WordPressは怖い!脆弱性でサイト改ざんは当たり前|私が完全オリジナルでサイトを作った理由

WEB運用

あなたはWordpresを利用していますか? 私はしていません。当サイトはパッと見ブログサイトぽく見えて、実は完全オリジナルのスクリプトで組んでおります。 頻繁にアップデートをしていても脆弱性ばかり。 WordPressの脆弱性にビビった管理人がオリジナルで組もうと思ったまでの軌跡。

スポンサーリンク

WordPressは怖い、あなたが加害者になるかも

ほとんどのブロガーの皆様は「WordPress」を利用していると思います。 コンテンツマネジメントシステム(CMS)というオープンソースなWordPressは、ほとんどワンタッチでインストールでき、 インストールから1時間後には、サイトとして稼働できるすばらしいソフトウエアです。

各種レンタルサーバーにも標準でインストールされていたり、 簡単設置モードが付いていたりと、かなりWordPressが定着していることと思います。

ただ、このWordPress、みなさんはどのぐらい内容を理解して利用しているのでしょうか。 インストールしたまま、アップデートもしていないなんてこと、無いですよね?

実はオープンソースであるが故の、脆弱性に常にさらされているのです。 そして、その脆弱性に攻撃されると、記事の改ざんや、サイトの消滅はもちろんのこと、 最悪、WEBサイトに何か危険なものを埋め込まれ、加害者になる可能性だってあるのです。

そう、簡単な故に、実は怖いのです。

WordPressのセキュリティアップデートは年数回

WordPressのセキュリティアップデートはみなさんしているでしょうか。 2017年だけで、セキュリティアップデートは6件も行われているのです。

外部リンク:Security — WordPress

これを多いと見るか、少ないと見るかは別として、必ずアップデートをチェックして適用するようにしてください。

ちなみに、知り合いのサーバーにWordpresをインストールして設置してあげたことがありますが、 サイトが重くなったから見てくれとのことで設定を見てみると……。

なんと、海外から異常なほどのスパムが送られてきていました。 数万のコメントがスパムとして大量に送り込まれ、サーバー陣営からペナルティを食らうほどに。

結局、Wordpresをアップデートし、コメント欄を閉じましたが、改善されないため、 .htaccessにて海外からのアクセスをすべてシャットアウトという処置をしました。

これは、コメント欄をデフォルトで利用していたというあほみたいな理由ですが、 簡単で多機能なため、起こった事象だと思います。

そして、本体だけではなくプラグインにも脆弱性はあるのです。

プラグインにも脆弱性がある

日々、WordPressの開発陣は本体のセキュリティを強化していると思いますが、 オープンソースであることと、プラグイン形式で機能をどんどん拡張できてしまうため、 本体が安全だったとしても、プラグインが脆弱を持ったままアップデートされないということが起きます。

もちろん、プラグインの作者も脆弱性については確認していると思いますが、 あくまで個人任せのため、必ず解消するとは限らないのが怖いところです。

下記のサイトにて、プラグインの脆弱性情報を記載しておりますので、 自分が使っているプラグインが載っていないか調べることをお勧めします。

外部リンク:Japan Vulnerability Notes/脆弱性レポート 一覧

もし、自分が気に入っているプラグインに脆弱性があったらどうしますか? その機能が無くなると困ることはないですか?

どんどん機能を拡張するのは楽しいですが、プラグインにも、そういった側面があるということは覚えておいた方が良いと思います。

ブラックボックス的な所が多い

スクリプトをすべて解析するだとか、英語のサイトを漁るとかすると、もしかしたらブラックボックスではないのかもしれませんが、 私にはそこまでする気力がありませんでした。

どのデータベースがどうなっててとか、このファンクションがとか考えるだけでシンドイものです。

WordPressは記事データをすべてデータベースで管理しておりますが、そのデータベースが何かしらの理由で消えてしまうとどうでしょうか。 1年、2年続けてきたブログのデータがすべて水の泡…。考えただけでも恐ろしい事態です。

自分がすべて把握しているのであれば問題ありませんが、先ほど言った通り、私はWordPressをすべて解析しようとは思えませんでした。

結果的に、自分の中ではブラックボックスなため、やはり怖いという結論に至りました。

デザインが自由にできない

CMSという関係上、デザインに関してはそこまで自由度が無いのかと感じました。

ゴリゴリにやれば、たぶんカッコいいのはできるのかもしれませんが、自分にはできませんでした。 というか、分析して一からデザインするなら、最初からオリジナルで作った方が早いなと思ったのが理由です。

将来的に、ブログぽいサイトにしたくなかったため、フルスクラッチで作り始めたというのもあります。

そして、WordPressの中を自由にいじれるだけのスキルがある方であれば、たぶんフルスクラッチできます。

どちらにしろ、WordPressにすることで、似たようなデザインになってしまうため、今回はWordPressの利用を見送りました。

プラグイン追加で重くなる

よく聞く話ですが、プラグインを追加する度にサイトの表示速度が重くなっていないですか? 知人のサイトなんかは、プラグインを詰め込みまくりで、表示に2,30秒かかってしまっていました。

これでは、せっかくサイトを見に来てくれた人に不憫をかけることになるため、あまりよろしくありません。

プラグインという形は非常に良いものなのですが、それぞれが独立して動くため、 同じような処理であったとしても、別々な処理をしてしまい、遅くなるのだと思います。

サイトが重い=顧客離れという図式になるため、これはサイト運営者にとって致命的なものです。

ほしい機能がすぐに追加できない

こんな機能がほしいなと思ったとき、プラグインをまず探すと思いますが、そのプラグイン、痒いところに手が届かないことないですか?

あと一歩なのに、何かが足りない。それはデザインだったり、機能面だったり、日本語が欲しいのに英語だったりとかするわけです。

また、過分な機能が含まれて、それはいらない子なんてこともあると思います。

どちらにしろ、WordPressでの機能追加は「ちょうどいい」が無く、それを追加するぐらいなら自分で作った方が早いと思いました。

ほしい機能が無いって、かなりのストレスだと思うんですよね。

問題の切り分けが難しい

何かしらのバグがあったとして、それはこちらのミスなのか、WordPress側なのか、それともプラグインなのか、そういった切り分けは難しいです。 その他の要因として、サーバーだったり、テーマだったりと、WordPressにすることで、切り分けのコストが異常に高いのが気になるところです。

実際に、先日、友人がWordPressが動かなくなって困っていましたが、結局中身のファンクションの書き換えミスだそうで、復旧までに相当な時間がかかったそうです。

切り分けは短い方が良いのは当たり前なので、何が起きているかわからないWordPressを見送る理由にはなりました。

WEBサイト構築の勉強にならない

WEBサイトの勉強なんてしなくていいよという人はいいんですが、こちらは構造やマークアップなど含め学習者です。 意外と中まで理解しないと気に入らないタチなのかもしれませんが、分からないものを使うのは怖いのです。

また、勉強という面において、完全自作に勝るものはないと考えております。 下手をしてしまうと、WordPressのレベルまでは難しいとして、簡単なCMSは作れちゃう可能性だってあるのです。

自分が学習コストをかけるなら、WordPressか、根幹となる技術かを比べた結果、私は根幹技術の方を選びました。

それに、WordPressできますよりも、PHPとDBいじれますの方が将来的に役に立つかなという判断でした。

結局、WordPressを見送って良かったの?(まとめ)

これはまだわかりません。 正直、友人のWordPressの方がうらやましいと思ったことは多々あります。笑

WEBサイトを見て、新しい機能が増えている。どうしたの?と聞くと、プラグインで10分で完了!みたいな答えを聞くとしょぼんとします。

同じような機能を足そうと思ったら、こっちでやると、数時間、下手したら数日かかるレベルです。

そんなこんなで、WordPressじゃなく、これが完全にサイトを自作した理由です。 また、自分にとってのブラックボックスが多すぎるWordPressが怖かったのもあります。

どちらにしろ、ブログを公開するレベルであれば、WordPressじゃなくても問題はないと考えます。 まだまだ発展途上のWordPressですので、より良い機能が足されていくと、今後、乗り換える可能性もあります。

でも、今は自分としてフルスクラッチでどれだけ出来るか挑戦している意味もありますので、当面、このスタイルで行こうと思います。

WordPressは便利だけど、怖いよね!私には機能が多すぎて使いこなせないよね!というのが私が総合的に下した結果でした。

最後に、実際使っている方は、必ずセキュリティアップデートをしてください。

他の人の迷惑になる可能性があるので、気を付けてくださいね!

2018/12/3:追記

ワードプレスに移行しちゃいました!理由はCMSのプログラミングをする時間が無くなったからです。プログラミングよりもコンテンツに時間をかけようと思い立った次第です。