WordPressは危険？最新バージョンにアップデートして利用しよう

WordPressは最新バージョンでリスク回避

WordPressを使うことのリスク

　
2013年 9月の情報ですが、情報処理推進機構（IPA）から下記のような注意喚起がなされています。
　http://www.ipa.go.jp/security/topics/alert20130913.html
　
これを見ると、「WordPressを利用するのはリスクは高いのではないか？」と考えてしまうことも致し方がないことだと思います。
ですが、この注意喚起の中に書かれている内容は、「危険だから WordPressは使わないように」ではなく「古いバージョンの WordPressを使っている方は最新のものにバージョンアップを」となっています。
　
つまりは、オープンソースである WordPressを使う場合は、セキュリティ対策の最優先事項は、最新バージョンにしておくこと！ということをしっかり認識しておく必要があるでしょう。
　
　
WordPressがオープンソースで、多くの開発者と多くの利用者がいるということは、セキュリティホールが発見されやすい状況であるともいえます。
ですが、開発者も多いため、セキュリティホールが発見されてもその対策も素早く実施されるということでもあります。
　
つまり、WordPressは多くのユーザ、開発者に支えられ、セキュリティホールがあってもすぐに対策が実施され、最新版であれば安心して使えるシステムになっています。ということです。
　
WordPressが危険なプログラムなのであれば、ここまでユーザが広がることはなかったのではないでしょうか。
　
　
逆に、利用者が少なく、開発者が少なく、バージョンアップが少ないシステムの場合は、セキュリティホールは見つかりにくいかもしれませんが、セキュリティホールが見つかってもその対策が実施されるまでに時間がかかり、場合によっては対策が実施されない可能性もありますので、こちらの方がリスクは高い場合があるでしょう。
　
　

WordPressのアップデートを行う前にバックアップを

　
WordPressのアップデートを行う前には、必ずバックアップを取りましょう。
　
WordPressのバックアップというと「BackWPup」というメジャーなバックアッププラグインがありますので、それを利用すると便利です。
詳しくは「BackWPupでWordPressのDBもファイルもバックアップ」に書いていますので参考にしてください。
　
BackWPupの関連記事は 10記事ほど書いていまして、バックアップを取った後元に戻すリストアの方法も「BackWPupでバックアップ・リストア（復旧）の具体的手順」として記事を書いていますので、参考にしてください。
　
「BackWPup」は設定項目が多く取っつきにくい印象はありますが、ほとんど項目はデフォルトのままで設定が終わりますし、一度設定してしまえば、バックアップの実行はワンクリックで実行完了になりますので非常に便利です。
　
　
また、WordPressのアップデートに関しては、公式オンラインマニュアルである「WordPress Codex」に説明書きがされていますので、参考にするといいでしょう。
http://wpdocs.sourceforge.jp/WordPress_のアップグレード/詳細
　
ここでもまずバックアップを、と書いてありますように、万一に備えてバックアップを取る習慣を付けておきましょう。
　
　

WordPressのアップデートの実行

　
具体的な更新手順です。
この手順は、WordPressのバージョン 3.9から 4.0へのバージョンアップ時の手順です。
基本的な手順はどのバージョンでも変わりませんが、各画面のイメージや遷移する画面が違う場合はあるでしょう。
　

　
管理画面の上部にある「更新してください。」をクリックします。
　

　
「今すぐ更新」をクリックします。
ちなみに、「Important: before updating, …….」の部分には、前項でも書きましたが、バックアップを取ることは非常に重要なことですので、BackWPupでバックアップを取りましょう、と書いてあります。
それくらい万一の時に備えてバックアップが大事だ、と言うことですね。
　

　
「今すぐ更新」をクリックすると、ファイルがダウンロードされ、アップデートが開始されます。
時間は 10秒～1分ほどです。ここはサーバと回線スピードによって影響を受けますので各サーバで大きく違うと思います。
ダウンロードの処理などが行われている最中は上記の画面が出る場合がほとんどですが、私の環境では、アイコンがぐるぐる回るファイルをダウンロードしている状況の表示が出続け、上記の画面が出るのは一瞬でした。
　

　
そのあと、アップデートは自動的に終了し、自動的にログイン画面に切り替わります。
　
　

　
定期的にアップデート作業をしていた場合はこれで終了ですが、3.9より以前のバージョンからバージョンアップする場合などは、上記のようにデータベースの更新を求められる場合があります。
「WordPressデータベースを更新」をクリックし、データベースを更新しましょう。
　

　
しばらく待つと更新が完了します。
　
　
また、「WordPressの管理画面ログインURLの変更方法解説」で説明している方法で管理画面のログインURLを変更している場合は、アップデート終了後、ログイン画面切り替わらずに真っ白な画面になってしまいます。
　
これは、エラーと言えばエラーですが、元々のログインURLである「http://………/wp-login.php」を変更していることが原因ですので、改めてログイン URLを入力してログインし直してもらえれば問題ありません。
アップデートは正常に終了しています。
　
　

WordPressのアップデートは怖くない

　
アップデートを実行は、日常的な記事を投稿する運営に比べるとトラブルが発生する可能性を高めることは間違いありませんが、アップデートは不具合が起こらないように作られたプログラムによって実行されますので、基本的に不具合は起こりません。
　
また、ブログシステムとして利用していて、管理画面から変更できる部分しか変更していない場合（プラグインの追加やテーマを変更することによるデザイン変更など）は、トラブルは起こらないように作られています。
　
　
下記のサイトに説明がされていますが、
http://9ensan.com/blog/wordpress/fix-wordpress-apply_filters-add_flter/
　
/{WordPressがインストールされている場所}/wp-include/
のフォルダの中にはコアファイルと呼ばれる WordPressの基本プログラムが入っています。
　
ここはバージョンアップする際に差し替えられる部分ですので、ここに手を加えてはいけません。
逆にここの中のプログラムに手を加えた場合は、バージョンアップの度にまた戻す必要が出てきますので、バージョンアップが億劫になるため、セキュリティの低下を招く結果となります。
　
「wp-include」フォルダの中の処理は、「/wp-content/themes/{テーマ名}/functions.php」の中でフィルターフックを利用することで関数を拡張することができるようになっていますので、「wp-include」フォルダの中は手を加えないようにしましょう。