【2021年8月】WordPressのセキュリティ情報やお役立ち情報

Webサイト向けCMSシェア 引き続きWordPressが増加！

Q-Successの調査にて2021年8月のWebサイト向けCMS (Content Management System)のシェア率が発表されました。
2021年8月もCMSを使っていないWebサイトのシェアが減り、WordPressのシェアが先月（7月）42.0%から、今月（8月）のシェア率42.3%と0.3％が増加しました。

CMSを使っていないWebサイトの減少が35.4%から35.1%の0.3％ダウンとなっていますので、減少したシェアのほとんどがWordpressで増加したととれます。

WordPress以外だとShopifyが増加を続けていますが、WordPressと比較すると増加ペースは緩やかで、WordPressのシェアがいかに大幅な増加をしているかがわかります。

※Q-Successは、上位1000万のWebサイト(2013年6月までの上位100万)を調査対象し、Alexaによって提供されたWebサイトの人気ランキングの3カ月の平均順位を用いています。

8月Webサイト向けCMSシェア、WordPressの増加続く | TECH+

WordPress.orgが「WP」とつくプラグインを排除する実験を行う

WordPress.orgがプラグイン名に「WP」含まれるものを排除する実験を実施しています。

理由としては、「WP○○」とつくプラグイン名で承認を出して、許可がでたあと「WordPress○○」にプラグイン名を変更する開発者がいるようです。
そのため、事前対策として「WordPress」という商標の乱用を防ぐために、今後新たに申請する「WP」とつくプラグインの承認を排除する実験をおこなっています。

現状、wpは商標登録されてない使えるのですが、 WordPressは商標登録されているので使用すべきではありません。

今回の実験は、潜在的な商標乱用を防止するための対策の一環であるとしています。
一旦、実施してみて今後の方向性を定めるようです。

参考：WordPress.org Experiments with Rejecting Plugin Submissions with the “WP” Prefix to Mitigate Potential Trademark Abuse

オートマティック社がWordPressセキュリティに有効なプラグインを紹介

Wordpressはシェア率が非常に高いCMSですが、その分ハッカーの標的になることもあります。
ソフトウェア自体にセキュリティ問題はないものの、古いプラグインやテーマ、安全でないパスワード、不十分なホスティング環境など、予防可能なセキュリティ問題を抱えているサイトがハッキングの標的となっています。

安全なサイトを運営する上で、必ずしもWordPressのセキュリティプラグインが必要というわけではありませんが、高度な保護を簡単に追加できる手段としておすすめされています。

オートマティック社がこの記事内で紹介したセキュリティプラグインは以下の12個です。

• Jetpack
• Wordfence
• iThemes Security
• Sucuri
• All In One WP Security & Firewall
• Defender Pro
• Bulletproof Security
• Security Ninja – Secure Firewall & Secure Malware Scanner
• SecuPress
• Astra Security
• WPScan
• Shield Security

記事の終盤では、「最高のWordPressセキュリティプラグインは何か？ 」という題に対して、「JetpackはWordPressWebサイトのセキュリティとしては最上位の選択肢」と述べています。

Jetpackは堅牢な予防および解決機能を有し、妥当なコスト、簡単なセットアップ、優れたサポートとバランスのとれたセキュリティプラグインであると紹介しています。

また、セキュリティスキャンツールでは無料で使える上に脆弱性を特定できる「WPScan」。
バックエンドのほぼすべてを微調整でき、多くのクライアントサイトに独自の包括的なセキュリティ機能が提供できる「BulletProofSecurity」も紹介しています。

参考記事：The Best WordPress Security Plugins

WordfenceとWPScanがWordPress Security Reportの中間報告書を公開

WordfenceとWPScanは2021年前半のWordPress Security Reportを共同で発行しました。
このレポートによると2021年の前半で、WPScanは602のWordPressプラグインの脆弱性を記録し、2020年全体で報告された514を上回ったとしています。

このレポートは、Wordfenceのプラットフォームからの攻撃データとWPScanの脆弱性データベースからのデータに基づいており、WordPressのセキュリティの現状が包括的に示されています。

レポートでは、特にパスワード攻撃の増加が強調されており、Wordfenceは2021年前半に860億を超えるパスワード攻撃の試みをブロックしたと報告しています。

サイト所有者に対して、利用可能な全てのアカウントで2要素認証を使用し、それぞれ固有の強力で安全なパスワードを設定、使用していないときはXML-RPCを無効にし、ブルートフォース保護を導入することを推奨しています。

WordfenceのWebアプリケーションファイアウォールのデータでは、脆弱性の悪用とブロックされたIPアドレスが40億を超えるリクエストがあったことを報告しています。

攻撃者が許可されていないファイルにアクセスし、サイトの/wp-config.phpファイルの読み取りや削除などのアクションを実行するリクエストが27.1％となっており、古い脆弱性が依然として標的となっていると言及しています。

WPScanによって記録された602の脆弱性のうち、3つだけがWordPressコア内で発見されたもので、残りの多くがプラグインに起因しているとのことです。
クロスサイトスクリプティング（XSS）の脆弱性が52％、クロスサイトリクエストフォージェリ（CSRF）が16％、SQLインジェクション（13％）、アクセス制御の問題（12％）、ファイルのアップロードの問題（7％）と内訳を公開しています。

WPScanは報告された脆弱性のうち17％が重大、31％が高い、50％が中程度の重大度であると言及。

「新たに導入されたプラグインやテーマには脆弱性はあまり見られないが、古いプラグインやテーマには、今まで検出されなかった脆弱性が多数報告/修正されています」とWordfenceは述べています。

クロエ・チェンバーランド氏は、「発見されているのは新たに導入されたプラグインやテーマからの脆弱性ではないことを考えると、脆弱性の増加はセキュリティの安全性が低下しているのではなく、古いプラグインやテーマから脆弱性が多数報告/修正されているので、安全性が高まっていると考えている。」語っています。

この中間報告書はPDFとして入手でき、WPScanWebサイトから無料でダウンロード（https://wpscan.com/2021-Mid-Year-WordPress-Security-Report.pdf?__cf_chl_jschl_tk__=pmd_LVtrjXcwjUPmg5jCSxsdX2sJIfLOhWWGEy9FmkdrXT8-1629823172-0-gqNtZGzNAlCjcnBszQiR）できます。

参考記事：Wordfence and WPScan Publish Mid-Year WordPress Security Report/a>

>> wp.supportに無料相談する