[23/06/05]「Wordpressは他のツールより脆弱で使うべきじゃない」それは本当なのか？ -WebマーケティングコンサルタントのPodcast

WordPressは利用者が圧倒的に多く、本体の脆弱性が見つかった場合も修正パッチが出るまでが比較的早い世界です。ちゃんと更新している前提なら、無料でここまで安心して使える仕組みはかなり優秀です。逆に、昔ながらのHTMLサイトや古いCGIフォームが放置されている方が、実はよほど危ないケースもあります。

見落としやすい本当の危険はプラグイン

ただし、ここで安心し切ってはいけません。気を付けるべき第一のポイントはプラグインです。最新版に更新していますというだけでは足りず、そのプラグイン自体が今も生きているのか、継続的に保守されているのかを見ないといけません。

特に怖いのは、開発が止まったまま放置されているプラグインです。更新通知も出ないまま、脆弱性への対応もされず、静かにリスクだけが残ることがあります。だから導入時から、更新頻度、利用者数、開発元の信頼性、有料版の有無まで見ておいた方が安全です。収益化できている開発元の方が、無料版も継続的に守ってくれる可能性は高くなります。

プラグインを嫌うのも極端すぎる

一方で、危ないからプラグインを使わない方がいい、全部コードで書いた方がいいという考え方も極端です。WordPressがここまで普及した理由のひとつは、必要な機能をプラグインで足しながら、事業会社でも制作会社でも素早く運用できる自由度にあります。

記事投稿、ページ制作、機能拡張を、専門の開発者でなくても扱える形にしたことが、WordPressの大きな価値でした。だから便利さを捨てるのではなく、その便利さを支える保守をちゃんと引き受ける。この考え方の方が現実的です。

もうひとつの落とし穴はPHPの更新

見逃されやすい第二のポイントが、PHPのバージョンです。WordPress本体やプラグインを更新したくても、サーバー側のPHPが古いと、そもそも最新版を入れられないことがあります。ここで止まっているサイトは意外と多いです。

しかもPHPの更新は、単純にボタンを押せば終わる話ではありません。古いテーマや独自のカスタマイズが入っていると、更新後に不具合が出ることもあるからです。そのため、コピー環境でテストしてから本番に反映するような慎重な流れが必要になります。これは数年に一度は発生する前提で考えておいた方がよい運用コストです。

情報を早くつかみ、定期作業にする

脆弱性対応は、被害に遭ってから慌てるより、早く知って早く動く方が圧倒的に楽です。実際、古いWordPressや脆弱なプラグインを狙った攻撃は、中小企業かどうかに関係なく機械的に行われます。マルウェアを埋め込まれれば、検索結果への影響や情報流出の問題まで広がります。

だから、更新は気が向いたらではなく、定期作業として決めてしまう方がよいです。月次でも週次でも、自社で無理なく回る頻度で確認日を決める。難しいなら保守先を確保する。WordPressは放っておいても勝手に安全でいてくれる道具ではなく、メンテナンスしてこそ強い道具です。

まとめ：WordPressの問題ではなく、運用の問題

「WordPressは脆弱だから使うべきではない」という言い方は、かなり雑です。実際には、きちんと更新していれば本体は十分に強く、怖いのは放置されたプラグインと、見落としがちなPHP更新です。WordPressの大きな魅力は、プラグインによる自由度と運用のしやすさにあります。その価値を活かしたいなら、便利さの裏にある保守を日常業務として受け入れること。それが現実的な向き合い方です。