更新（アップデート）するリスク

更新自体は、難しい作業ではありません。WordPress のコア・プラグイン・テーマ・翻訳のいずれかに新しいバージョンがある場合、管理画面の「ダッシュボード ＞ 更新」にアラートが表示されます。

そして [ WordPressの更新 ] 画面で ＜更新＞ ボタンをクリックするだけで、更新作業は完了します。

ただし、更新には大きなリスクも伴います。失敗すれば、取り返しのつかない問題が生じる可能性があります。

• サイトが表示されなくなる・壊れる
• 画面上にエラーメッセージが表示される
• 機能が正常に稼働しない
• 管理画面にアクセス・ログインできない　など

マイナーバージョンアップ（脆弱性の問題などへの対応のためのバージョンアップ）の「更新」であれば、あまり神経質になる必要はないかもしれません。

しかしメジャーバージョンアップの場合は、何のための「更新」なのか、どんな作業が必要になるのか、今すぐ「更新」すべきなのか、少し様子をみてから「更新」したほうがよいのか、都度、慎重に調査・検討したうえで、判断する必要があります。

また、独自のデザインや機能を追加するためにテーマをカスタマイズしている場合は、バージョンアップとそのカスタマイズの互換性があるのか慎重に調査・検討する必要があります。

そのため、未検証で直ちに公開中のWebサイトの各「更新」を実施するのは、とても危険な行為になります。

カロニマの「WordPressの保守とサポート」ではテスト環境を用意して、その都度、お客様の公開中のWebサイトを複製して各「更新」を実施し、互換性や不具合の有無などを検証したうえで、お客様のWebサイトを適宜「更新（アップデート）」して常に良好な状態を保っております。

更新（アップデート）には大きなリスクがあります。手間も時間もかかります。しかし、更新しなければ、セキュリティの問題が生じます。これは何よりも優先して解決すべき問題です。

更新するリスクと更新しないリスク、それぞれをよくご理解頂いたうえで「更新する」ことを強くお勧めいたします。

更新しないと「もったいない！」

更新（アップデート）はセキュリティ対策だけではありません。

より使いやすく改善するための更新、新しい機能を追加するための更新もあります。例えば2019年。WordPress 5.0から「Gutenberg（グーテンベルク）」が導入されました。

記事を入力する方法が大きく変わったので、既に利用されていた方からは慣れないこともあり、最初は「利用しにくい」と感じた方も多いようです。

しかしその後、どんどんバージョンアップを重ね、今では機能も充実し、直観的に入力しやすい仕様に変化し続けています。また WordPress 5.2 から導入された「サイトヘルスチェック」を使えば、サイトが抱えているセキュリティやパフォーマンスの問題を簡単に確認することができます。

2022年1月25日にリリースされた WordPress 5.9 は次期メジャーアップデート WordPress 6.0 に向けた大きな土台が作られました。その土台の他にもグーテンベルク（ブロックエディター）の機能がさらに充実し投稿におけるコンテンツの表現力が大幅に向上しています。

せっかく改善・追加された機能も、更新（アップデート）していなければ使えません。「慣れているから」という理由で古いバージョンを使い続けるのは、やはり「もったいない」かと思います。

関連サービス