WordPressホームページの6つの課題

 これらは、専門的であり、かつ難解なことなので、本来はホームページ制作会社などでしか確かめようがない(あなたが知る必要もないことなのかも知れない)ことなのですが、WordPressだからこそ必要なことがあり、疎かにされていることによって、あなたのご存知の無いところで大きな問題となっており、そうも、言っていられないのが現状なのです。

 

 と言うのはCMS(コンテンツ マネジメント システム)で制作されたホームページのほとんどがWordPressで作られていることが(w3techsの調査発表から)明らかになっています。

 

 あなたは、善意のホームページ制作会社だけを頼っていたのでは(知らない間に、被害を受けたり・犯罪の踏み台にされたり)と平静では済まされない、大きな問題となりえることもあるのです。

 今回はWordPressホームページにおける課題と必要な対応についてお伝えしたいと思います。

Update:2019/06/18

Update:2019/05/22

Update:2019/05/10

Written:2019/04/04

By 横浜の登録セキュリティプレゼンター

 

内容

WordPressホームページでの課題 ... 1

攻撃者の格好の的となりやすい ... 3

脆弱性が発見されやすい ... 3

常に最新バージョンであることの必要性 ... 4

保守契約をしていても自動バージョンアップされない ... 7

バージョンアップしようにも他の足かせがある ... 8

他にも ... 9

まとめ ... 10

WordPress
WordPress

 

WordPressホームページでの課題

✔ 攻撃者の格好の的となりやすい

✔ 脆弱性が発見されやすい

✔ 常に最新バージョンであることの必要性

✔ 保守契約をしていても自動バージョンアップされない

✔ バージョンアップしようにも他の足かせがある

✔ 他にも

まとめ

 

 あなたのホームページがWordPressで作られていることの可能性が非常に高い

 

 あなたのホームページがWordPressで作られていたら、の、話ですが、

日本のCMSホームページの 81%以上がWordPress(w3techsの調査発表) ですから、ほぼ該当しますネ。きっと。

 

 世界での使用率は、 33.5%(2019/04/04現在w3techsの調査発表)ここから確認できます

 

 圧倒的なシェア率となったのは、ホームページ制作会社がCMSを導入することを考えたとき、無料のブログ発祥のCMSであるWordPressがとっつきやすかった。 から。

 

 ホームページ制作会社にとって、多くのテンプレートテーマ:ホームページのデザインや色合いの調整、構成のレイアウトにあたる部分)やプラグイン拡張機能:問合せメールフォームやGoogleマップなどを簡単に組み込めるようにしたもの、他にも)が揃っていたからに、他なりません。

 

 そしてWordPressで作られたホームページが増えていき、WordPressを使用するホームページ制作会社も増えていった。

 

 さらに必要な情報の適切な伝達を怠り・導入後に、コンテンツ以外でも保守・メンテナンスが欠かせないことを伝えなかったこと・伝えきれないままにホームページ制作だけを行った結果です。

 

 これらは必ずしもホームページオーナーさんの為とは言い切れません。

 

 関連記事 ➡  脆弱性対策してますか?あなたは大丈夫?

incident インシデント
      インシデント セキュリティ事故

 

 ここでお断りしておきたいのですが、WordPressそのものや、テンプレートプラグイン悪いと言っている訳ではありません

 

 WordPressホームページを運営していく上で必要となることを充分に理解し、使って行く上ではWordPressは素晴らしいものが揃っていますので問題とはなりません。

 

 しかし殆どのホームページ制作はホームページ制作会社に丸投げの状態であり、コンテンツはおろか、仕組みそのものまで制作当時のまま多くが放置されているのが実情(実態)です。

 

 一戸建ての家を建てる時、建築会社に丸投げしますか?、住み続けていく間にメンテナンスしますよね?、時には自分で、専門的な外壁や屋根は、業者さんにお願いして塗り替えや、葺き替えをしたりしますよね?

 ホームぺージだって同じです。制作時には希望を述べ、希望が実現しているか確認しませんか?、時間が経ってきたら、見直しや・メンテナンス(記事の追加・リニューアルなど)をしませんか??、

 どうして、「ホームページだからと言って放置するのでしょうか?。何も専門的な部分を、ご自身で行う必要はないのです。

 餅は餅屋です。

 あなたは、その進捗を・結果確認・チェックすることです。

 

攻撃者の格好の的となりやすい

 

✔ WordPressは攻撃者の格好の的

 

 日本で、世界で最大数のユーザー数を誇るが故、脆弱性や不都合が発見されたとき攻撃対象となる母数が他のCMSに比べ圧倒的なことから攻撃者の格好のターゲットになりヒット率も高くなるのです。

 

 

 現に筆者も1週間と言う短い期間の中で、偶然にも8件のフィッシングサイトへの誘導へ改ざんされたホームページを特定の地域(埼玉県の深谷市、熊谷市、上尾市、そして東京都豊島区)から見つけたことがあります。

 (歯科医院5、整体院2、エステ店1)

フィッシングサイト
フィッシングサイトへ誘導する改ざんがされた複数のホームぺージの一部例

 

脆弱性が発見されやすい

 

✔ WordPressは脆弱性が発見されやすい

 

  利益を得ようとする者たちは、WordPressに絞ってもパイが十分にあることから、脆弱性を発見することに躍起になっています。(脆弱性を発見することにおいても格好のターゲットです)

 

 

 最悪かつ最大のセキュリティ事故は、

バージョン4.7と 4.7.1の REST APIに対する 脆弱性攻撃で 155万サイトが改ざんされた セキュリティ事故が発生 (2017/2/6発表)したこと

 

 関連記事 ➡  脆弱性対策していますか?あなたのホームページ

Security セキュリティ対策
      Security セキュリティ対策

 

常に最新バージョンであることの必要性

 

 さまざまな脆弱性や不都合が常に発見されるが故、

 常に(最新ブランチの)最新バージョンに保つ必要性があります。

 

✔ 常に 非常に短い周期でバージョンアップを繰り返していることからも明らかです。

 しかも複数のバージョンが並存する状態で、

(下表v5.2-v4.9 参照)(まるで開発側と攻撃者の、いたちごっこです)

 

 しかし、いつまでも古いバージョンに対するサポート

(脆弱性や不具合に対応するバージョンアップ)を

オープンソフト(フリー・無償で提供するソフト)という性格上続けるわけにはいきません

 有償のソフトでさえ、古いバージョンのサポートを次々と停止しています(Windowsなど)

 

 ブランチ:バージョンのまとまりをブランチといいます。

 (4.9、4.9.1、4.9.2、・・・といった各バージョンのまとまりをブランチ系統メジャーバージョン)、4.9.1、4.9.2、4.9.3はマイナーバージョンと言います。

 4.95.05.1そして5.2へとブランチは上がってきています。

 

✔ WordPress側のサポートにも限界があり、

  複数ブランチかつ複数バージョンに対するサポートは

 「 最新版以外のバージョンは、安全に使用することはできません。」

   出典: WordPress.org 日本語ダウンロードサイト 明言しています。

 

 但し、
 

 4.9から5.0はメジャーバージョンアップであったことと、

 多くの仕様変更で上位・下位互換性が保てなかったことへの対応から、

 

 過去バージョンに対する、脆弱性・不具合解消の為、

 4.9.82018/8/3)リリース以降で久しぶりのリリースが、

 4.9.94.9.10で立て続けて2019/3/13にありました。

 

 

 しかしこの様な状況がいつまでも続くかの保証はオープンソフトと言う性格上どこにもないのです。

 (4.0以下のバージョンが既にサポート対象外となっている様に、いずれ4.1、4.2がサポート終了となっていくのです)

 

  リリースのページでも、2019/04/04現在は、    

 「積極的に保守されている 5.1 系統の最新版以外の以下のバージョンは、安全に使用することはできません。」と言っています。 ➡ 2019/05/08

 

 5/8には 5.2ブランチの公開 されました。


 「積極的に保守されている 5.2 系統の最新版以外の以下のバージョンは、安全に使用することはできません。」となりました。

 

表v5.2-v4.9

version リリース日 内容
WordPressバージョン4.9から5.2まで
5.2.2 2019/6/18 メンテナンスリリース13個のバグを修正、 5.2で導入されたサイトヘルス機能の改善
5.2.1 2019/5/21 5.2.1は5.2の機能の改善と33件のバグを修正しています。
5.2 2019/5/8 メジャーバージョンアップ:5.2ブランチ(Jaco)
5.1.1 2019/3/13 コメントをフィルタ処理してデータベースに格納する方法を処理するための一対のセキュリティ修正
5.1 2019/3/11 メジャーバージョンアップ:5.1ブランチ
エディター全体のパフォーマンスの向上
5.0.4 2019/3/13 コメントをフィルタ処理してデータベースに格納する方法を処理するための一対のセキュリティ修正
5.0.3 2019/3/13 37個のバグ修正
5.0.2 2019/1/9 73個のバグに取り組むメンテナンスリリース
5.0.1 2019/12/18 3.7以降のすべてのバージョンに対するセキュリティリリースXSS:クロスサイトスクリプティング、権限外の操作を行える、個人情報が漏れる可能性があるなどの脆弱性
5.0 2018/12/10 メジャーバージョンアップ(下位からの自動バージョンアップ無し):5.0ブランチ
4.9.10 2019/3/13 コメントをフィルタ処理してデータベースに格納する方法を処理するための一対のセキュリティ修正
4.9.9 2019/3/13 3.7以降のすべてのバージョンに対するセキュリティリリースXSS:クロスサイトスクリプティング、権限外の操作を行える、個人情報が漏れる可能性があるなどの脆弱性
4.9.8 2018/8/3 18のプライバシー関連の修正と改善
4.9.7 2018/7/7  4.9.6およびそれ以前のバージョンは1件のセキュリティ問題の影響を受けるための修正
4.9.6 2018/5/19 プライバシーとメンテナンスについて37件の拡張、51件の問題の修正
4.9.5 2018/4/4 4.9の28件の問題を修正、3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンス
4.9.4 2018/2/7  4.9.3 の重大なバグを修正。4.9.3 は自動バックグラウンド更新を有効化したサイトで、自動更新に失敗します。手動でバージョン 4.9.4 に更新する必要があります。
4.9.3 2018/2/7 4.9 の34件の問題を修正
4.9.2 2018/1/17 4.9 およびそれ以前のバージョン に含まれるライブラリー MediaElement 4.x の Flash 代替ファイルによる XSS脆弱性対応
4.9.1 2017/11/30 4.9 およびそれ以前のバージョンは4件の潜在的にマルチベクトル型攻撃の一部として機能し得るセキュリティ問題の影響への対応
4.9 2017/11/17 メジャーバージョンアップ:4.9ブランチ
大規模なカスタマイザーの改善、コードエラーチェック

4.9ブランチ以前は、ここから確認できます。

 

.発見バージョンWordPress3.7から5.0までのすべて
 脆弱性タイプ

 UNKNOWN (一般に、それ自体は有害ではありませんが、ハッカーが使用した場合、攻撃の対象者に害を及ぼす可能性があります。)、

 BYPASS (セキュリティ対策の機能を回避したり、セキュリティ対策ソフトをすり抜けたりできる脆弱性)、

 OBJECT INJECTION (外部からオブジェクトを注入(インジェクション)する攻撃。外部からオブジェクトを注入できれば、そのオブジェクトの機能によりさまざまな攻撃ができる可能性があります。最悪の場合、任意のコードを実行できる脆弱性)、

 XSS ロスイト・クリプティングの具体的な攻撃例。ウェブアプリケーションに問題がある場合、悪意を持った命令(スクリプト)の入ったページを表示させられることによって、偽のページを表示させられてしまう。

図.XSSの攻撃例の詳細(出典:IPA 独立行政法人 情報処理推進機構

クロスサイトスクリプティング(XSS)
クロスサイトスクリプティング(XSS)

 ① 攻撃者がBさんの掲示板に罠を仕掛ける

 ② A子さんがBさんの掲示板を見る

 ③ A子さんが罠のリンクが入ったページを表示し、リンクをクリックする

 ④ Bさんの掲示板からX社のウェブサイトに移って(クロス)、

  悪意を持った命令(スクリプト)を送ってしまう

 ⑤ 悪意を持った命令(スクリプト)がユーザのブラウザで実行され、偽のページが表示される

 ⑥ 偽ページにユーザがだまされて、個人情報などを攻撃者に送ってしまう

 

 

 

保守契約をしていても自動バージョンアップされない

 

✔ 保守契約をしていても
   自動バージョンアップされない不都合

((最新のセキュリティ対策が受けられないなど)サイト所有者にとっては知りたくもない、知らずに済ませたいこと)があります。

 

 これは、
 
 最近では 4.9ブランチと5.0ブランチ間で互換性が無い為、4.9ブランチで開発されたホームページ、もしくは4.9までのバージョンアップを自動で・手動で行ってきたとしても、  4.9.10(2019/03/13)で止まってしまっています。

 
他にも、

 

(WordPressでは3.7から自動でアップデートする機能がついたのですが、4.9と5.0の様な大幅な仕様変更でなくても)

 

 4.9.3のままだと4.9.4には手動で更新が必要( レンタルサーバー会社WordPress.orgの公式のブログなどによって、2018年2月初旬に通知されていますが、 ほとんどのホームページオーナーが目にすることのない情報です)

 

 保守契約をしていなければ、ホームページ制作会社が対応することもありませんから、
 
 4.9.3までの不都合( 脆弱性不具合)に対応できないまま放置されています。

 

 4.9.3 に 深刻なバグが含まれていることがリリース後に発覚
 
これが原因で、4.9.4に「手動で」更新しないと、以降はずっとアップデートされません。)

 

 4.9.5:2018/04/03: 3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンス

 

 ✔ さらに、多くの開発者が同時開発(ほぼ平行開発)であるが故の複数ブランチ(バージョン)が同時に存在するという不都合(ブランチ間で相互互換性が少ない)も存在します。

 

 ✔ また、ブランチ間の互換性(共通仕様が保たれていない事実)から、過去に保守契約を行っていたとしても自動バージョンアップが効かないという事実も存在しますし、この様なことは今後もあり得ます

 

 ✔ この他にも、

 プラグイン(拡張機能)の不具合による影響も考えられます(プラグインの多くはWordPress本体側以外の、サードパーティと言われるところが開発しています)。

 

 あなたのホームページがWordPressで作られているのなら、何らかのプラグインも使われているはずです(というのはWordPress本体だけでは、綺麗な・便利な機能などが揃わないからです)それらの安全性も確かめる必要があります

 

 関連記事 ➡ 警告あなたのホームぺージ早急に2つの脆弱性対応が必要

 

脆弱性wp-loginの無防備な公開
          脆弱性wp-loginの無防備な公開

 

 

 

バージョンアップしようにも他の足かせがある

 

 2019/04末にWordPress 5.2 のリリースが予定されていますが、条件として同時に PHP の最低必須バージョンが引き上げられPHP 5.6.20 以降が必須となります。

 

 これもホームページオーナーにとっては足かせになり得ます。

 

 古いWordPressのホームページは脆弱性があり、WordPress最新版でなければ積極的な対応が受けられない。

 

 でも自身ではバージョンアップできないし、

 

 ホームページ制作会社もこれだけでは提案力が弱くお勧めできない・成約率も見込めないことから積極的な営業もしない。 事実、古いままの状況が残っているのは、制作を担当したそのホームぺージ制作会社が、(強い)提案ができない結果でもあります。

 

 結果、古いバージョンのWordPressホームページが脆弱性を抱えたまま取り残されることになる(なっている)悪循環が生まれている。

 

他にも

 

 ✔ サイト所有者にとっての不都合は、サイト所有者の知らないところに、まだまだ多くの課題があることです。

 

 (例えば、既にサポートが完全に終了した4.0ブランチ以下のホームページがかなりの数で現存し、常に脆弱性を突かれる脅威にさらされていることです)

 

 ✔ 5.0ブランチ(2018/12/10)も既に、4回ものセキュリティリリース(脆弱性対応など)とメンテナンスリリース(バグなどの不具合修正と機能アップなど)がありました。

 

 5.0.1(2018/12/18セキュリティリリース)は、 WordPress 3.7以降 5.0までの全てに対する複数の脆弱性UNKNOWN, BYPASS, OBJECT INJECTION, XSS)に対するリリースですが、 他のバージョンから一気に5.0.1にすることができません。  バージョン間の互換性などの壁があるからです

 

B-300-200-012-012-L01.jpg
    ご存知ですか? あなたのホームページが、
B-300-200-012-012-R02.jpg
    利用者に優しくないことを?

 

 ✔ あなたのホームページがWordPressで作られているのなら、ほぼ間違いなくこれらに対する調査・確認・対策が必用となります。

 

 これは脅しでもなんでもなく、

あなたが今後もホームページオーナーであり続け

道具としてのホームページをお考えならば、
 必ず、必要なことです。

 

 これら厄介なことを考えた場合、はたしてWordPressで作られているホームページを使い続けることは、
 あなたのご判断では、賢明なこと、なのでしょうか?

 

関連記事驚愕WordPressサイトでの脆弱性対策意識の低さ

43サイトの内wp-login未対応が27(63%) wp-sjon未対応も53%と驚くべき状況

 

まとめ

 

 あなたのホームページが WordPressで作られているか?がおわかりでないのなら、

 

 URLを添えて、ここから、お問合せください。

 

 私たちがサポートできる範囲(神奈川県・横浜市、川崎市、東京都・23区)であるのなら、ホームページの無料診断も差し上げています。

 

 私たちは、ITの有資格者

  経済産業省推進資格

   ITコーディネータ 、

 

  IPA独立行政法人 情報処理推進機構

   登録セキュリティプレゼンター

 です。