WordPressホームページ６つの課題

2019/04/05 jun

WordPressホームページの６つの課題

　これらは、専門的であり、かつ難解なことなので、本来はホームページ制作会社などでしか確かめようがない（あなたが知る必要もないことなのかも知れない）ことなのですが、WordPressだからこそ必要なことがあり、疎かにされていることによって、あなたのご存知の無いところで大きな問題となっており、そうも、言っていられないのが現状なのです。

　と言うのはCMS（コンテンツマネジメントシステム）で制作されたホームページのほとんどがWordPressで作られていることが（w3techsの調査発表から）明らかになっています。

　あなたは、善意のホームページ制作会社だけを頼っていたのでは（知らない間に、被害を受けたり・犯罪の踏み台にされたり）と平静では済まされない、大きな問題となりえることもあるのです。

　今回はWordPressホームページにおける課題と必要な対応についてお伝えしたいと思います。

Update:2020/04/10

Update:2019/06/18

Update:2019/05/22

Update:2019/05/10

Written:2019/04/04

By 横浜の登録セキュリティプレゼンター

内容

WordPressホームページでの課題 ... 1

攻撃者の格好の的となりやすい ... 3

脆弱性が発見されやすい ... 3

常に最新バージョンであることの必要性 ... 4

保守契約をしていても自動バージョンアップされない ... 7

バージョンアップしようにも他の足かせがある ... 8

他にも ... 9

まとめ ... 10

WordPressホームページでの課題

✔　攻撃者の格好の的となりやすい

✔　脆弱性が発見されやすい

✔　常に最新バージョンであることの必要性

✔　保守契約をしていても自動バージョンアップされない

✔　バージョンアップしようにも他の足かせがある

✔　他にも

まとめ

　あなたのホームページがWordPressで作られていることの可能性が非常に高い

　あなたのホームページがWordPressで作られていたら、の、話ですが、

日本のCMSホームページの 81%以上がWordPress（w3techsの調査発表）ですから、ほぼ該当しますネ。きっと。

　世界での使用率は、 33.5％（2019/04/04現在w3techsの調査発表）ここから確認できます。

　圧倒的なシェア率となったのは、ホームページ制作会社がCMSを導入することを考えたとき、無料のブログ発祥のCMSであるWordPressがとっつきやすかった。から。

　ホームページ制作会社にとって、多くのテンプレート（テーマ：ホームページのデザインや色合いの調整、構成のレイアウトにあたる部分）やプラグイン（拡張機能：問合せメールフォームやGoogleマップなどを簡単に組み込めるようにしたもの、他にも）が揃っていたからに、他なりません。

　そしてWordPressで作られたホームページが増えていき、WordPressを使用するホームページ制作会社も増えていった。

　さらに必要な情報の適切な伝達を怠り・導入後に、コンテンツ以外でも保守・メンテナンスが欠かせないことを伝えなかったこと・伝えきれないままにホームページ制作だけを行った結果です。

　これらは必ずしもホームページオーナーさんの為とは言い切れません。

　関連記事　➡　 脆弱性対策してますか？あなたは大丈夫？

　ここでお断りしておきたいのですが、WordPressそのものや、テンプレート、プラグインが悪いと言っている訳ではありません。

　WordPressホームページを運営していく上で必要となることを充分に理解し、使って行く上ではWordPressは素晴らしいものが揃っていますので問題とはなりません。

　しかし殆どのホームページ制作はホームページ制作会社に丸投げの状態であり、コンテンツはおろか、仕組みそのものまで制作当時のまま多くが放置されているのが実情（実態）です。

　一戸建ての家を建てる時、建築会社に丸投げしますか？、住み続けていく間にメンテナンスしますよね？、時には自分で、専門的な外壁や屋根は、業者さんにお願いして塗り替えや、葺き替えをしたりしますよね？

　ホームぺージだって同じです。制作時には希望を述べ、希望が実現しているか確認しませんか？、時間が経ってきたら、見直しや・メンテナンス（記事の追加・リニューアルなど）をしませんか？？、

　どうして、「ホームページ」だからと言って放置するのでしょうか？。何も専門的な部分を、ご自身で行う必要はないのです。

　餅は餅屋です。

　あなたは、その進捗を・結果を確認・チェックすることです。

攻撃者の格好の的となりやすい

✔　WordPressは攻撃者の格好の的

　日本で、世界で最大数のユーザー数を誇るが故、脆弱性や不都合が発見されたとき攻撃対象となる母数が他のCMSに比べ圧倒的なことから攻撃者の格好のターゲットになりヒット率も高くなるのです。

　現に筆者も１週間と言う短い期間の中で、偶然にも８件のフィッシングサイトへの誘導へ改ざんされたホームページを特定の地域（埼玉県の深谷市、熊谷市、上尾市、そして東京都豊島区）から見つけたことがあります。

　（歯科医院５、整体院２、エステ店１）

脆弱性が発見されやすい

✔　WordPressは脆弱性が発見されやすい

　　利益を得ようとする者たちは、WordPressに絞ってもパイが十分にあることから、脆弱性を発見することに躍起になっています。（脆弱性を発見することにおいても格好のターゲットです）

✔　最悪かつ最大のセキュリティ事故は、

バージョン4.7と 4.7.1の REST APIに対する脆弱性攻撃で 155万サイトが改ざんされたセキュリティ事故が発生（2017/2/6発表）したこと

　関連記事　➡　 脆弱性対策していますか？あなたのホームページ

常に最新バージョンであることの必要性

✔ 　さまざまな脆弱性や不都合が常に発見されるが故、

　常に（最新ブランチの）最新バージョンに保つ必要性があります。

✔　常に非常に短い周期でバージョンアップを繰り返していることからも明らかです。

　しかも複数のバージョンが並存する状態で、

（下表v5.2-v4.9 参照）（まるで開発側と攻撃者の、いたちごっこです）

　しかし、いつまでも古いバージョンに対するサポート

（脆弱性や不具合に対応するバージョンアップ）を

オープンソフト（フリー・無償で提供するソフト）という性格上続けるわけにはいきません

　有償のソフトでさえ、古いバージョンのサポートを次々と停止しています（Windowsなど）

　ブランチ：バージョンのまとまりをブランチといいます。

　（4.9、4.9.1、4.9.2、･･･といった各バージョンのまとまりをブランチ（系統：メジャーバージョン）、4.9.1、4.9.2、4.9.3はマイナーバージョンと言います。

　4.9➡5.0➡5.1そして5.2へとブランチは上がってきています。

✔　WordPress側のサポートにも限界があり、

　　複数ブランチかつ複数バージョンに対するサポートは

　「最新版以外のバージョンは、安全に使用することはできません。」

　出典： WordPress.org 日本語ダウンロードサイトで明言しています。

　但し、
　

　4.9から5.0はメジャーバージョンアップであったことと、

　多くの仕様変更で上位・下位互換性が保てなかったことへの対応から、

　過去バージョンに対する、脆弱性・不具合解消の為、

　4.9.8（2018/8/3）リリース以降で久しぶりのリリースが、

　4.9.9と4.9.10で立て続けて2019/3/13にありました。

　しかしこの様な状況がいつまでも続くかの保証はオープンソフトと言う性格上どこにもないのです。

　（4.0以下のバージョンが既にサポート対象外となっている様に、いずれ4.1、4.2がサポート終了となっていくのです）

　リリースのページでも、2019/04/04現在は、　　　

　「積極的に保守されている 5.1 系統の最新版以外の以下のバージョンは、安全に使用することはできません。」と言っています。　➡　2019/05/08

　5/8には 5.2ブランチの公開されました。

　「積極的に保守されている 5.2 系統の最新版以外の以下のバージョンは、安全に使用することはできません。」となりました。

表v5.2-v4.9

WordPressバージョン4.9から5.2まで
version	リリース日	内容
5.2.2	2019/6/18	メンテナンスリリース13個のバグを修正、 5.2で導入されたサイトヘルス機能の改善
5.2.1	2019/5/21	5.2.1は5.2の機能の改善と33件のバグを修正しています。
5.2	2019/5/8	メジャーバージョンアップ：5.2ブランチ(Jaco)
5.1.1	2019/3/13	コメントをフィルタ処理してデータベースに格納する方法を処理するための一対のセキュリティ修正
5.1	2019/3/11	メジャーバージョンアップ：5.1ブランチエディター全体のパフォーマンスの向上
5.0.4	2019/3/13	コメントをフィルタ処理してデータベースに格納する方法を処理するための一対のセキュリティ修正
5.0.3	2019/3/13	37個のバグ修正
5.0.2	2019/1/9	73個のバグに取り組むメンテナンスリリース
5.0.1	2019/12/18	3.7以降のすべてのバージョンに対するセキュリティリリース（XSS:クロスサイトスクリプティング、権限外の操作を行える、個人情報が漏れる可能性があるなどの脆弱性）
5.0	2018/12/10	メジャーバージョンアップ（下位からの自動バージョンアップ無し）：5.0ブランチ
4.9.10	2019/3/13	コメントをフィルタ処理してデータベースに格納する方法を処理するための一対のセキュリティ修正
4.9.9	2019/3/13	3.7以降のすべてのバージョンに対するセキュリティリリース（XSS:クロスサイトスクリプティング、権限外の操作を行える、個人情報が漏れる可能性があるなどの脆弱性）
4.9.8	2018/8/3	18のプライバシー関連の修正と改善
4.9.7	2018/7/7	4.9.6およびそれ以前のバージョンは1件のセキュリティ問題の影響を受けるための修正
4.9.6	2018/5/19	プライバシーとメンテナンスについて37件の拡張、51件の問題の修正
4.9.5	2018/4/4	4.9の28件の問題を修正、3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンス
4.9.4	2018/2/7	4.9.3 の重大なバグを修正。4.9.3 は自動バックグラウンド更新を有効化したサイトで、自動更新に失敗します。手動でバージョン 4.9.4 に更新する必要があります。
4.9.3	2018/2/7	4.9 の34件の問題を修正
4.9.2	2018/1/17	4.9 およびそれ以前のバージョンに含まれるライブラリー MediaElement 4.x の Flash 代替ファイルによる XSS の脆弱性対応
4.9.1	2017/11/30	4.9 およびそれ以前のバージョンは4件の潜在的にマルチベクトル型攻撃の一部として機能し得るセキュリティ問題の影響への対応
4.9	2017/11/17	メジャーバージョンアップ：4.9ブランチ大規模なカスタマイザーの改善、コードエラーチェック

4.9ブランチ以前は、ここから確認できます。

※.発見バージョンWordPress3.7から5.0までのすべての
　脆弱性タイプ：

　UNKNOWN （一般に、それ自体は有害ではありませんが、ハッカーが使用した場合、攻撃の対象者に害を及ぼす可能性があります。）、

　BYPASS （セキュリティ対策の機能を回避したり、セキュリティ対策ソフトをすり抜けたりできる脆弱性）、

　OBJECT INJECTION （外部からオブジェクトを注入（インジェクション）する攻撃。外部からオブジェクトを注入できれば、そのオブジェクトの機能によりさまざまな攻撃ができる可能性があります。最悪の場合、任意のコードを実行できる脆弱性）、

　XSS （クロスサイト・スクリプティングの具体的な攻撃例。ウェブアプリケーションに問題がある場合、悪意を持った命令(スクリプト)の入ったページを表示させられることによって、偽のページを表示させられてしまう。

図．XSSの攻撃例の詳細（出典：IPA 独立行政法人情報処理推進機構）

　① 攻撃者がBさんの掲示板に罠を仕掛ける

　② A子さんがBさんの掲示板を見る

　③ A子さんが罠のリンクが入ったページを表示し、リンクをクリックする

　④ Bさんの掲示板からX社のウェブサイトに移って（クロス）、

　　悪意を持った命令（スクリプト)を送ってしまう

　⑤ 悪意を持った命令（スクリプト）がユーザのブラウザで実行され、偽のページが表示される

　⑥ 偽ページにユーザがだまされて、個人情報などを攻撃者に送ってしまう

保守契約をしていても自動バージョンアップされない

✔　保守契約をしていても
　　自動バージョンアップされない不都合

（（最新のセキュリティ対策が受けられないなど）サイト所有者にとっては知りたくもない、知らずに済ませたいこと）があります。

　これは、
　
　最近では 4.9ブランチと5.0ブランチ間で互換性が無い為、4.9ブランチで開発されたホームページ、もしくは4.9までのバージョンアップを自動で・手動で行ってきたとしても、　　4.9.10（2019/03/13）で止まってしまっています。
　
他にも、

（WordPressでは3.7から自動でアップデートする機能がついたのですが、4.9と5.0の様な大幅な仕様変更でなくても）

　4.9.3のままだと4.9.4には手動で更新が必要（レンタルサーバー会社や WordPress.orgの公式のブログなどによって、2018年2月初旬に通知されていますが、ほとんどのホームページオーナーが目にすることのない情報です）

　保守契約をしていなければ、ホームページ制作会社が対応することもありませんから、
　
　4.9.3までの不都合（脆弱性や不具合）に対応できないまま放置されています。

　4.9.3 に深刻なバグが含まれていることがリリース後に発覚
　
これが原因で、4.9.4に「手動で」更新しないと、以降はずっとアップデートされません。）

　4.9.5：2018/04/03： 3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンス

　✔　さらに、多くの開発者が同時開発（ほぼ平行開発）であるが故の複数ブランチ（バージョン）が同時に存在するという不都合（ブランチ間で相互互換性が少ない）も存在します。

　✔　また、ブランチ間の互換性（共通仕様が保たれていない事実）から、過去に保守契約を行っていたとしても自動バージョンアップが効かないという事実も存在しますし、この様なことは今後もあり得ます

　✔　この他にも、

　プラグイン（拡張機能）の不具合による影響も考えられます（プラグインの多くはWordPress本体側以外の、サードパーティと言われるところが開発しています）。

　あなたのホームページがWordPressで作られているのなら、何らかのプラグインも使われているはずです（というのはWordPress本体だけでは、綺麗な・便利な機能などが揃わないからです）それらの安全性も確かめる必要があります

　関連記事　➡　警告あなたのホームぺージ早急に２つの脆弱性対応が必要

バージョンアップしようにも他の足かせがある

　2019/04末にWordPress 5.2 のリリースが予定されていますが、条件として同時に PHP の最低必須バージョンが引き上げられPHP 5.6.20 以降が必須となります。

　これもホームページオーナーにとっては足かせになり得ます。

　古いWordPressのホームページは脆弱性があり、WordPress最新版でなければ積極的な対応が受けられない。

　でも自身ではバージョンアップできないし、

　ホームページ制作会社もこれだけでは提案力が弱くお勧めできない・成約率も見込めないことから積極的な営業もしない。事実、古いままの状況が残っているのは、制作を担当したそのホームぺージ制作会社が、（強い）提案ができない結果でもあります。

　結果、古いバージョンのWordPressホームページが脆弱性を抱えたまま取り残されることになる（なっている）悪循環が生まれている。

他にも

　✔　サイト所有者にとっての不都合は、サイト所有者の知らないところに、まだまだ多くの課題があることです。

　（例えば、既にサポートが完全に終了した4.0ブランチ以下のホームページがかなりの数で現存し、常に脆弱性を突かれる脅威にさらされていることです）

　✔　5.0ブランチ（2018/12/10）も既に、4回ものセキュリティリリース（脆弱性対応など）とメンテナンスリリース（バグなどの不具合修正と機能アップなど）がありました。

　5.0.1（2018/12/18セキュリティリリース）は、 WordPress 3.7以降 5.0までの全てに対する複数の脆弱性（ UNKNOWN, BYPASS, OBJECT INJECTION, XSS）に対するリリースですが、他のバージョンから一気に5.0.1にすることができません。　バージョン間の互換性などの壁があるからです。