あなたのホームージ今すぐに脆弱性対応が早急に必要です。

 

 × WordPressのバージョンが、4.9.10です。※.

 

 × wp-login.php無防備に公開されています。

 

あなたのホームぺージをチェックした項目は以下のことです。

 

✔ WordPressが最新バージョン(5.1.1)に更新されているか?

     ※.WordPress.orgのリリースのページでは

    「積極的に保守されている5.1系統の最新版以外の以下のバージョンは、

     安全に使用することはできません。​​​​​​​」と宣言されています。

 

✔ wp-login.phpが公開されていないか?

   (あなたのURL/wp-login.phpでアクセスして

    WordPressのログイン管理画面が表示されないこと警告の為、色を赤に変更しています)

WordPress管理画面
    WordPress管理画面(警告の為、色を赤に変更しています)

 

 あなたのホームージがWordPressで作られています。

 

今すぐ上の2点について、早急に対応することが大事です。

 

 あなたのお付き合いのある信頼できるホームージ制作会社に、

ご相談されることを強くおすすめします。

Update:2019/04/18

Written:2019/04/15

By 横浜の登録セキュリティプレゼンター

   経済産業省推進資格 ITコーディネータ

 

現在のWordPressで作られたサイトにも複数の課題と既に問題となっているものがあります。

 

あなたのサイトの課題と問題

まずは、課題の部分からお伝えしましょう。

 

 

あなたのホームページの課題

 

 それは、あなたのホームページの元となるWordPressが最新版ではないということです。

 

 WordPressは世界でも日本でも最も使用されているCMS(コンテンツ マネジメント システム)ですが、それゆえに攻撃者の絶好のターゲットとなっています(攻撃者にとっては、ひとたび脆弱性が見つかるとその利用ユーザの多さゆえに効率的なヒットが狙えるからです)。

 

 WordPress.orgも「積極的に保守されている最新版以外は、安全に仕様することはできません」と宣言しているくらいです。

 

 (2019/04/15現在最新版は5.1系統、4/30には5.2系統がリリース予定)

 バージョン4.7と 4.7.1の REST APIに対する 脆弱性攻撃で155万以上のサイトが改ざんされるという大事故が発生しました(筆者も改ざんされた6つのサイトを知っています) 

 

あなたのサイト

今すぐ2つの点検が必要ですWordPressバージョン確認
知識さえあればホームページが何で作られているかを見ることができる

 

 WordPress.orgのサイトは、どうでしょうか?

5.2ブランチベータ
5.2ブランチのベータ版が既に実装テスト状態

 さすがに、最新版の5.2ブランチのベータ2をテスト状態で既に活用しています。

 

 

 上の様に「ごく僅かな知識さえあればホームページが何で作られているかを見ることができます

 

あなたのホームページのWordPressは、バージョン4.9.10です。

(あなたのホームページの制作会社は、バージョンアップが必要ですとは伝えてこなかったですか?)

 

 WordPressは、バージョン5.0大幅な仕様変更があり、それまで自動バージョンアップ設定をしていたとしても無効となりました。

 

 保守契約をしていたとしても、バージョン5以降へ移行するには手作業が必要です。

 

 あなたのホームページは保守契約をしている様です。

 

 と、言うのは、2018/2/7のバージョン4.9.3では重大なバグがあり、

4.9.3 は自動バックグラウンド更新を有効化したサイトで、自動更新に失敗します。手動でバージョン 4.9.4 に更新する必要があります。」というものがあったのですが、

 

 4.9.10まで上がってきていることから保守契約で(手動バージョンアップで4.9.4に)対応された様です。

 

 しかし、これでホームページが安心できる訳ではありません。

 

 既にバージョンは、5.05.0.15.0.25.0.35.0.45.15.1.1と上がっており

4/末には5.2がリリース予定されています。

 

 WordPress.orgが伝えている(積極的に保守されている5.1系統の最新版以外の以下のバージョンは、安全に使用することはできません。)の通りで、

 

 あなたのホームページを利用者に安心して使ってもらうにはバージョンアップが必要です。

 

これが、WordPressを使い続ける上での課題です。

 

 

あなたのホームページの問題点

 

そして、次はあなたのホームページの問題点をお伝えしましょう。

 

それは、次の画面を簡単に表示できることです。

今すぐ2つの点検が必要ですWordPressのログイン管理画面
わずかな知識があれば、ホームページの脆弱性を発見できます

 

「わずかな知識があれば、ホームページの脆弱性を発見できます」

 

あなたのURL/wp-login.phpでアクセスして上記の様な画面が出てきたら

ブルートフォースアタック格好の標的になっているということです。

 

 あなたのホームページを制作した、(ホームページ制作会社は)セキュリティ意識がとても低いとしか言いようがありません。

 

 本来ならば別の画面を用意し、WordPressのログイン管理画面は、権限を持っている人しか公開せず(wp-login.phpは表示できない様にします

 

 保守契約を継続して行っているのなら、保守契約の範囲内の改定で簡単にこの画面を隠せたはずです。

 

.ブルートフォースアタックの格好の標的になります。

 上図で示したように、知識があれば簡単にあなたのホームページの脆弱性を発見できます。

これは大きな脅威となります。

 

 .セキュリティ上の脅威(かいつまんで簡単に言うと)

 ブルートフォースアタックは、パスワード解析方法の1つで

 総当たりで正解パスワードを割だそうというかなり強引な手法。

 

 パスワードが分かってしまうとサイトの改ざんなど、は、思うままです。

 

 改ざんされた場合の影響は、図り知れません。

 

 

 あなたのWordPressの管理画面へのログイン方法がwp-login.phpと分かっている状態ですと、毎日のようにブルートフォースアタックにさらされている可能性があります。

 

 

 ブルートフォースアタックは正しい組み合わせが見つかるまで機械的に推測し、ログイン資格情報解明しサイトを攻撃します。これは最も典型的なセキュリティ侵害です。

 

 万が一攻撃者にアクセスされてしまえば、サイトのファイルを改ざんされたり個人情報の流出につながったりと、今までの蓄積された信頼を一瞬で失くしてしまう重大な被害にあうかも知れません。

 

 

           ➡ 改ざんされたホームページの実例を記載した記事はこちら

WordPressだからこそ必要なこと
       WordPressだからこそ必要なこと

 

 

 あなたのホームページは、WordPressバージョンの他に、この様な脆弱な面をインターネット上に晒してしまっているとも言えます。

 

 そもそもwp-login.phpを隠しておけば、ブルートフォースアタックにさらされるリスクもある程度軽減されます。このカスタマイズはしておくべきことです。

 

 何も対策しないで放置していることは、大きな問題で、根本的なセキュリティの意識の欠如を表しています。

 

 ホームージオーナーのあなたが、この様な内容をご存知ないことは、専門的な事柄であるがゆえに致し方のないことなのです。

 

 ですが、

 

 少なくともホームージを制作したり保守したりするホームージ制作会社において最低限のセキュリティ対策と言えるもので、ホームページをSSL化(https)していたとしても無駄になっています。

 

(あなたのホームページはhttpsアクセスになっていますが、あなたのホームページ制作会社がこれをお薦めしたのであれば、本末転倒とも言えます)

 

               関連記事 ➡  脆弱性対策してますか?あなたは大丈夫?

incident インシデント
       インシデント セキュリティ事故

 

 

まとめ

この記事にある内容は実例です。

 

 あなたのホームージが、あなたのご存知ないところで被害にあわれる可能性もゼロではないのです。

 

 あなたのホームージがWordPressで作られているのなら、今すぐ上の2点を確認することが大事です。あなたのお付き合いのある信頼できるホームージ制作会社に、ご相談されることを強くおすすめします。

 

 あなたのホームージが何で作られているかご存知ない方は、ここからお問合せージを経由して(URLを記入し)お問合せください。

By 横浜の登録セキュリティプレゼンター

   経済産業省推進資格 ITコーディネータ