WordPressの改ざんで最も多いのは、プラグインからの侵入です。
被害の半数以上はプラグインがきっかけになっているという調査もあります。
それでも更新が行われないのはなぜでしょうか。
当社に持ち込まれる案件の中でもプラグインもコアも古いままというサイトが多くあります。
多くに共通するのは、「更新させない仕様」にされているということです。
更新させない仕様にされる理由
ひとつは更新で機能の不具合が生じ得ること。
「その際の保証まではできない、保守契約もないし」というケースは大変多いように見受けられます。
これは一見わからなくはないのですが、メジャーなプラグインであればそうしたケースはそれほど多くありません。
また、長期的なサポートが必要な場合、それに見合った対価を提示する必要があります。
ところが、相見積もりが当たり前ですしそこの部分をクライアントが隠すケースも多く、競わせるために事実と異なる前提条件を各社に提示しているケースもあります。
よって、事前に前提条件を書面にした上で各社に提示してもらう、それでも見合わないようなら降りるという選択も必要です。
次に、プラグインへの依存度が高すぎる、という点が挙げられます。
平均的に15以上のプラグインがあり、多いケースでは数十のプラグインが入っています。
更新により、プラグインの競合が起きたり不具合が起きても特定に時間がかかるといった問題が予想されます。
このため、そうしたリスクを取りたくないので更新情報自体をみせない、ないことにしてしまうといったものです。
これはそもそも制作会社側の受託件数の少なさや、スキル不足に多く起因しています。
どのサイトを見ても入っているプラグインは似通っており、これはつまりフレームワークとして自社構築してしまえば良いものです。
プラグイン依存が進んだ結果、そのプラグインがどんな動作をするのかを制作者自身も把握していません。
またこうなった原因はすべてをプラグインで解決してしまう格安個人の「やっつけ仕事」にもあります。
次に、プラグインをカスタマイズしているというケースです。
基本的にプラグインで常に問題解決する癖がついていると、自分でコードを書くことができないため、安く済ますために勢いプラグイン自体をカスタマイズしてしまうわけです。
顧客は表面しか見ないので喜ぶかもしれませんが、実際には更新できないプラグイン、更新のたびにマージが必要なプラグインが出来上がります。
最後にサーバーの問題があります。
ユーザー権限の変更ができないなど、ホスティング事業者が極端にユーザー権限を狭めているケースです。
また直近の事案ではphpのバージョン選択で最新のものが5.3というケースもありました。
こうなるとコアのアップデートにも問題が出ます。
更新情報を表示させないのは警告ランプのコードを切って車を売るようなものです
原則として、更新情報は必要だからこそ表示されます。
WordPressのコアもプラグインも制作納品以降にセキュリティアップデートは必ず起こりますから、これを分からない状態にするのは大きな問題です。
車で言えば、警告ランプの配線を切って壊れても光らない状態にして販売するのと同じです。
実際に壊れた後で、
「でも警告ランプ付かなかったよ」
「ええ、そもそも配線が切られてますね」
これは重大かつ危険な行為で、事業者としての信用を大きく毀損する行為であると言えるのではないでしょうか。
改ざん被害に遭ってWebRepairをご利用されるお客様にはこれと同じ状態の方がたくさんいらっしゃいます。
顧客の同意や指示のもとそうするケースはまだしも、顧客が全く知らないままそうなっているものがたくさんあるのは問題です。
「更新はない、最新の状態ですと出ている」とお客様が仰られても、実際には通知させない仕様になっている場合WebRepairではそれをきちんとお客様にお知らせしています。
カテゴリ:wordpressの改ざん
タグ:
WordPress改ざん復旧サービスの価格相場、海外とどう違う?
HEREISTITLEというタイトルの記事が自動投稿されてしまう改ざん事案