WordPress プラグインはサイトを脆弱にしますか?

現在、WordPress ディレクトリには 56,000 を超えるプラグインがありますが、各プラグインが WordPress Web サイトの潜在的なセキュリティ上の脅威になるということでしょうか?最初から怖がらせるつもりはありませんが、WordPress は最もハッキングされているコンテンツ管理システムであり、WordPress の脆弱性の多くはプラグインに起因しています。実際、WPScan Vulnerability Database は、WordPress のすべての脆弱性のうち、プラグインによって引き起こされる脆弱性が最大 23% を占めることを示しています (一方、テーマはわずか 3% しか占めていません)。 セキュリティは、Web サイトの構築を開始する際に気を付けなければならない最も重要なことの 1 つです。心配することはたくさんありますが、WordPress プラグインもその 1 つですか?

プラグインがサイトを脆弱にする可能性があるかどうかを調査するために、さらに深く掘り下げてみましょう.

サイトが脆弱になる原因は?

WordPress サイトを安全にするためにまず最初に行うことは、最初に脆弱性を引き起こす原因を特定し、排除すべきリスクを知ることです。それでは、脆弱性を引き起こす可能性のある最も一般的な要因のいくつかを簡単に見てみましょう:

• 弱いパスワード – 2017 年の最も一般的なパスワードは '123456' と 'password' であったため、強力な (少なくとも 8 文字、数字と記号を含む、アカウントごとに 1 つなど) パスワードを作成することが、セキュリティの第 1 のルールになるはずです。 .
• 不適切なコーディング – スキル、経験、時間、テスト、またはその他の多くの要因が不足している場合、開発者はコーディング中に間違いを犯したり、機能よりもセキュリティに集中できなかったりすることがあります。
• 不足している更新 – アップデートは通常、いくつかのセキュリティ パッチを提供し、誤りを修正し、(潜在的に) 最新の最高のバージョンを提供するため、古いインストールは攻撃を受けやすくなります。
• 安全でないプラグインとテーマ – プラグインとテーマは、WordPress の脆弱性の主要なコンポーネントの一部です。それらはさまざまな方法で脆弱性を引き起こす可能性があります。経験の浅い開発者によって構築されました。最新の WordPress バージョンと互換性がありません。

プラグインが安全かどうかを確認する方法

プラグインは脆弱性の原因となる可能性があるため、大きな悪意のあるハッカーのゲートウェイとして機能しないプラグインを見つけることが重要です.前に述べたように、WordPress プラグイン ディレクトリには現在 50,000 を超えるプラグインがあり、さらに多くのプラグインが Web のいたるところで利用できます。新しいプラグインを使用する前に注意すべきことのチェックリストを作成しました。

評判の良い情報源

信頼できるソースからのみプラグインをダウンロードすることが重要です。 例:WPMayor などの人気のある信頼できるリソースにアクセスして、評判の良いプラグインを見つけてください。

アクティブ インストール数

多くの人がプラグインをインストールしている場合、それはその人気の良い指標であり、チェックリストの他のポイントと組み合わせて、全体的な満足度を示しています. 例:最も人気のある WordPress SEO プラグイン Yoast SEO は、現在 500 万以上のアクティブなインストールがあります。

評価

高い評価は、プラグインをインストールしたユーザーが実際にプラグインを楽しんでおり、おそらく深刻な問題を引き起こさなかったことを意味します.念のため、コメント セクション (ある場合) をいつでもチェックして、人々が好きなものと嫌いなものを正確に確認できます。 例:Slider Revolution は、ベストセラーの WordPress プラグインの 1 つで、平均評価が 4.79 であるため、良い選択です。

最新のアップデート

アップデートが定期的にリリースされているかどうか、最新のアップデートが最近リリースされたかどうかを常に確認してください。これを確認する方法はいくつかありますが、通常、特定のプラグインの Web サイトには、すべてのリリース、日付、およびその他の重要な情報を確認できるセクションがあります。 例:Caldera Forms は、現在のバージョンのプラグインに関する新機能、修正、および一般情報を説明する更新後に記事を投稿します。

WordPress の最新バージョンとの互換性

プラグインは、WordPress の最新バージョンと互換性がある必要があります。興味のあるプラグインがそこにあるかどうかを確認する 1 つの方法は、wordpress.org にあります。 例:WooCommerce プラグインは WordPress バージョン 4.7 以降と互換性があり、バージョン 4.9.8 (現在のバージョン) までテストされています。

サポートの提供状況

利用可能なプラグインのサポート チャンネルがあるかどうかを確認することは非常に重要です。これは、プラグイン開発者がユーザーの考えや支援したいことを気にかけているという事実を示す大きな指標となるからです。 例:BlogVault には、ウェブサイトや幅広いドキュメントで簡単に見つけて使用できるチケット システムがあります。

互換性

プラグインが他のプラグインと競合しないことを確認してください。コメントやユーザーレビューをチェックして、苦情があったかどうかを確認できます.プラグインの作成者は、互換性のあるプラグインにも頻繁に名前を付けています。すべての互換性の問題は、必要なサイトを作成する上で深刻な障害になる可能性があります. 例:WPML には、WPML がさまざまな WordPress テーマおよびプラグインと完全に互換性があることを保証する互換性チームがあります。

ドキュメント

これには通常、機能の詳細な説明 (およびチュートリアル)、リリース ノート、および有用なプラグインに関するその他の重要な情報が含まれています。 例:Visual Composer には、初心者および開発者にとって最も高く評価されているドキュメントとビデオ チュートリアルがあり、定期的に更新されています。

セキュリティ スキャン

よくわからない場合は、セキュリティ スキャンを実行してみてください。 例:最高の WordPress セキュリティ プラグインの 1 つは MalCare です。マルウェア、古いソフトウェア、ブラックリストのステータスを検出し、サイトをクリーンアップしてサイトの強化対策を講じるのに役立ちます.

注目すべきプラグインは?

チェックリストとは別に、安全でない、または脆弱性があるとラベル付けされた特定のプラグインがいくつかあります。プラグインが古いか、多くの脆弱性を含むバージョンが含まれている可能性があるため、いくつかの Web サイトにアクセスして、安全でないプラグインのリスト、特定の脆弱性、およびそれらのステータスを含む、WordPress 環境の安全性に関する最新情報を確認できます (それらが存在する場合)。修正されているかどうか)、重大な脆弱性とより重要な情報を含むプラグインのバージョン。

チェックアウトするリソースのリストは次のとおりです。

• exploit-db – エクスプロイト データベースは、「公開されているエクスプロイトとそれに対応する脆弱なソフトウェアのアーカイブ」です。
• cvedetails – セキュリティ脆弱性データベース
• pluginvulnerabilities – 複数の方法でプラグインの脆弱性から保護するサービス。

データを保護する方法

サイトが安全だと思っていても、攻撃者が賢くなったり、データをいじる新しい方法を見つけたりする可能性は常にあります。それを防ぐために、考慮すべき重要なことがいくつかあります。定期的に更新し、バックアップを作成してください。 これは、サイトを保護するためにできる最低限のことであるため、WordPress のセキュリティ マントラと考えてください。

定期更新

2017 年には、ハッキングされた WordPress Web サイトの 39.3% に古いバージョンが含まれていたため、古いバージョンをインストールすると、サイトがさらに脆弱になる可能性があることがわかります。 2016 年は 61% でした。 しかしそれは、WordPress が時代遅れになるまでの時間を延ばすべきだという意味ではありません.

脆弱性を持つ可能性があるのは WordPress コアだけではありません。前に述べたように、ハッキングの大部分はプラグインとテーマの脆弱性が原因で発生しているため、利用可能な更新がある場合、セキュリティの脆弱性が発見され、開発者が次のリリースでそれを排除したことが原因である可能性があります. 更新プログラムを適用しないと、攻撃者が脆弱性を悪用してサイトをハッキングする機会を与えることになります。

Backup

Unfortunately, most people don’t think of backups unless they’ve experienced a situation when they have lost their data and have no way to retrieve it. There are many reasons you should always back up your site – issues with hosting, update complication, common hack attacks, and, many more.

It is not uncommon that people lose all of their data thanks to any of these reasons and restoring it can be a long and tedious process if it’s even possible. One of the best solutions to always be sure that you don’t lose data and it can easily be restored is regular backups, obviously.

Making regular backups might seem like a time-consuming thing at first, considering that it is advised to make backups frequently (as often as once a day), but there are services that make the process substantially easier and quicker.

So, Are Plugins Safe?

Ultimately, your WordPress site is as secure as you make it. There are many things that can make your WordPress site vulnerable, and yes, plugins are one of them, but it all comes down to the decisions you make while choosing a WordPress security plugin and dealing with the security of your site in general. There are simple steps you can take to really secure your website, so if you choose the plugins that are safe, update all installations and backup regularly, there is nothing to worry about.

Have you ever faced security issues on your WordPress installation that were related to plugins? Let us know in the comments!

Author of the Post: Irma Edite Girupniece is a video making machine who still believes she’s going to be an astronaut one day.