リスクヘッジ

 

     By 横浜の登録セキュリティプレゼンター

 

 WordPressの最新版は2018/08/24現在4.9.8(4.9系)です。

   改定:2018/12/10現在の最新版は5.0で大きく変わりました(ブロック化とエディタ)

 

 

  https://ja.wordpress.org/download/releases/ にも書かれています積極的に保守されている5.0系統最新版以外の以下のバージョンは、安全に使用することはできませんと・・・・

 

 常に最新版のバージョンアップが望まれます(保守は必須です)

 

 

 ブロックの考え方はconcrete5に似てきました(時代の要請でしょうか?)

 

 

 WordPressのバージョン4.7と4.7.1で、全世界で155万超のサイトが改ざんされるセキュリティ事故(2017年1月から2月にかけて)起きました。

 

それ以降も常に脆弱性が発見され攻撃され続けています。

 

 

 WordPressで作られたサイトも、WordPressそのものを批判するつもりはないのですが、

 

全ては、人間が作って、人間が運用していくものです。

(WordPressに限らず。)

 

 脆弱性を突いて利益を誘導しようとするのも人間です。

そしてWordPressの脆弱性を突いて利益を得ている人も。

 

WordPress利用率から言っても

世界シェアトップ(31.6% 2018/08/24時点 https://w3techs.com/technologies/overview/content_management/all )であり

 

日本のWebサイトにおける利用率は、異常に思えるくらい高い(82.7%https://w3techs.com/technologies/segmentation/cl-ja-/content_management )

です。

 

 

 WordPressはその使いやすさから多くのホームページ制作会社から支持を受け

 

 多くのWebサイトオーナーからも綺麗なサイトができたことで喜ばれ支持されているのだと

 考えられます。

 

 

 でも、WordPressが常に脆弱性のリスクに晒されているのも事実です。

 

 頻繁に繰り返されるバージョンアップの理由がその事実を示しています。

 

 

 確かに、

 その手軽さや

 多くのプラグインによって綺麗なサイトを作ることができるのは良いことなのですが、

 

果たして、十分にセキュリティ対策ができているか?

 

 これが、今回のテーマです。

 

 

 ほとんどのWordPressサイトが制作時のままのバージョンであったり

 

 脆弱性が指摘・公開されているにもかかわらず

サイトオーナーに知らされることが殆どない状態でしょう。

 

 

 その実態を、「お伝えしたく」この記事を書いています。

 

 ご自分のホームページの現状は、どうなのか?

 疑問に思われたら、

 すぐにホームページ制作会社に確認することを、強くお勧めします。

 

ここで、4.9系の推移をお伝えしましょう

(4.9系以外はまた別の機会に)

 

WordPressは、それぞれの系(シリーズ)で別々に管理(進化)されている

(これがWordPressの特徴でもあり弱点でもあることは、あまり知られていないことで、

 ホームページ制作会社が4.9系のみ使用しているとは限らないのですが)

4.9

4.9.8 2018/08/02 プライバシー関連の修正と改善対応
4.9.7 2018/07/05

3.7以降4.9.6以前に存在した脆弱性対応

ファイルの編集・削除の脆弱性

(それぞれのでは同日以下が対応:

4.8.74.7.114.6.124.5.15

4.6.164.3.174.2.214.1.244.0.24

3.9.253.8.273.7.273.6系以前はサポート外

4.9.6 2018/05/17 プライバシー・メンテナンスリリース
4.9.5 2018/04/03 3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンス
4.9.4 2018/02/06 4.9.4以下(3.7-4.9.4で複数の脆弱性。対策バージョン4.9.5
4.9.3 2018/02/05 重大なバグ 4.9 の34件の問題を修正
4.9.2 2018/01/16 3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンス
4.9.1 2017/11/29 3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンス
4.9 2017/11/15 コーディングエラーからサイトを守るで、新しい系でリリース

 いま尚、多くのWordPressサイトが4.9.3

それ以前の重大なバクをかかえたままの古いバージョンのサイトが多いままです。

 

 WordPressのバージョンを隠しているサイトも時々見かけますが、

意味がないのです。

 

 使用しているプラグインやテーマのバージョンから推測できますし、

該当バージョンの脆弱性で、総当たり攻撃を加えられたらひとたまりもありません。

 

 サイトオーナーは、ネット上に自分のホームページを公開する限り

自分が犯罪の片棒を担がされることが無い様にする

 

必要(義務とも言えます)があります。

 

 

 筆者も以前WordPressサイトを持っていましたが1年ほど放置状態で、

今年2018年7月にWordPressは幸い無事だったものの、サイトをクローズしました。

 

(サイトごと凍結:データベースもソースもクリアし、ドメインは空きの状態です)

 

 なぜそうしたかというと、

第一に更新・メンテナンスが面倒になってきたこと

第二の理由はこのブログのテーマではないので、また別の機会にお話ししたいと思っています。

 

 WordPressを使っている方はご存知かもしれませんが、

 けっこう頻繁にバージョンアップされ、

 目立つ場所に目立つ色でアップデート(更新)を促すメッセージが表示されます。

 

 これって結構大切な事なのですが面倒に思うのも事実です(筆者がそうでした)。

 

 ホームページ制作会社に保守を依頼しているサイトオーナーさんもおられるでしょう。

 

 WordPressは自動更新にしているから安心と思われている方も、

 

しかし自動更新されないバージョン

(2018年2月7日、WordPressのバージョン4.9.3に不具合、

 その修正版の4.9.4アップデートは自動では行われない

 もありますし、

 

 脆弱性はWordPress本体だけとは限りません(ここも別の機会に)

 

 

ビジネスで使用するWordPressについて最低限の7つの行っておくべきこと

  1. WordPressのバージョンを常に最新に保つ

   WordPressは世界的に使用されているため、危険な脆弱性が発見されやすいのです。

   アップデートを強く推奨される訳です、

   逆に言うとバージョンアップしないと年々脆弱性が増えていきます。

 

  1. wp-config.phpをアクセス不可(遮断)にする

   WordPressを利用する上で、最も重要で、

   最もセキュリティレベルを高く設定しなければいけないファイル

  1. データベースのプレフィックスをデフォルト値以外にする
  2. 管理画面の認証方法を複雑化する(不正なログイン対策)
  3. SSL通信に設定する
  4. セキュリティ関連のプラグインを活用する
  5. バックアップを定期的に取得しておく

 今回は、

 4に関係することですが、

 最も基礎的な、ドメイン/wp-login.phpを放置している実態をお伝えします

(この様な愚かで・ずさんなホームページ制作者もいることを分かって戴きたいと思います。)

 

セキュリティーチェック

WordPress(更新システム)の導入しているかどうか不明ですが、

WordPressのログイン管理画面が表示されたら、

セキュリティに関して気を配っていない制作会社が制作」と言えます。

 

これらは、ブルートフォースアタック(※)の格好の標的になります。

 

 セキュリティ上の脅威(かいつまんで簡単に言うと)

 ブルートフォースアタックは、パスワード解析方法の1で

 総当たりで正解パスワードを割だそうというかなり強引な手法。

 

 パスワードが分かってしまうとサイトの改ざんは思うがままです。

 

 改ざんされた場合の影響は、図り知れません。

 

「セキュリティチェックは簡単です。」

 

あなたのサイトがWordPressでつくられているのなら

 

通常のURLの後に続けて/wp-login.phpを打ち込んでみてください。

 

以下の様な画面がでてきたら、最も基礎的な対応さえ行われていません。

 

(「ドメイン/wp-login.php」を打ち込んでみてください。)

ドメインとは「○○○.co.jp」や「○○○.com」、「○○○.jp」などを指します。

 

わずかな限られた地域で・僅か数時間で4つものサイトに不具合が見つかりました。

(検証対象22サイト中20サイト(90%)がWordPress、内4サイト実に20%が不具合

wp-login01.png

 

wp-login02.png

 

wp-login03.png

 

wp-login04.png

 

複数の例をお示しし一部マスク掛けしたのは

 

  1. 一例ではないと言うこと(簡単にみつかるほど、基礎的な対応がなされていないことが多いことを知って戴きたい。これらはほんの一部の地域のものです)
  2. 実例のため(実際のサイトが攻撃されないようにするため)

の2つの理由からです。

 

「驚愕」容易に改ざんの糸口として晒されているサイトが多いことの事実

   

 WordPressのサイトオーナーさんは、

 自分が加害者側に立つリスクを全くご存知ないのが現状ではないでしょうか?

 

 私のブログサイト(アメブロ)に訪れてくれる人たちが所有するWordPressサイトも

最新のバージョン(自動更新さえされていない)のサイトは見たことがありません

 

 制作時においてでさえ

WordPressのバージョンが最新であったか・バージョンが知らされたかさえ分かりません

 

 ご自分のホームページの現状は、

 ホームページ制作会社に確認しましょう

 

 メールでのご相談も致しています。

 

 いまでも、

 かなりのサイトが、かなり古いバージョンのWordPressのままである事実が物語っています。

 

関連記事

 

脆弱性対策してますか?あなたは大丈夫?

Googleが警告する危険なSSL未対応サイト

Google警告は常時SSLを標準対応にすること

ホームページのSSL化必須お客様に、あなたも横浜

SSL化必須です。あなたのお客様を守るために

あなたのホームページは脆弱性対策していますか?

SSL必要ない?本当ですか?

重要あなたのパソコン無償チェック

要対策「情報セキュリティ10大脅威2018」