なぜわたしたちが、WordPress Security Advisoryを始めたのか

こんにちは、KUSANAGI 開発チーム、プロダクトマネジャーの相原です。
2025年3月6日に、「WordPress Security Advisory」として日本のWordPressユーザーさん向けにテーマとプラグインの脆弱性に関する情報の提供をはじめました。今日は、なぜ、わたしたちがこの取り組みを始めたのか、という話をしたいと思います。

WordPressのセキュリティ対策の基本、アップデートの課題

WordPressのセキュリティ対策として、管理画面に侵入されないようにアクセス制限やID/パスワードの適切な管理をすることと、脆弱性への対応としてアップデートを迅速に適用することが本当に重要です。

最近はWordPress本体の大きな脆弱性の問題は起きておらず、マイナーアップデートを自動で適用することも浸透しつつあります。

脆弱性の多くはテーマとプラグインに発生していて、とくに1サイトあたり複数導入していることが多いプラグインのアップデートが問題になります。すべてのプラグインを自動アップデートすることが理想ではありますが、アプリケーションへの影響などを考えると、実際に自動アップデートを適用することが難しいケースが多くあるのが現実です。

脆弱性情報を判断する難しさ

では、脆弱性の情報を収集して、深刻度にあわせて対応方針を決めようと思った際に課題になるのが、脆弱性情報の量の多さと日本語での脆弱性情報の少なさです。

特にプラグインは種類も多いため、比例して発見される脆弱性の数も多くなります。毎日のように数件の脆弱性情報が英語で公開されており、これを読み解くのにはなかなかの労力が必要です。特に社内やお客様に脆弱性の内容と緊急度をお伝えする必要がある立場にある方はとても大変なのではないでしょうか。

わたしたちもこの点が課題であるとずっと考えていて、なんとかしたいと思っていました。そこでセキュリティが大きな社会課題となっている今こそ取り組まなければ！と開発チームでの取り組みを開始しました。

日本のユーザーのみなさんに役に立つ情報とは

まず、考えたのが日本のユーザーのみなさんに役立つ情報は何か？という点です。全ての情報をそのまま羅列してもあまり意味が無いですし（オリジナルを見ていただいたほうがよほどよい）、概要だけを単純に日本語訳してもリスクが分かりづらいですよね。できれば脆弱性の中身にまで踏み込んで、どんなリスクがあるのかを伝えたい。

そして実際に情報を取得してみると利用数にも幅がありますし、ユーザーが多そうに見えても、日本では利用されていないだろうな、というものもありました。

深刻度も影響度もさまざまです。とくにWordPressでは脆弱性そのものの深刻度が高くても管理者権限を必要とするものが多く、リスクと緊急度についてはこれらの情報を見て総合的に判断する必要があります。