WordPressテーマやプラグインは公式ディレクトリに登録されているものか、もしくは信頼できる会社(個人)のものを使おう。
WordPressのテーマ(外観デザインのテンプレート)は3つに分けられます。
①WordPress.orgの公式ディレクトリに登録されているテーマ(公式テーマ)
②WordPress.orgの公式ディレクトリには登録されてないけど、出所がはっきりしていて信頼できる企業(個人)がリリースしているテーマ(非公式テーマ)
③WordPress.orgの公式ディレクトリには登録されておらず、出所がはっきりしていなかったりよく知らない人がリリースしたテーマ(野良テーマ)
テーマだけでなくプラグインも同じで、公式プラグイン・非公式プラグイン・野良プラグインが存在します。
そして利用するテーマは①か②を利用してください。
制作会社に制作してもらうのではなく自分で頑張ってWordPressサイトの作成をしようと思っている方は、
①を使うことをおススメします。
なぜ公式ディレクトリテーマがいいのでしょうか?
公式ディレクトリテーマを利用することはたくさんのメリットがあるからです。
(セキュリティ問題だけに限らず)
WordPress公式ディレクトリのテーマを使う5つのメリット
1.バグや脆弱性が少ない
WordPress.orgの公式ディレクトリにテーマを登録するには、レビュアーという審査員からの厳しい厳しい審査を通る必要があります。
レビュアーは公式ディレクトリに登録するのにふさわしいかどうかだけでなく、不具合や脆弱性がないかもチェックしており、
もし不具合や脆弱性があれば登録者にキックバックし登録を認めません。
よって、公式ディレクトリに登録されているテーマはバグも脆弱性も少ないといえます。
2.悪意のあるソースコードが組み込まれていない。
野良テーマの中は悪意のあるコードが組み込まれていて、情報を抜き取られたり、不安定な動作を起こすなど問題があるときがあります。
公式ディレクトリのテーマは1.で述べた通り、レビュアーの審査を通らないといけないので、そのようなコードが組み込まれていることはありません。
よって、安全だといえます。
3.WordPressフォーラムで質問や相談ができる。
公式ディレクトリに登録されているテーマで、疑問ができたり悩んだり、また困ったことや相談に乗ってほしいことができたとき、
WordPressフォーラムで質問や相談ができ、WordPressコントリビュータや専門家の意見が聴けます。
意外と知られていませんが、WordPressフォーラムに質問・相談ができるのは公式ディレクトリのテーマのみで、非公式テーマや野良テーマはサポート対象外です。
そのため、非公式テーマは販売元がサポートまでしていれば対応してもらますが、「サポートはしません。」という場合は、誰に聞くこともできません。
そのため、非公式テーマを使う場合は必ずサポートはあるかどうかも確認してください。
4.WordPressの管理画面からワンクリックでアップデートができる
公式ディレクトリのテーマは更新がされるとWordPressの管理画面(ダッシュボード)に数字などが表示されます。
攻撃する人の攻撃の手口や技術はどんどん進化してますので、セキュアなwebサイトを保つには、更新は日々されアップデートは必須事項です。
(これはWordPressに限ったことではありません)
そのアップデート作業を管理画面からボタンクリックひとつでできます。
非公式テーマにも管理画面からワンクリックでアップデート機能を持つものもありますが、ない場合は自分でFTPなどを使ってアップデートする必要があります。
5.制作者や最後の更新などがはっきりわかる
制作者が誰だか分かるので、当然信用問題もあるので、問題が発生すればすぐに対応してくださいます。
また、最後の更新が分かるということは、古いものは最新のWordPress本体や攻撃者の攻撃には対応していない可能性があるので使わない。
という対策が取れます。
逆に2年以上更新がとまっているテーマは使わないようにしましょう。
公式ディレクトリのメリットはまだまだありますが、セキュリティに関係するところではこんなところです。(まだまだあるかもしれません)
非公式のテーマを使いたい場合は?
そんなこんなで公式ディレクトリテーマを使うことが一番いいのですが、非公式のものを使いたい場合もあると思います。
その場合は、誰が(どこの企業が)作ったものがの出所とその出所が信頼できる個人(企業)であることが大切です。
そしてアップデートなどの運用サポートが受けられるかどうかも大切な項目です。
誰が作ったか?(どこの企業が作ったか?)が明確でないものは利用を控えた方が賢明です。