Sucuriはこのほど、「The Security Risks of Using Nulled WordPress Plugins」において、ヌル化されたWordPressプラグインとテーマ(nulled WordPress plugins and themes)のリスクについて伝えた。Sucuriは「ヌル化されたWordPressプラグイン」を、技術的には海賊版と評価されない有償プラグインの非ライセンスコピー製品と定義している。このようなプラグインやテーマは有償プラグインの機能を無料で利用できるため人気があるが、利益を上回るリスクがあるとして警告している。
ヌル化されたWordPressプラグインのリスク
Sucuriの調査によると、ヌル化されたWordPressプラグインには難読化されたコードが含まれていることがあるという。難読化されたコードは基本的に悪意のあるスクリプトとされ、バックドア、SEOスパム、マルウェアなどの可能性がある。他にも、次のようなリスクがあるとして、注意を呼びかけている。
アップデートの遅延
正規プラグインにバグや脆弱性が発見された場合、修正パッチの公開が正規プラグインよりも遅延する、または提供されない可能性がある。また、パフォーマンス向上などの定期的なアップデートは期待できない。
互換性の低さ
WordPressは定期的に更新されるが、ヌル化されたWordPressプラグインはそのアップデートに対応できない。ヌル化されたWordPressプラグインに固執した場合、WordPressのアップデートを怠るか、または互換性に問題が起きるようになる。
サポートがない
ヌル化されたWordPressプラグインには信頼できるドキュメントがなく、開発者からのサポートもない。そのため、問題解決が困難となる可能性がある。
推奨事項
Sucuriはヌル化されたWordPressプラグインのリスクは利益(正規品の価格)を上回るとして、正規プラグインの利用を推奨している。すでにヌル化されたWordPressプラグインを利用している場合は、侵害の有無を確認してからプラグインを削除するように呼びかけている。
WordPressは最もシェアが高いCMS(Content Management System)とされ、その利用者数の多さからサイバー犯罪者に狙われることも多い。そのため、WordPerssの利用に際してはセキュリティを意識した運用が推奨されており、管理者にはWordPressのベストプラクティスを実践することが望まれている。