こんにちは、キノトロープの濱田です。

この連載ではWeb担当者の皆様からいただいたお悩みに答えていきます。

本日のお悩みは下記です。

ご指摘のとおりWordPressの利用者は多く、それゆえに標的になりやすいためセキュリティや脆弱性に関するニュースも度々目にしますので、そういった不安感からの質問かと思います。

弊社では数多くのCMS導入を行っており、開発ができるエンジニアも多数抱えています。

そういった実績を踏まえ、制作会社としての視点から「WordPressって実際どうなの?」というお悩みに答えていきます。

WordPressはもともとは簡素なツールでしたが、現在では機能が増え、モジュールを使用しカスタマイズすれば多くのことが実現できる優れたツールであると思います。

よくセキュリティ面での不安感が取り上げられますが、基本的には定期的なバージョンアップで対応されています。

WordPress自体に問題があるかというと、決してそうではないと考えています。

ただ、よく問題に上がることは「WordPressを使ってWebサイトを構築したものの、作って終わりになっている場合が多く、放置され時間が経ったところを狙われ攻撃・改ざんされている」ということです。

WordPressを利用していてもメンテナンスを怠らなければ問題なく運用することが可能ですが、自社内で管理していると、メンテナンスコストは他の商用CMSと比べても高くなってしまいます。

WordPressはCMS本体だけでなくカスタマイズモジュールも使用する関係上、それらに脆弱性がないかを個別に確認していかなければなりません。

運用にあたり「常にチェックし続けて、バージョンアップがあればすぐに対応」といったことを継続して行う必要があります。

それらを踏まえると、しっかりと維持・管理していくための運用コストは決して安価とは言えないでしょう。

WordPressを導入する方の多くは「無料のオープンソースのためコストを抑えられるから」「モジュールの組み合わせ次第でWebサイトが簡単に作れるから」という理由で選定しているのではないかと考えます。

あまりコストをかけたくない利用者が、価格を理由にWordPressを導入したものの、

度重なるバージョンアップやセキュリティの維持に想定していた以上のコストが発生してしまう

それを快く思わない利用者はWebサイトを放置してしまう

その隙を突かれて攻撃や改ざんを受けてしまう

という図式が出来上がっていることは想像に難くありません。

また、モジュールは不特定多数の利用者が作成しており、それぞれの脆弱性情報も散乱しています。

開発規模が大きいWebサイトで利用を考えるときには多数のモジュールが必要になり、すべての脆弱性情報をチェックするのも現実的ではないといえるでしょう。

弊社ではWordPressを利用しているお客様から、リプレイスしたいとご相談をいただいたくことが多くあります。しかしプロジェクトを始動させ調べていくと、セキュリティ面で問題を抱えていることが多い印象を受けます。

先ほど記載した通り、WordPress自体に問題があるわけではないものの「オープンソースである」「世界的にシェアが高い」という理由から攻撃を受ける可能性、脆弱性を突かれる可能性が高いツールではあると言えます。

そのため、もし何かあったときに企業として大きな問題につながる可能性を危惧しているお客様も少なくありません。

実際に、Web担当の方にお話を伺うと、メインのコーポレートサイトには商用のCMSを、何かあっても比較的ダメージの少ないブログサイト、サテライトサイト、キャンペーンサイトなどにはWordPressを、といった使い分けをしていることもあるようです。

しかし、ある程度大きな企業のコーポレートサイト、サービスサイトに適用したいというご相談をいただいた場合、バージョンアップにかかるコスト、もし何かあった場合の安心感を踏まえて他のCMSをご提案させていただくことが多いです。

WordPressを使用してWebサイトを作ること自体には問題はありませんが、意識していただきたいのは、社内でWordPressを利用した小さなサイトが乱立してしまうことです。

安価で簡単に利用でき、各部署単位での決裁権の範囲内でWebサイトが作れてしまうため「サービスサイトを作ろう」「オウンドメディアを作ってみよう」と社内でWebサイトが乱立している企業があるということは、よく耳にします。

しかし、会社単位で考えてた時、「誰がどう管理しているかの把握が難しい」「バージョンも最新化されておらずセキュリティリスクがあちこちに存在する」といった状況はWebサイトの在り方として少し危険ではないでしょうか。

複数のWebサイトを安全に運用するためには「CMSを同一のものに揃える」「WordPressを使用する場合であればバージョンを統一する」「情報システム部が常に監視できるようインフラ環境を一つにまとめる」など、会社全体でセキュリティについて考え、維持していく必要があると考えます。

先述の通り、バージョンアップが頻繁に行われることや、複数のモジュールを組み合わせて使用している関係上、バージョンアップしたときに特定のモジュールがうまく機能しない、といったことが起こり得ます。

本来こういった事象はモジュールの作成者がバージョンアップなどの対応をすべきですが、それがなされない限り利用者には手の打ちようがなく、泣く泣くその機能を切り捨てる、あるいはWebサイトごとリニューアルせざるを得ない、ということになってしまいます。

その結果、システムのメンテナンスにばかりコストがかかり、本来Webサイトに求める効果にコストを割けません。

また、企業としての信用度を担保することが課題となり、リニューアルのプロジェクトが立ち上がることにもつながります。

それがWordPressが敬遠される理由であり、運営していく上での一番の問題ではないでしょうか。

WordPress自体には問題はなく、「コスト」「機能」など多くのメリットがあるため、最もシェアが高いCMSとなっています。

メンテナンスやバージョンアップを怠らず「Webサイトを作って終わり」ではなく、その後の運用についても代理店・制作会社と相談の上で運用することが大前提となります。

WordPressに限らず、代理店・制作会社がどのようなツールを提案してきた場合でも、提案元とメンテナンスなども含めた計画をしっかりと立て、導入することが重要です。

キノトロープのセミナー

Web担当者応援マガジン

がんばれ!Web担当者

属人化の嵐の中で、時間と各部署とそして上司と戦うWeb担当者のために


Vol.01

失敗しないための
引継ぎしない、引継ぎの仕組み

大規模CMS成功の法則