なぜ「使わないテーマ」を消すことがセキュリティになるのか
WordPress のテーマは、「見た目を変えるためのテンプレート」ですが、
中身は普通に PHP コードです。
つまり、有効化していないテーマでも、サーバー上に置いてある限り「実行されうるコードの塊」です。
もし、そのテーマに脆弱性があった場合、
有効化していないから大丈夫
→ 実はそうでもない
ということが起こり得ます。
特定のファイルに直接アクセスされるタイプの脆弱性だと、「有効化しているかどうか」は関係なく、
サーバー上にファイルが存在しているだけで攻撃対象になり得るからです。
だからこそ、
「使っていないテーマは、単に“放置”ではなく“削除”する」ことが、
セキュリティ的にとても重要になります。
テーマが増えると何が問題になるのか
攻撃される“入口”が増える
テーマはそれぞれが独立したコードの集合体です。
テーマが 1 つなら「入口」は 1 つですが、
テーマが 5 つあれば「入口」は 5 つに増えます。
そのうち 1 つでも、
古いままアップデートされていない
公式ではない怪しい配布元から入れた
脆弱性が見つかっているのに放置している
といった状態だと、
そこが攻撃者にとっての「穴」になります。
使っていないテーマを削除する=攻撃される可能性のある入口を減らす
という、とてもシンプルで強力な対策です。
アップデート管理がぐちゃぐちゃになる
テーマがたくさん入っていると、
どれが今使っているテーマなのか
どれをアップデートすべきなのか
どれがもう不要なのか
が分かりにくくなります。
結果として、
「とりあえず全部放置」
「警告バッジがずっと付いたまま」
という状態になりがちです。
セキュリティの観点から言えば、
「何が動いているか分からない状態」はかなり危険です。
使わないテーマを削ることで、「管理対象」を減らし、
“ちゃんと面倒を見られる数”に絞ることができます。
どのテーマを残して、どれを削除すべきか
基本方針:残すのは「今使っているテーマ+予備1つ」
現実的なラインとしては、次のような構成が理想です。
今有効化しているテーマ(本番で使っているもの)
万が一のための予備テーマ(公式のデフォルトテーマなど)
それ以外は、基本的に削除して問題ありません。
予備テーマを 1 つ残しておく理由は、
今のテーマが壊れたときに切り替え先がある
トラブルシューティングで一時的に切り替えやすい
といった「保険」としてです。
例題:よくある“放置状態”からの整理
例えば、テーマ一覧がこうなっているとします。
Twenty Twenty-One
Twenty Twenty-Two
Twenty Twenty-Three
SomePremiumTheme(今使っている有料テーマ)
OldCustomTheme(昔使っていた自作テーマ)
この場合、
今使っている:SomePremiumTheme
予備として残す:最新の公式テーマ(例:Twenty Twenty-Three)
削除してよい:それ以外全部
という判断ができます。
「いつか使うかも」はほぼ来ません。
コードの世界では、「いつか使うかも」はだいたい「永遠に使わない」です。
実際の削除手順のイメージ
テーマ一覧画面から削除する
WordPress 管理画面で、
外観 → テーマ
を開くと、インストールされているテーマが一覧で表示されます。
削除したいテーマをクリックすると、
右下あたりに「削除」というリンクが出ているはずです。
ここから削除すると、
そのテーマのフォルダごと /wp-content/themes/ から消える
=サーバー上からコードが物理的になくなる
という状態になります。
ポイントは、「無効化」ではなく「削除」までやることです。
無効化しただけでは、ファイルはサーバー上に残ったままです。
FTP やファイルマネージャーで直接消すパターン
場合によっては、
管理画面に入れない・壊れている、ということもあります。
そのときは、
/wp-content/themes/
にアクセスして、
不要なテーマのフォルダを丸ごと削除する、という方法もあります。
ただし、これはどのテーマが本当に不要かを理解している人向けです。
間違って今使っているテーマを消すと、サイトが真っ白になります。
セキュリティの観点から見た「テーマ削除」の本質
「動いていないコード」もリスクになりうる
プログラミングの感覚で言うと、
使っていないライブラリ
使っていないエンドポイント
使っていない設定ファイル
がプロジェクトに残っていると、
それだけで「どこからバグや脆弱性が出るか分からない」状態になります。
テーマも同じで、
今は使っていない
でもサーバーには置いてある
というコードは、
「いつ爆発するか分からない爆弾」みたいなものです。
「使っていないなら消す」は、
セキュリティだけでなく、設計としてもとても健全な考え方です。
「攻撃面(Attack Surface)を減らす」という発想
セキュリティの世界では、
攻撃面(Attack Surface)を減らす
という考え方がよく出てきます。
これは、
公開している機能が多いほど
動いているコードが多いほど
攻撃される“面積”が広がる
という意味です。
使わないテーマを削除するのは、
「攻撃されうる面積を物理的に削る」行為です。
これは、
ファイアウォールを設定する
ログインURLを変える
2段階認証を入れる
と同じくらい、
地味だけど効き目の大きいセキュリティ対策です。
まとめ:テーマ整理は「掃除」ではなく「防御」
「使わないテーマ削除」というと、
見た目の整理やディスク容量の節約の話に聞こえるかもしれませんが、
本質は完全にセキュリティの話です。
やるべきことはシンプルです。
今使っているテーマを確認する
予備として残すテーマを1つ決める(公式の最新テーマなど)
それ以外のテーマを、無効化ではなく削除する
これだけで、
攻撃される入口が減る
アップデート管理が楽になる
「何が動いているか」が明確になる
という、かなり大きなメリットが得られます。
コードの世界と同じで、
「いらないものを消す」は、それだけで立派なセキュリティ対策であり、設計の一部です。
今日、テーマ一覧を一度開いてみて、「本当に必要なテーマはどれか」を見直してみてください。
