WordPressの安全性は？特にWordPressがオープンソースのプロジェクトだと聞くと、多くの初心者はこの點を心配するかもしれない。では、WordPressの安全性を理解するのに役立つデータはあるのだろうか？

答えはイエスです。この記事では、WordPressのセキュリティに関する重要なデータや情報をできる限り集めました。WordPressのコア、テーマ、プラグインのセキュリティから、ログイン情報やホスティングサービスのセキュリティまで詳しく見ていきます。

私たちの目的は、WordPressのセキュリティを明確に把握し、起こりうるリスクとその防御方法を指摘することです。

統(tǒng)計によると、WordPressはハッカーに最も狙われている。

WordPressのセキュリティについて語るとき、覚えておくべき重要な數(shù)字があります：43%です。 W3Techsによると、これは世界中でWordPressで構築されたウェブサイトの數(shù)です。この數(shù)字は、すべてのコンテンツ管理システムにおけるWordPressの市場シェアではなく（実際にはもっと高い）、インターネット全體のすべてのウェブサイトにおけるシェアであることに注意してください。

これはかなり高い割合で、WordPressが非常に人気があることを示している。WordPress支持者にとっては朗報だが、ハッカーにとっては標的になりやすいということでもある。

WordPressウェブサイトの數(shù)が非常に多いため、このプラットフォームはハッカー攻撃の焦點となっている。実際、Sucuriが2022年に発表した脅威調査レポートによると、WordPressのウェブサイトは、感染したウェブサイト全體のなんと96.21 TP3Tを占めている。

安全とは思えないだろう？

WordPressが多くのハッキング攻撃の標的になっているのを見ると、このプラットフォームにはセキュリティの脆弱性があると思うかもしれない。なぜWordPressはハッカーの格好の標的なのでしょうか？

理由は簡単で、WordPressの人気が高いため、ハッカーにとって目につきやすく、魅力的なターゲットになるからだ。ハッカーにとっては、ユーザー數(shù)の少ないプラットフォームを攻撃するよりも、何億ものウェブサイトで使われているプラットフォームを攻撃する方が効率的で簡単なのだ。ハッカーたちはこれを賢く利用している。

悪いニュースは、ハッカーに攻撃されるWordPressサイトが毎年たくさんあるということです。しかし、良いニュースは、次に見るように、これらの攻撃は避けられないものではないということです。実際、成功した攻撃の多くは防ぐことができます。重要なのは、自分自身を守る方法を知っておくことです。

WordPressコア脆弱性統(tǒng)計

WordPressが安全かどうかを判斷するために、まずWordPressのコアソフトウェアに関するセキュリティ統(tǒng)計を見てみましょう。

ハッキングされたサイトのほとんどは更新されていない

Sucuriのレポートによると、ハッキングされたWordPressサイトのほとんどは古いバージョンを使用している。2022年までに、マルウェアに感染したウェブサイトの半數(shù)以上がWordPressの最新バージョンにアップデートされていないという。

當然のことながら、いくつかの古いバージョンのCMSには多くの既知のセキュリティ脆弱性があることが判明しています。ですから、もしあなたのウェブサイトを運営するのに、まだこれらのバージョンを使っているとしたら、それは誰かに攻撃される直接的な誘因となります。

実際、セキュリティ問題のほとんどはWordPressのバージョン4.0以前に集中していた。それ以來、セキュリティ脆弱性の數(shù)は大幅に減少している。

Sucuriの調査もこの傾向を示しています。更新されていないためにハッキングされるWordPressサイトの數(shù)は、以前に比べて減少しています。

実際、彼らが調査したすべてのコンテンツ管理システムの中で、WordPressは古いバージョンの使用による感染の割合が最も少なかった。

この傾向は2年間続いており、その間にWordPressは古いバージョンからの感染がわずかに減少している。これは2021年のデータとの比較です。

これはWordPressの問題ではなく、ユーザーの問題です！

WordPressユーザーは、自分のサイトをどれくらい熱心に更新しているだろうか？実のところ、多くのユーザーは更新を怠っている。WordPress.orgが記録している、野生のウェブサイトで稼働しているWordPressのバージョン分布は以下の通りだ。

データを見ると、WordPressの最新バージョンをインストールしているユーザーは約60%に過ぎない。しかし、良いニュースは、大多數(shù)のユーザーが少なくともより安全なWordPressバージョン4.0以降を実行しており、4分の3が少なくとも最新のメジャーバージョンにアップデートしていることである。例えば2016年には、約50%のユーザーしかそうしていなかった。

この進歩の理由の一つは、WordPressバージョン5.6で導入された自動アップデート機能かもしれません。ユーザーは手動で更新ボタンをクリックする必要がなくなり、ウェブサイトは自動的にWordPressの新バージョンをインストールできるようになった。

効果的なWordPressセキュリティ?インフラ

すべてのユーザーが積極的にサイトを更新しているわけではありませんが、WordPressのコアセキュリティチームは、新しいリリースのたびに発見されるセキュリティ問題に効果的に対応し、迅速に修正することができます。2023年、WordPressはすでに3つのセキュリティ重視のアップデートをリリースし、約20から30の潛在的なセキュリティ脆弱性に対処しており、WordPress 6.0.3のリリースだけでも16のセキュリティ問題を修正しています。そして2022年には、WordPressは4つのセキュリティに焦點を當てたリリースをリリースし、合計26の脆弱性を修正しています。

このセキュリティ重視の姿勢は、WordPressのコアソフトウェアだけにとどまらず、エコシステム全體に及んでいる。例えば、Elementorが重大なセキュリティ脆弱性に遭遇した際には、すぐに修正された。同様に、Ninja FormsはWordPress.orgから強制アップデートを受けた後にセキュリティ問題を解決し、BackupBuddyはリスクの高いセキュリティ脆弱性を素早く修正し、ユーザーにアップデートを配信した。

そのため、WordPressは他のソフトウェアと同様、セキュリティ上の問題に遭遇する可能性がありますが、そのような問題に迅速に対処するための保護機能が備わっています。最大の課題は、ユーザーがこれらのセキュリティアップデートやパッチをタイムリーに適用することです。

WordPressテーマとプラグインのセキュリティ統(tǒng)計

世界で最も人気のあるコンテンツ管理システムであるWordPressは、膨大な數(shù)の拡張機能を提供しており、その多くは無料で利用できる?，F(xiàn)在までに、WordPressの公式カタログだけで約60,000のプラグインと11,000以上のテーマが含まれています。

WordPressの公式カタログ以外にも、オンライン上には何千ものプラグインがあり、その多くは有料のプレミアムオプション付きだ。どんな機能が必要でも、誰かがすでに解決策を開発している可能性があるからだ。

しかし、ウェブサイトにプラグインやテーマを追加インストールするたびに、攻撃者にとって新たな扉が開かれる可能性があります。これらの拡張機能はさまざまな開発者の責任であり、WordPressのコアソフトウェアほど厳密に検証されていない可能性があるため、セキュリティリスクが隠されている可能性が高くなります。また、開発者が製品を更新しなくなり、プラグインやテーマが時代遅れになることもあります。

WPScan.comのデータによると、WordPressのセキュリティ脆弱性の大半はプラグインが原因である。

パッチスタックも似たような數(shù)字だった。

どうやら、無料のプラグインはWordPressのセキュリティにより大きなリスクをもたらすようだ。Sucuriの調査によると、有料のテーマとプラグインは、サードパーティの脆弱性全體のごく一部（8.621 TP3T）を占めるに過ぎず、大半（91.381 TP3T）は無料の拡張機能によるものだという。

Sucuriのデータによると、感染したサイトが発見された時點で、36%には、既知の脆弱性を持つプラグインやテーマが少なくとも1つインストールされていた。

人気の拡張機能がハッキング攻撃の原因の大半を占める

Sucuri によると、最も脆弱なプラグインには、古いバージョンの Contact Form 7 (27.441 TP3T), Freemius Library (20.851 TP3T), WooCommerce (14.511 TP3T) などがある。他にもいくつかリストアップされています。

では、なぜ私たちはセキュリティに問題のあるこれらのプラグインを使っているのでしょうか？実は、問題はこれらのプラグイン自體のセキュリティではなく、これらのプラグインがとても人気があるからなのです。例えば Contact Form 7 は 500 萬以上インストールされています。

さらに、これらのプラグインの開発チームは通常、セキュリティ上の問題が確認されると、迅速に対処する。問題は主に、ユーザーがプラグインをタイムリーにアップデートしない場合に発生する。一方、テーマ?チェッカー?ツールのアイデアに似たプラグイン?チェッカーの提案など、こうしたセキュリティ?リスクに対処するための作業(yè)もまだ行われている。

そこで忘れてはならないのは、テーマとプラグインを常に最新の狀態(tài)に保つことである。

ログイン脆弱性

ログイン情報は、ウェブサイトをハッキングに対して脆弱にするもう一つの重要な要素である。単純なユーザー名とパスワードが使用されている場合、ブルートフォース攻撃やクラッシュ攻撃によってこれらのクレデンシャルをクラックすることは非常に簡単になります。

この場合、あなたのサイトがいかに最新であろうと、プラグインやテーマがいかに安全であろうと、ひとたび誰かがあなたのサイトに完全にアクセスすれば、彼らができることには限りがない。

例えば、Sucuriは32.69%の感染サイトの中に悪意のあるWordPress管理者ユーザーを発見しました。以下は、彼らがよく使うユーザー名とメールアドレスの例です。

一方で、このセクションはユーザーが直接コントロールできる場所のひとつでもある。例えば、WordPressには安全なパスワードを自動生成する機能がついている。

ただし、ホスティングアカウントやFTP認証情報など、ウェブサイトの他のアカウントについても同じことを行う必要があります。それ以外にも、ログイン試行回數(shù)を制限したり、二重認証を有効にするなど、ログインページのセキュリティを強化する方法があります。

ホスティング?セキュリティ統(tǒng)計

ホスティング環(huán)境と使用されている技術も、ウェブサイトのセキュリティ、特にWordPressを実行するPHPのバージョンにとって重要です。例えば、PHP 7は、以前のPHP 5と比較して、より優(yōu)れたセキュリティ機能を導入しています。

加えて、PHPの開発者は古いバージョンに対して厳しいサポート停止ポリシーを 持っています。この記事を書いている時點で、PHP 8.0より前のバージョンのサポートとセキュリティアップデートは終了しています。

ここで、WordPressはあまり良くなさそうだ。WordPressサイトの大半は少なくともPHP 7.0で動作しており、半數(shù)近くは7.4で動作しているが、アクティブにサポートされているバージョンを使用しているのは4分の1強に過ぎない。

PHPのバージョン5.xでは、まだ6%が稼動しています。もしPHPのバージョンを更新していないのであれば、ぜひ更新してください。

WordPressセキュリティ統(tǒng)計の概要

100％安全なCMSなど存在しないし、実際、ウェブに接続されているもので、完全に安全なものはない。しかし、WordPressのセキュリティ記録は全體的にかなり良好です。確かに対処すべき問題はありますが、そのほとんどは積極的に対処されています。

ウェブサイトをよりセキュアにしたい場合は、以下のヒントを參考にしてください：

• WordPress、プラグイン、テーマは常に最新バージョンにアップデートしましょう。
• 信頼できるソースからの拡張機能のみを使用してください。
• サイトのすべてのアカウントに強力なパスワードを使用する。
• ファイアウォールやCDNの利用を検討する。
• ログイン試行回數(shù)を制限する。
• バックエンドの管理ページを含め、SSL証明書を使用してウェブサイトのトラフィックを暗號化します。
• PHPのバージョンを最新に保っているホスティングサービスを選びましょう。

これらのヒントに従えば、少なくともセキュリティに関しては、あなたのWordPressサイトは良好な実績を殘すだろう。

お問い合わせ
チュートリアルが読めない？無料でお答えします！個人サイト、中小企業(yè)サイトのための無料ヘルプ！	カスタマーサービス WeChat
① 電話：020-2206-9892
② QQ咨詢：1025174874
三 Eメール：info@361sale.com
④ 勤務時間: 月～金、9:30～18:30、祝日休み