by 登録セキュリティプレゼンター
古いワードプレスは危険です
あなたはホームページのWordPressは古いまま4.9.3です。
あなたが自動更新を選択されていたとしても、4.9.3は更新されません。
(4.9ブランチは5.0ブランチ以上に自動更新されません。既に複数の脆弱性が発見されています。
その後、4.9.10(2019/03/13)が出ましたが、5.0以上になることはありません。
既に、5.0.2、5.0.3、5.0.4、5.1、5.1.1、5.2、5.2.1が出ていますが、WordPress.orgでは、5.3-alpha-45454のテスト中です(2019/05/29現在)6月にも5.3ブランチがリリースされる予定です。
4.9.9の対応バージョンは、5.0.1です。➡ 関連記事 WordPressバージョン5 の実効性と実行性 )
更新 2019/05/29
更新 2019/03/14
更新 2019/01/27
WordPressサイトなら保守契約が必要です。
➡ WORDPRESSホームページの6つの課題 更新 2019/04/05
ちゃんとした「保守契約」をされていますか?
・・・というのは、あなたのWordPressは2018/2/7以降更新されていません
保守契約をされているなら、それはいい加減な保守です。
(最新版は4.9.8(2018/8/2)までに、81以上のバグが含まれています
※詳細 4.9.4、 4.9.5、 4.9.6、 4.9.7、 4.9.8 )
WordPressは、常にと言っていいほど脆弱性が発見され、常に攻撃の対象となっています。
(既に ( 4.9.9、16%) ( 5.0、42%)の開発も始まっています)
--- 追記、ここから ---
更新 5.0が2018/12/06よりリリースされました。
ご承知の通り、WordPressは、最新版以外は積極的な対策(セキュリティ・バグ対応など)は行わないとWordPress.orgが明言しています。つまり4.9.x以前は脆弱性の危険にさらされます。
※.そして5.0は大幅な変更の為、自動的に他のバージョンからアップデート(バージョンアップ)されません。
管理画面の「ダッシュボード」から「更新」で可能ですが、アップグレードには充分なテスト・検証後でないとお薦めできません。
理由は、WordPressは15年以上も運営されており、プラグインやテーマが有償・無償で提供されています。そしてこれらの中には既に開発チームがなくなり長期間更新が止まっているものもあります。
これらは当然5.0を意識したものではない為、不具合が発生する可能性が高く・不具合が発生しても対処する方法がありません。
ワードプレスでホームページを制作する事業者(ホームページ制作会社)は、言い方は別として、この様なジレンマがあってバージョン5.0への移行をお薦めできません(囚人のジレンマ)があるのです。
仮にこれらがクリアされたとしても、今回の様な大きな変更や機能追加が行われた(メジャーバージョンアップ)様な場合では、どうしても不具合やバグが多くなるのはあらゆるアプリケーションの常であり、WordPressのその例外ではありません。
その様な脆弱性を突くことは、攻撃者の格好のターゲットになります。
WordPressは全世界のウェブサイトの3分の1のシェアを誇っていて、攻撃者にとっては効率的でもあるのです。2017年の4.7、4.7.1で155万ものサイトが改ざんされたことを忘れてはなりません。
2019/01/27 追記 ---- ここまで ---
関連記事 ➡ WordPress5 バージョンの実効性と実行性 2019/01/29記載
WordPress4.9.3は自動更新されません。
あなたがお付き合いのあるホームページ制作会社に、今一度あなたのホームページを確認されることを、お薦めします。
セキュリティ対策は不要とお考えですか?
お待ちください。
Q: どうやってセキュリティを確保させますか?
A: WordPressであれば、しっかりとした保守契約を結び、常に最新の状態に保つことです。
(そのため保守契約をしてくれるところの見極めが必要となります)
☑ どの様に見極めますか?
☑ 判断基準は何でしょうか?
☑ 本来専門外のことですので、お任せで良いのでは・・・残念ながらそうではありません。
WordPressは最大のユーザ数
( 日本では81%がWordPressサイト)を誇っていますが、攻撃者の絶好のターゲットでもあります。
2017年 歴代最大155万以上のサイトが改ざんされた。
Q: 暗号化通信(SSL)はどうすればよいですか?
A: これはWordPressに限りません。
SSLサービスを申し込み、あなたのホームページの保守会社に設定を依頼してください。
特定のレンタルサーバーでは無償のSSLサービスを実施(設定は別途)しているところもあります(xServerなど)。
“ これらを考えたとき、あなたの [ホームぺージ] は、万全ですか?。 ”
セキュリティ
ネットの雄・グーグルもSSL化を薦めています
ウェブブラウザのChromeも2018年7月から、暗号化されていないhttpプロトコルを使い続けているWebサイトを「Not secure」(安全ではない)と表示。
2017年には多数のサイトがhttps に移行しており、
これはセキュリティやプライバシーに関心を持つ全ての人にとって素晴らしいことですし、
必要なことです。(httpsのsは セキュア、安全を意味するsecurityの形容詞secureで、IT分野では、システムやネットワーク、データなどが安全な状態に保たれていること。
具体的には、暗号や防御ソフトなどを活用して、外部から攻撃や盗聴、改ざんなどの干渉を受けないように技術的に保護されている状態 )を表します。)
? 付き表示 と保護されていない通信
ホームページ(ウェブサイト)のSSL化を識別する。
この動きはChromeの他のブラウザ、Safari(アップル)やEdge(マイクロソフト)、他も追随しています。
つまりこれは、好む好まないにかかわらず現状のネット環境における必然なのです。
スマホの表示でも
Chrome SSL対応サイト
Safari SSL対応サイト
これは、多くのインターネットユーザーが、暗号化された安全なhttps接続と、
適切にセキュリティが確保されているウェブサイトの違いを、理解していないかも知れないのですが
(あるウェブサイトがhttpsを使用していても、100%信頼できるとは限らないのと同様に、
まだhttpを使っているウェブサイトでも、他のセキュリティ対策や個人情報の扱いはきちんとしているかもしれない
そうしたサイトがhttpsに非対応であることは考えにくいが
それでも、あなたのホームページに訪れる・あなたのお客様になってくれるかも知れない人たちの助けにはなるのです。
あなたのホームページが、まだSSL非対応なら早急にSSL化することをお薦めします。
併せて、プライバシーポリシーの明記も
個人情報保護法の施行以来、ホームページの「プライバシーポリシー」を載せてきたホームページもあります。
しかし未だに「プライバシーポリシー」の記載が無いホームページが多くあります。(個人情報を取り扱う医療関係のホームページの多くがプライバシーポリシーの明記がありません)。
マイナンバー制度(2015年10月5日)運用開始以降、「プライバシーポリシー」の明記はホームページ上、ますます必須のものと考えます。
これも、 あなたのホームページに訪れる・あなたのお客様になってくれるかも知れない人たちに安心感をもっていただくための一つです。
堅牢なセキュリティ
concrete5なら、優れたセキュリティを保てます。
Concrete CMS(concrete5)なら、優れたセキュリティを保てます。
Concrete CMS(concrete5)は、業務システムのために開発されたエンタープライズCMSです。
ブログ発祥のCMSとは、根本的な作りが違います。
これからのホームページはセキュリティ対策が大事です。
米陸軍にも採用された高信頼性。あなたもConcrete CMS(concrete5)を利用して安心のサイト運用をしませんか?
関連記事ページ
関連記事 ➡ 保護されていません。と表示されない為に必要なこと
関連記事 ➡ SSL必要ない?本当ですか?
関連記事 ➡ SSL化必須です。あなたのお客様を守るために
関連記事 ➡ ホームページのSSL化必須お客様に、あなたも
関連記事 ➡ Googleの警告は常時SSL化を標準対応にすること
関連記事 ➡ Googleが警告する危険なSSL未対応サイト
関連記事 ➡ 脆弱性対策してますか?あなたは大丈夫?
関連記事 ➡ 改ざんの危険性がイッパイあなたのサイト大丈夫?
関連記事 ➡ 無償ツールでチェックが重要です。あなたのパソコン
関連記事 ➡ 要対策 「情報セキュリティ10大脅威 2018」
関連記事 ➡ 警告あなたのホームぺージ早急に2つの脆弱性対応が必要
