WordPressの更新、後回しにしていませんか?
「壊れるのが怖い」で、更新が止まる
WordPress本体やプラグインの更新通知が出ていても、「更新して表示が崩れたら困る」という不安から、そのままにしてしまうことがあります。実際に更新が原因で表示が乱れることもあるため、この不安自体は理由のないものではありません。
ただ、更新を止めることで避けられるリスクと、更新しないことで抱え続けるリスクは、天秤にかけて考える必要があります。
更新通知は、修正内容の告知でもある
更新には、新機能の追加だけでなく、不具合や脆弱性の修正が含まれていることが多くあります。特にセキュリティに関わる修正は、更新履歴の中で目立たない形で記載されることも珍しくありません。
更新を先延ばしにするということは、その修正が反映されないまま、既知の弱点を抱え続けるということでもあります。
「動いているから大丈夫」は、判断材料にならない
表示上問題なく動いているという事実は、脆弱性の有無とは関係がありません。脆弱性は見た目の動作に影響を与えないことが多く、正常に動いているように見えても、内部には修正されていない弱点が残っている場合があります。
「特に問題は起きていないから」という理由だけで更新を判断するのは、リスクを正しく評価できていない状態と言えます。
更新を怖がる理由の多くは、テストの欠如
更新による表示崩れが怖いのは、多くの場合、本番環境にいきなり適用しているためです。テスト環境で事前に動作を確認してから本番に反映する、あるいは自動バックアップを取ってから更新するといった手順があれば、失敗した際の後戻りも容易になります。
更新そのものを避けるのではなく、更新の手順を安全に整えることのほうが、根本的な対策になります。
自動更新にも、向き不向きがある
軽微な修正であれば自動更新に任せられますが、大規模な更新やメジャーバージョンアップは、動作確認をしてから適用したほうが安全な場合もあります。すべてを自動化するか、すべてを手動で確認するかの二択ではなく、更新の種類に応じて使い分けることが現実的です。
自動更新に任せている部分についても、実際に反映されているかどうかを定期的に確認しておくと安心です。
更新と監視は、セットで考える
更新を徹底しても、更新前にすでに侵入されていた場合には意味をなしません。更新を続けることと、異常が起きていないかを継続的に見ることは、それぞれ別の役割を持つ対策であり、どちらか一方で完結するものではありません。
運用しているWebサイトの更新状況と、監視の有無をあわせて点検してみることをおすすめします。
更新の抜けも、Scanrollが気づきます
詳しく見る →