WordPress のセキュリティ（プラグイン）

WordPress のプラグイン（WordPress に様々な機能を追加するソフトウェア）は想像以上に高い自由度を持って WordPress のデータを取得したり新たに書き込んだりすることができる。この自由度が WordPress の価値を高めてきた反面、セキュリティ上のリスク要因ともなっている。

2022年に入ってからの WordPress 関連脆弱性報告をざっと見ただけでも、そのほとんどはプラグインによるものだ (*1)。プラグインの更新を常時行っていればとりあえずはリスクは大きく低下すると考えられる。ただ事実として、プラグインによって WordPress の安全性が大きな影響を受けることは知っておく必要がある。

プラグインを選ぶときは「定期的なメンテナンスが行われている」ことが最低条件。プラグインの人気があるかどうか、というのは実際のところそれだけではセキュリティ対策レベルの意味ではあまり参考にならない。人気があればターゲットにもなりやすいジレンマがある。またプラグインを公式ディレクトリに公開するのに、特段厳しい品質上の審査があるわけでもない (*2)。

参考

1. 米国 NIST が管理する脆弱性情報データベース (NVD) の検索結果によると、2022年に入ってから現在（本投稿日）までの間に、特に「深刻」（＝脆弱性レベルがほぼMAX）と判定された WordPress が関係する脆弱性情報合計100件程度のうち、ほぼ全てがプラグインによるものと確認できる。
2. Plugin Guidelines https://developer.wordpress.org/plugins/wordpress-org/detailed-plugin-guidelines/