突然ですが、WordPressのセキュリティ、どうしてますか？

さまざまなセキュリティ対策が語られていますが、結局重要なのは、

1.パスワードを強固にすること

2.本体とプラグインを最新版にアップデートすること

の2つが本質であることは変わりません。また、欲を言えば、管理画面へのアクセスにはベーシック認証を書けたり、IP制限をかければ尚良です。

ただ、1.はともかく、2.は嫌がる管理者も多いのは事実。

カスタマイズした部分に不具合が出たり、サイトが止まってしまったりと、アップデートにはとにかくリスクがついて回ります。

それなら「今すぐ」には不具合が出ない、アップデートを先送って、多少のセキュリティリスクには目をつぶろう……

そんなふうに考えてもおかしくありません。

そんな管理者の心理にダイレクトで届くのが、WordPressのセキュリティプラグインです。

有名なものが幾つかありますが、その一つが今回のiThemes securityです。

以下、iThemesセキュリティの宣伝文句。

ITHEMES SECURITYは＃1のWORDPRESSセキュリティプラグインです

iThemes Security（旧Better WP Security）は、WordPressサイトを安全に保護する30以上の方法を提供します。平均して、毎日30,000の新しいウェブサイトがハッキングされています。WordPressサイトは、プラグインの脆弱性、弱いパスワード、古いソフトウェアのため攻撃の対象になりやすい。

ほとんどのWordPressの管理者は、彼らが脆弱であることを知らないが、iThemes SecurityはWordPressのロックを解除し、共通の穴を修正し、自動化された攻撃を停止し、ユーザーの資格情報を強化する。経験豊富なユーザーのための高度な機能により、WordPressセキュリティプラグインはWordPressの強化に役立ちます。

Googleの拙い日本語訳はともかく、このようなセキュリティソフトが提供する「安心感」は管理者にとって重要なものなのでしょう。

しかし、そうは言っても所詮はプラグイン。

脆弱性はいたるところあります。しかも、「セキュリティプラグイン」本体に。

JVNによれば、以下の脆弱性が報告されています。

WordPress 用 iThemes Security プラグインには、ログファイルからの情報漏えいに関する脆弱性が存在します。

iThemes Security 6.9.1 未満において、この脆弱性が出ていますが、ベンダより正式な対策が公開されています。要するにアップデートしてください、というわけです。

やはり、ある程度の規模になったら、専門の会社に運用は任せるべきかもしれませんね。