最終更新日:2024.10.22
WordPressのプラグイン、使っていますか? 使ってないという方はほとんどいないと思います。便利ですよね。便利なものは使い倒してしかるべき、そう思います。
不正アクセスやサイトの改ざん、それによる個人情報の漏えいなど、世間で騒がれるたびに自社のWordPressサイトは大丈夫なんだろうかと、ふとセキュリティを気にすることがあると思います。
実際、便利なWordPressのプラグインにも危険性はあります。
プラグインを利用する場合の、セキュリティ面のリスクについて解説していきます。
WordPressのプラグインを使用するメリット
まずは、メリットについてですが、プラグインを使用するメリットはシンプルに、機能を拡張できることです。WordPressで実現したいと思う機能は、プラグインを利用することで大体実現できるのではないでしょうか。
ですが、プラグインを使って簡単に機能実装できるのはメリットであり、デメリットでもあります。
採用するWordPressのプラグインを厳選したほうがいい理由
セキュリティリスクがある
現在公開されているプラグインでも更新が止まって古くなっている、安全ではないコードが含まれているプラグインがあります。ソースコードを読めるなど、よほど詳しい人でない限り見分けることは困難です。WordPressのサイトに公開されているから安全だろうということはありません。中には故意にセキュリティホールを作って公開し、不正アクセスへの取っ掛かりとするためのプラグインもあるかもしれません。
インストールしているプラグインが増えるとその数だけリスクが増えるため、プラグインは基本的に必要最低限しか使わない、もしくは目的のもの以外をインストールしたままにすることは控えましょう。
読み込むファイル数が増えてサイトが重くなる
プラグインを有効化するとサイトの表示時に読み込むファイル数が増えることがあります。そうするとファイル数に比例して表示するまでの時間が長くなっていきます。
また、データベースに情報を保存するタイプのプラグインを使用しているとデータベースが肥大化し、サイトが重くなります。
サイトの表示がおかしくなる、インストールしたプラグインが動かない、ログインできない
あれもこれもそれも…とプラグインをインストールした結果、プラグイン同士がバッティングして動かないということも起こります。エラーが出てログインできないことや、CSS・JavaScriptの読み込みが競合してサイトの表示までおかしくなる…ということも起こりえます。
このようなトラブルに見舞われないためにも、有効化するプラグインは厳選しましょう。
使わなくなったプラグインは削除しよう ~セキュリティリスクを減らす~
これはとても大事なことなのですが、使わなくなったプラグインは「無効化」だけではなく「削除」しましょう。
無効化しただけのプラグインはWordPress上で動くことはなく、サイトを重くする原因にはなりませんが、実行可能なファイルであることに間違いはありません。
無効化していてもプラグインは更新があると更新可能なプラグインとして管理画面上に表示されます。今は大丈夫でもプラグインがハッキングされ、更新ファイルとして悪意のあるファイルをインストールさせられる危険があります。
プラグインを削除していれば回避できる問題です。さらにプラグインの管理画面が煩雑になることも避けられます。
プラグインのセキュリティホールを使用してウェブサイトの改ざんや不正なメール送信が行われることもあります。無効化しただけの状態ではその脆弱性が突かれ、不正アクセスの対象となることもあります。
でも追加したい機能がある…という時は?
プラグインを使わずとも機能の追加は可能です。phpファイルを編集する必要があるため難易度が高くなりますので、まずは弊社などの専門家にご相談ください。プラグインはあまり使いたくないんだけど、こういう機能を追加したい、というご相談も大歓迎です。
