昔書いたものをメモ。
弊社では更新のしやすさ、という観点でWordPressの使用を推奨しております。
またSEOの観点でもGoogleが推奨(https://wisdommingle.com/high-performance-seo-with-wordpress/)
しているように、WordPressは効果的です。
WordPressに脆弱性があると報告される要因として、
WordPressの使用率がその他のCMSよりも圧倒的に高いというのが考えられます
(https://news.mynavi.jp/article/20190507-817761/)。
そのため、ユーザー数が多く、脆弱性が発見されやすい・目につきやすいということが考えられます。
例えば国内で比較的ユーザー数が多く、静的にHTMLを吐き出すため高セキュリティと謳われているMovable Typeもあまり目立ちませんが、脆弱性の報告がされることがあります(http://www.security-next.com/109830)。
そもそも脆弱性はプログラムを設置しているシステム上では必ず存在しているといっても過言ではありません。
脆弱性は、不正アクセスされた際に、Webサイトを改ざん・サーバーにウイルス感染させることが問題となりますが、
弊社では不正アクセスそのものを防止することで、脆弱性を表面に出さないといった措置をとることで、セキュリティを担保しています。
※ 世の中のWebセキュリティ対策はこの方針が主で、高セキュリティが求められる大きな例だとホワイトハウスのWebサイトにもWordPressが使用されています
https://www.publickey1.jp/blog/18/cmswordpressdrupal.html
例えば、不正アクセスを防止する対応として、
(一般的な手法ですが)管理画面へのアクセスを貴社IPのみに限定することで、外部者の管理画面への侵入をほぼ100%シャットアウトできます
(サーバーのFTPアクセスの制限がなされていない場合は、設定が書き換えられ侵入可能となります)。
もちろんこれ以外の箇所にも弊社にはWordPressそのものに対するノウハウも蓄積されていますので、
低コストで強固にセキュリティを確保することが可能です。
また更新のしやすさなど管理画面の操作性についても他のCMSよりはるかに良いものに調整することが可能となっておりますので、
いま一度WordPress使用のご検討をいただけますと幸いです。
2022/07/03追記
「WordPressがセキュリティ的に危険」は独占禁止法違反?
CMSベンダーに独禁法違反の疑い 「独自の方がセキュリティ対策になる」と自治体に営業、他社参入を阻害
これらの記事のように、オープンソースを使う業者が参入しにくくなるような働きかけが独占禁止法に抵触する可能性があるとのこと。
私が昔所属していた会社も独自CMSを使用し、そのように働きかけていたが、どうやらそのような文言は使いづらくなりそうだ。
コンテンツファーストの時代が近づいている。
オープンソースソフトウェアについては、ソースコードが公開されている点で、脆弱性が発見されやすく第三者からの攻撃の標的になりやすいとの指摘がある。しかしながら、オープンソースソフトウェアではないソフトウェアについても、脆弱性が存在している場合はある。
https://capitalp.jp/2022/07/01/jftc-says-wordpress-is-not-always-unsecure/
公正取引委員会は、情報セキュリティ上の問題について、使用するソフトがオープンソースであるか否かにかかわらず、適切なシステム構築と保守、運用が重要であり、独自CMSとしないといけない理由はないとの見方を示した。
https://www.itmedia.co.jp/news/articles/2206/30/news214.html