特にセキュリティ不具合が報告されたバージョンを使い続けているユーザは真剣に考えた方が良い。例えば、MovableType 4.1 を未だに使い続けているユーザだ。「Powered by MovableType 4.1」なんて掲げていること自体、「私はユーザの皆さんを危険に晒していますよ」と鼻水垂らして宣伝していることに等しい。これは MovableType に限らず WordPress や Nucleus、Wiki などにも当てはまる話だ。サイト管理者は自分だけでなく、サイトを訪れるユーザまでもセキュリティ面での危険に晒していることを自覚すべきだろう。
こういったソースコードがオープンになっているプロダクトは、セキュリティアップデートが行われたバージョンと以前のバージョンの差分を取るだけで、ソースコード上のどこがどのように修正されたかを簡単に突き止めることができる。修正内容がわかれば、どのような攻撃方法が有効だったのかも簡単にわかってしまうというわけだ。
アップデートが面倒だから、時間がないからというのはサイト管理者の怠慢でしかない。プラグインのバージョンの問題や他システムの兼ね合いですぐにアップデートできないのなら、問題のある箇所はアクセスを禁止しておくなどの処置をとるべきだろう。
セキュリティアップデートの内容は、例えば、直接訪問者を攻撃するのものや、データが消失してしまう不具合など様々だ。ビジタに直接危害を及ぼすようなセキュリティアップデートには優先度を上げて対応すべきだろう。管理画面などでデータが消失するようなものは、ユーザに直接危害が無いとは云え、考え様によってはユーザのデータ資産(コメントやトラックバック)を蔑ろにしているとも言える。オープンソースのプロダクトを使う以上、サイト管理者はこれらのアップデート情報には敏感にアンテナを張り、即座に対応できるようでなければならない。
