WordPressに深刻な脆弱性

しばしば発覚する脆弱性

WebサイトのCMS（更新システム）として広く普及しているWordPress（ワードプレス）ですが、Windowsがさまざまなセキュリティホールを突かれているのと同様に、シェアが大きければやはり攻撃対象となるもので、、WordPressもご多分に漏れず しばしば脆弱性が発覚しています。

WordPressは、機能追加や不具合対処、脆弱性対応等により、じつはかなり頻繁にバージョンアップしています。
通常は影響度が小さかったりしてバージョンアップ版にアップグレードしていなくても、そんなに甚大な影響はないのですが、その中で深刻な脆弱性というものが発覚するケースがあります。
今回も その深刻な脆弱性が発覚したことがアナウンスされ、業界ではちょっとした騒ぎになりました。。

Webサイトが改ざんされる危険性

今回の脆弱性は、Webサイトが改ざんされる危険性がある、というもの。
詳しくは こちら「WordPress の脆弱性対策について：IPA 独立行政法人 情報処理推進機構」 を参照ください。
被害を受けたサイトも多数あるとの報告です。

弊社のクライアントでもWordPressで制作したサイトは多数あります。
対象となるお客様に「【重要】更新システムWordpressの脆弱性」というメールを配信し、アップデートを呼びかけています。

判断が分かれるアップデート対応

アップデート作業が発生すると、当然ですが そこには費用を伴います。
最終的にはお客様のご判断になりますが、以下の3つのパターンに分けられます。

(1) メンテナンスパック対応のアップデート
弊社では、WordPress脆弱性対応を含めたメンテナンスサポート等も行う「メンテナンスパック」という月額制のサービスを用意しています。（契約内容によりサポート範囲は異なります）
メンテナンスパックの契約内容でWordPressの更新も含んでいるお客様のサイトは優先的に脆弱性対応のアップデート作業を行っていきます。
手前味噌になりますが、、こちらのパックは毎月一定額までの更新作業料も込みになっていたりと、手厚いサポートでお得なプランです。(^^;

(2) 都度見積りでアップデートを行う
メンテナンスパックは契約していないけれど、都度見積りでアップデートを行うケースです。
定期的な契約は希望されないお客様もいらっしゃるので、そういう場合は その都度お見積りをして、アップデートを行っていきます。

(3) アップデートしない
脆弱性の対処が必要なことをお伝えしても、最終的にアップデートはしない、と判断されるケースもあります。
理由はそれぞれあろうかと思いますが、、費用がかかる、セキュリティの認識が弱い（ない）、社内決済が通らない、などでしょうか。
　
　
当然強制できるものではないので、我々としては危険性や影響度などをお伝えしていますが、最終的にはお客様のご判断になってきます。

万が一、脆弱性等の被害にあって自社のお客様にご迷惑をかけるようなことになれば、会社の信頼性やブランドの低下を招くことになります。
WordPressの脆弱性対応に限った話ではありませんが、Webサイトのメンテナンスは しっかり行っていただきたいものです。