こんにちは、今から明日の晩御飯が気になる、食欲旺盛なWordPressセキュリティスペシャリストのモリイです。
WordPressには数多くの有名なプラグインがあります。しかし、そういったプラグインはアップデートもかなり頻繁に行われています。
アップデートを頻繁に繰り返す理由は大別すれば以下のとおりです。
- 本体バージョンがアップグレードされるに伴い、新バージョンにプラグインを対応させるための修正
- 潜在するバグの修正
- 脆弱性の修正
- 機能拡張
ここで考慮すべきは「脆弱性の修正」です。各プラグインがどのくらいの間隔でアップデートされ、過去にどのような脆弱性を有していたかを知ることは、脆弱性への対応スピードなどの観点から重要です。
そこで本企画では、ダウンロード数トップクラスのプラグインについて※1、アップデート状況※2を基にセキュリティリスクを説明していきます。更新頻度や脆弱性への対応状況から、総合的にプラグインの安全度を判断していますので、プラグインの採用の可否など、セキュリティの一情報としてお役立てください※3。
※1 対象プラグインについて
人気のプラグインについては本家WordPressサイトからダウンロード数の多いTop10をピックアップしました。また、各プラグインの更新履歴については「changelog」やPlugin提供元サイトを参考にしております。※2 プラグインの脆弱性調査に利用したサイト
プラグインの脆弱性有無を判断するため、以下の3つのサイトを参考としました。
- wordpress.org
- Japan vulnerability notes
- Open sourced vulnerability database
※3 自動アップデートについて
WordPress は管理者でログインすれば、自動的に更新があるかどうかをお知らせしてくれます。また、ワンクリックで更新できるので、導入済みプラグインに関しては(マイナーなプラグインを除けば)ベンダーのサイトをチェックする必要性はあまりないでしょう。
なお、自動アップデートの方法については「自動バックグラウンド更新の設定」を、アップデート時の注意点については、「WordPress のアップグレード」を参考としてください。
また、脆弱性情報をチェックするうえでは、http://wpdocs.sourceforge.jpが参考になりますが、こちらは1次ソースを有志が日本語化しているページのようなので、情報に多少の遅れがあります。したがって、1次ソースであるhttp://wordpress.orgを利用するか、2つのサイトを併用した方が良いでしょう。
なお、プラグインのバージョンや内容に関しては2014年9月12日現在のものとなります。
対象プラグインは以下の10個です。
- Akismet
- Contact Form 7
- Jetpack by WordPress.com
- All in One SEO Pack
- WordPress SEO by Yoast
- MailPoet Newsletters
- NextGEN Gallery
- Wordfence Security
- WooCommerce - excelling eCommerce
- WPtouch Mobile Plugin
本企画では2回に分けて、上記プラグインのセキュリティリスクを順に解説していきましょう。
著者プロフィール守井 浩司(Morii Kouji) - 株式会社レオンテクノロジー 代表取締役社長
ネットワーク/アプリケーションエンジニアとして多くのプロジェクトで活躍した後、平成17年3月にレオンテクノロジーを設立。自らネットワークセキュリティエンジニアとして、数々のセキュリティ診断・検知・対策ソリューションを開発。平成26年7月にWordPress専門セキュリティ診断サービス「KYUBI」をリリースする。顧客へ「安全」「安心」「安定」を提供すべく、サービスを日々アップデートしつづけている。
1. Akismet
言わずと知れた、最も有名なプラグインの一つで、スパムコメントを自動的に排除、通知してくれるプラグインです。ワードプレスをインストールすると、デフォルトでこのプラグインが付属します。
Akismetの安全性について
デフォルトプラグインということもあり、WordPress本体のメジャーアップデート(本体Ver.3.7.x → 3.8.x)時にPluginのバージョンアップを実施しているようです。Pluginの最新バージョンを利用していれば問題ないと思います※4。
※4 Akismet有料プラグインに関しては調査を実施しておりません。
Akismetについての総評
利用に際しての注意点は上記の通りです、安全と考えて問題ありません。WordPressのデフォルトコメント機能を利用しないのであればプラグインを停止してアンインストールしても問題はないかと思います。
2. Contact Form 7
問い合わせフォームを簡単に作成してくれるプラグイン。プラグイン導入からわずか30秒で問い合わせフォームを設置できる手軽さが売り。
Contact Form 7の安全性について
更新頻度についてはWordPress本体のマイナーアップデート時においてもPluginアップデートを実施しているようです、セキュリティ上の観点から見ても最新版のPluginを利用していれば安全であると言えます。
Contact Form 7についての総評
Contact Form 7は安全と言えますが、画像認証や多重認証と併用することにより不要な投稿を排除し、問い合わせフォームの安全性をさらに高めることが可能となりますので、要件に応じて検討するとよいでしょう。