リスクヘッジ
By 横浜の登録セキュリティプレゼンター
WordPressの最新版は2018/08/24現在4.9.8(4.9系)です。
改定:2018/12/10現在の最新版は5.0で大きく変わりました(ブロック化とエディタ)
ブロックの考え方はConcrete CMS(concrete5)に似てきました(時代の要請でしょうか?)
Update:2021/08/05
Update:2019/06/23
Update:2019/04/04
Written:2018/08/24
ワードプレスは常にバージョンアップが必須です
https://ja.wordpress.org/download/releases/ にも書かれています「積極的に保守されている5.0系統の最新版以外の以下のバージョンは、安全に使用することはできません。」と・・・・
常に最新版のバージョンアップが望まれます(保守は必須です)
WordPressのバージョン4.7と4.7.1で、全世界で155万超のサイトが改ざんされるセキュリティ事故(2017年1月から2月にかけて)起きました。
それ以降も常に脆弱性が発見され攻撃され続けています。
WordPressで作られたサイトも、WordPressそのものを批判するつもりはないのですが、
全ては、人間が作って、人間が運用していくものです。
(WordPressに限らず。)
脆弱性を突いて利益を誘導しようとするのも人間です。
そしてWordPressの脆弱性を突いて利益を得ている人も。
WordPressは利用率から言っても
世界シェアトップ(31.6% 2018/08/24時点 https://w3techs.com/technologies/overview/content_management/all )であり
日本のWebサイトにおける利用率は、異常に思えるくらい高い(82.7% 同 https://w3techs.com/technologies/segmentation/cl-ja-/content_management )
です。
WordPressはその使いやすさから多くのホームページ制作会社から支持を受け
多くのWebサイトオーナーからも綺麗なサイトができたことで喜ばれ支持されているのだと
考えられます。
でも、WordPressが常に脆弱性のリスクに晒されているのも事実です。
頻繁に繰り返されるバージョンアップの理由がその事実を示しています。
確かに、
その手軽さや
多くのプラグインによって綺麗なサイトを作ることができるのは良いことなのですが、
果たして、十分にセキュリティ対策ができているか?
これが、今回のテーマです。
ほとんどのWordPressサイトが制作時のままのバージョンであったり
脆弱性が指摘・公開されているにもかかわらず
サイトオーナーに知らされることが殆どない状態でしょう。
その実態を、「お伝えしたく」この記事を書いています。
ご自分のホームページの現状は、どうなのか?
疑問に思われたら、
すぐにホームページ制作会社に確認することを、強くお勧めします。
ここで、4.9系(4.9ブランチ)の推移をお伝えしましょう
(4.9系以外はまた別の機会に)
WordPressは、それぞれの系(シリーズ)で別々に管理(進化)されている
(これがWordPressの特徴でもあり弱点でもあることは、あまり知られていないことで、
ホームページ制作会社が4.9系のみ使用しているとは限らないのですが)
4.9系 ➡ 次期ブランチ5.0は大幅な仕様変更の為、自動バージョンアップされない
4.9.8 | 2018/08/02 | プライバシー関連の修正と改善対応 |
4.9.7 | 2018/07/05 |
3.7以降4.9.6以前に存在した脆弱性対応 (ファイルの編集・削除の脆弱性) (それぞれの系では同日以下が対応: 4.8.7、4.7.11、4.6.12、4.5.15、 4.6.16、4.3.17、4.2.21、4.1.24、4.0.24、 3.9.25、3.8.27、3.7.27、3.6系以前はサポート外) |
4.9.6 | 2018/05/17 | プライバシー・メンテナンスリリース |
4.9.5 | 2018/04/03 | 3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンス |
4.9.4 | 2018/02/06 | 4.9.4以下(3.7-4.9.4)で複数の脆弱性。対策バージョン4.9.5 |
4.9.3 | 2018/02/05 | 重大・申告なバグ: 4.9 の34件の問題を修正、4.9.4へ自動バージョンアップされない問題も発覚 |
4.9.2 | 2018/01/16 | 3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンス |
4.9.1 | 2017/11/29 | 3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンス |
4.9 | 2017/11/15 | コーディングエラーからサイトを守るで、新しい系でリリース |
いま尚、多くのWordPressサイトが4.9.3や
それ以前の重大なバクをかかえたままの古いバージョンのサイトが多いままです。
WordPressのバージョンを隠しているサイトも時々見かけますが、
意味がないのです。
使用しているプラグインやテーマのバージョンから推測できますし、
該当バージョンの脆弱性で、総当たり攻撃を加えられたらひとたまりもありません。
サイトオーナーは、ネット上に自分のホームページを公開する限り
自分が犯罪の片棒を担がされることが無い様にする
必要(義務とも言えます)があります。
➡ 関連記事を書きました ➡ WORDPRESSホームページの6つの課題
脆弱性対策意識最悪の驚愕のWordPressサイト
筆者も以前WordPressサイトを持っていましたが1年ほど放置状態で、
今年2018年7月にWordPressは幸い無事だったものの、サイトをクローズしました。
(サイトごと凍結:データベースもソースもクリアし、ドメインは空きの状態です)
なぜそうしたかというと、
第一に更新・メンテナンスが面倒になってきたこと
第二の理由はこのブログのテーマではないので、また別の機会にお話ししたいと思っています。
WordPressを使っている方はご存知かもしれませんが、
けっこう頻繁にバージョンアップされ、
目立つ場所に目立つ色でアップデート(更新)を促すメッセージが表示されます。
これって結構大切な事なのですが面倒に思うのも事実です(筆者がそうでした)。
ホームページ制作会社に保守を依頼しているサイトオーナーさんもおられるでしょう。
WordPressは自動更新にしているから安心と思われている方も、
しかし自動更新されないバージョン
(2018年2月7日、WordPressのバージョン4.9.3に不具合、
その修正版の4.9.4アップデートは自動では行われない)
もありますし、
脆弱性はWordPress本体だけとは限りません(ここも別の機会に)
ビジネスで使用するWordPressについて最低限の7つの行っておくべきこと
- WordPressのバージョンを常に最新に保つ
WordPressは世界的に使用されているため、危険な脆弱性が発見されやすいのです。
アップデートを強く推奨される訳です、
逆に言うとバージョンアップしないと年々脆弱性が増えていきます。
- wp-config.phpをアクセス不可(遮断)にする
WordPressを利用する上で、最も重要で、
- データベースのプレフィックスをデフォルト値以外にする
- 管理画面の認証方法を複雑化する(不正なログイン対策)
- SSL通信に設定する
- セキュリティ関連のプラグインを活用する
- バックアップを定期的に取得しておく
今回は、
4に関係することですが、
最も基礎的な、ドメイン/wp-login.phpを放置している実態をお伝えします
(この様な愚かで・ずさんなホームページ制作者もいることを分かって戴きたいと思います。)
セキュリティーチェック
WordPress(更新システム)の導入しているかどうか不明ですが、
WordPressのログイン管理画面が表示されたら、
「セキュリティに関して気を配っていない制作会社が制作」と言えます。
これらは、ブルートフォースアタック(※)の格好の標的になります。
※セキュリティ上の脅威(かいつまんで簡単に言うと)
ブルートフォースアタックは、パスワード解析方法の1で
総当たりで正解パスワードを割だそうというかなり強引な手法。
パスワードが分かってしまうとサイトの改ざんは思うがままです。
改ざんされた場合の影響は、図り知れません。
「セキュリティチェックは簡単です。」
あなたのサイトがWordPressでつくられているのなら
通常のURLの後に続けて/wp-login.phpを打ち込んでみてください。
以下の様な画面がでてきたら、最も基礎的な対応さえ行われていません。
(「ドメイン/wp-login.php」を打ち込んでみてください。)
※ドメインとは「○○○.co.jp」や「○○○.com」、「○○○.jp」などを指します。
わずかな限られた地域で・僅か数時間で4つものサイトに不具合が見つかりました。
(検証対象22サイト中20サイト(90%)がWordPress、内4サイト実に20%が不具合)
複数の例をお示しし一部マスク掛けしたのは
- 一例ではないと言うこと(簡単にみつかるほど、基礎的な対応がなされていないことが多いことを知って戴きたい。これらはほんの一部の地域のものです)
- 実例のため(実際のサイトが攻撃されないようにするため)
の2つの理由からです。
またまた発見、脆弱性wp-loginの無防備な公開
関連記事 ➡ 警告あなたのホームぺージ早急に2つの脆弱性対応が必要
またもや、重大な事実を発見06/22 ➡ 脆弱性対策意識最低驚愕のWordPressサイト
「驚愕」容易に改ざんの糸口として晒されているサイトが多いことの事実
対岸の 火事 、 いいえ 違います 。 「 改ざんされたサイト 」 は 身近に あります
私が、実際に発見した 改ざんされたサイト
6サイトが改ざんされ、 3社が HP閉 鎖、内1社は廃業、1社は不明
WordPressのサイトオーナーさんは、
自分が加害者側に立つリスクを全くご存知ないのが現状ではないでしょうか?
私のブログサイト(アメブロ)に訪れてくれる人たちが所有するWordPressサイトも
最新のバージョン(自動更新さえされていない)のサイトは見たことがありません
制作時においてでさえ
WordPressのバージョンが最新であったか・バージョンが知らされたかさえ分かりません
ご自分のホームページの現状は、
ホームページ制作会社に確認しましょう
いまでも、
かなりのサイトが、かなり古いバージョンのWordPressのままである事実が物語っています。
関連記事ページ
関連記事 ➡ 保護されていません。と表示されない為に必要なこと
関連記事 ➡ SSL必要ない?本当ですか?
関連記事 ➡ SSL化必須です。あなたのお客様を守るために
関連記事 ➡ ホームページのSSL化必須お客様に、あなたも
関連記事 ➡ Googleの警告は常時SSL化を標準対応にすること
関連記事 ➡ Googleが警告する危険なSSL未対応サイト
関連記事 ➡ 脆弱性対策していますか?あなたのホームページ
関連記事 ➡ 脆弱性対策してますか?あなたは大丈夫?
関連記事 ➡ 無償ツールでチェックが重要です。あなたのパソコン
関連記事 ➡ 要対策 「情報セキュリティ10大脅威 2018」