世界で最も有名なCMSである、WordPressはすでに9000万以上のサイトで使われていると言われています。

そして、その特長の一つがカスタマイズ性の高さにあることは、一度利用したことのある方であれば納得でしょう。

しかし、そのカスタマイズ性の高さ故に、時としてWordPressは重大なセキュリティホールを抱え込むことになります。

実際、ここ数週間だけを見ても

• Formidable Forms　プラグインに任意のコードを実行できる脆弱性
• Bonuspressx　プラグインに脆弱性
• Query Interface プラグインにいくつかの問題
• wordpress Photo-Gallery プラグインに、CSRFアタックに対する脆弱性
• WP Affiliate Managerプラグインに脆弱性
• WordPress iMember360プラグインに脆弱性
• Jetpackプラグインに深刻な脆弱性

と、深刻な脆弱性がいくつも発見されており、その中には対策がまだ取られていないものも含まれています。放置しておけば、重要な個人情報や、クレジットカード情報の漏洩、ひいてはサイトの乗っ取りなどを招きかねない状況です。

そして、そのほとんどの原因は「プラグイン」です。実際、WordPress本体は非常に多くの方が使い、監視の目を光らせてるので、セキュリティホールがあれば迅速に発見されますし、週背も早いことが多いです。

しかし、プラグインは違います。プラグインを使っている人はほんの少数かもしれません。また、気づいたとしても、メーカーや作者が放置してしまえばそれでおしまいです。重要なプラグインであっても、利用を止めざるをえない場合もあります。

ですから、WordPressを用いる場合は、常に最新の脆弱性情報を取り込みながら、プラグインの導入は慎重に行っていただくことをお勧め致します。