MENU

脆弱性放置は Web制作会社の責任

2017年4月15日

ご自分のWebサイトが何で作られているのか、

ご存知ないのであれば、

一度ご自分のWebサイトを制作した会社に連絡して、

脆弱性などの問題は、ないのかどうか・どうか確認してみてください。

 

脆弱性放置は、なにもWordPressサイトだけじゃない(※1)


 

2017/1に155万ものサイトが改ざんされた、WordPress4.7と4.7.1の脆弱性を突いたもの。

WordPress脆弱性

XSS と CSRF

2017/2に対応バージョンの4.7.2が発表され、やっと一息ついたと思いきや

2017/3/7にバージョン4.7.3が出た

これは、バージョン4.7.2だけじゃなく、

それ以前のバージョンに脆弱性(XSS:クロスサイトスクリプティングと、CSRF:クロスサイトリクエストフォージェリ)が発見されたことに対する対応必須のバージョンだった。

XSS,CSRF

(2017/4/15現在WordPressに関する新しい脆弱性の発見は無い)

 


 

すっかりWordPressにお株を奪われてしまった日本のWebサイトだが、

WordPressシェア

出典:W3Techs 2017/04/15時点、82.4%


 

脆弱性 

脆弱性が放置されたままのWebサイトはWordPressだけに限らない

 

仕事柄

たまたま訪問したサイトが、Movable Type 4.1で作られていました。

 

そしてWordPressの様な脆弱性はないのだろうな?と、Movable Typeのオフィシャルサイトを訪問してみたところ・・・

 

Movable Type 

Movable Type 4.1にもXSS(※3)とCSRF(※4)の脆弱性があり

このサイトも2008年に制作された切り、一度もメンテナンスされていないことがわかりました。

 

2008年には既に対応バージョンの4.2がリリースされており、2017/4/15時点の最新バージョンは6.3.2です。

 

そして2018年初頭にはバージョン7が公開されるそうです。

 

2017/4/3発表。・・・Movable Type(※2)もしっかり対応もバージョンアップによる機能アップも進んでいる様です。

 

 

このバージョン4.1のサイトオーナーさんにも早速、連絡差し上げたのですが、

既に10日が経ちましたが、

残念ながら、未だもって何のアクションもされていない様です。

 手紙で、丁寧に必要な処置をお知らせしたつもり・・・なのですが、

(ホームページ制作の売り込みとでも取られたのでしょうか?)


 

もっと残念なのが、

既に改ざんされてしまったところも、数か所あり

Mailやら、手紙で連絡差し上げたにも関わらす

いまだに、改ざんされたままの状態で放置されていることです。

フィシングサイトに誘導

  アンチウイルスソフトで、フィッシングサイトへのアクセスをブロックしたときの画像キャプチャです。

(色が違うのが、キャプチャ時のアンチウイルスソフトのバージョンが違うからです。)

フィシングサイトに誘導


 

なんだか、むなしくなってしまうのだけれども

この様な形で

警鐘を鳴らし続けるしかないのが、現状です。

 

Web制作会社がまず行うこと

そこのところは、Web制作会社の皆さんももう少し努力してほしいと思います。

 

✔  一方的な説明で済ますだけじゃなく、理解してもらうことが大事です。

 

✔  WordPressや、Movable Typeでサイトを作ったのなら

 

✔  保守の大切さ・・・というより、必要性を丁寧に伝えて、理解して戴くのです。サイトオーナーに

 

✔  Webサイトは作った切りでは、いけない事をサイトオーナーの皆さんに分かって戴けるような努力をしていただきたいと思います。

 

他山の石

✔ 155万ものサイトが改ざんされた、セキュリティ事故を、対岸の火事だと思わない様にしていかなければ、なりません。

 

✔  Webサイトが終焉することは無いかも知れませんが、

 

✔  新しくWebサイトを作っていくことがどんどん少なくなって行き・・・いずれサイト制作会社が困ることに、

 

お薦めしたいこと

また、このブログを読んで下さっている

 

あなたがWebサイトをお持ちで、あなたのWebサイトがどの様に作られているのかを知る事、必要です。

 

工業製品の様に保証も、製造者責任もなく、

車の様に年間のメンテナンスや車検が義務付けられたものでもないWebサイトですが、

何のメンテナンスもせず作った切りでは済まされない場合もあります。

 

本来は、

Webサイトがどの様な技術で作られているかなど、サイトオーナーにとってはどうでもよく、

Webサイトを持つことが目的でもないのですから、

 

この様な事に時間を割いたり、気を使ったりする必要がなく、

サイト制作会社に任せて行けば良いと思われても不思議でもなんでもない事であるべきなのですが

 

、・・・

 

 

 WordPressの様に、常に脆弱性に晒されているもの

(利用者数が圧倒的に多いということは、攻撃者にとっても格好のターゲットであり、ターゲットにするメリットも大きいのです)

 

ご自分のWebサイトが何で作られているのか、

 

ご存知ないのであれば、

一度ご自分のWebサイトを制作した会社に連絡して、

 

脆弱性などの問題は、ないのかどうか・どうか確認してみてください。

 

あなたは、なぜWebサイトをお持ちなのでしょうか?

 

あなたは、何故Webサイトをつくったのでしょうか?

 

あなたのWebサイトがWordPressで作られているのなら

 

常にセキュリティ対策が必要です。

 

そして、バージョンアップなどの保守が必要です。

 

現時点でも、Webサイトが作られたときのまま
バージョンアップされていない多くのWordPressサイトが運用されています。

 

Webサイト オーナーにも、

バージョンアップなど、最低限の保守を行う責任があります。

 

あなたのWebサイトを訪れる

あなたのお客様になってくれるかも知れない人たちが

意識しない内にフィッシングサイトに誘導され被害者にならない様に

あなたが、知らない内に犯罪の片棒を担ぐことにならない様に

 

脆弱性が明らかになっているものについては、

バージョンアップで対処しましょう。

 

WorsPress本体だけでなく

プラグインやAPIなどにも脆弱性が潜んでいます。

 

分からないことは、

どうか、あなたのWebサイト制作会社に協力を求めましょう。


 

 

1.WordPress 

WordPress (ワードプレス) は、オープンソースのブログ/CMS プラットフォームです。セマンティック Web、コードやデザインの美しさ、Web 標準、ユーザビリティなどを意識して開発されており、無料でダウンロードして使うことができます。

 

2.Movable Type 

Movable Type は、安全で効率的なウェブサイト運用を可能にするCMSプラットフォームです。

豊富なラインナップで、小規模からエンタープライズまで幅広いサイトの構築を低コストで対応可能。

クラウド版なら、より速く、安全な環境で、安心してウェブサイトを運用できます。

さらに Data API が、柔軟なサイト構築、他のプラットフォームとの連携はもちろん、ウェブにとどまらないコンテンツ管理を実現します。

 

3. XSS:  クロスサイトスクリプティング 

攻撃者は、XSS脆弱性のあるWebサイトにユーザを誘導することにより、ユーザ環境で不正スクリプトを実行させることができます

 

4. CSRF: クロスサイトリクエストフォージェリ 

 

新着記事

ほとんどのオーナーは自分が加害者側にいることに意識がない

◇2017年5月29日◇

なぜ、こんな過激なタイトルかを、これから あなたにお伝えしたいと思い、このブログを書いています。  このことは、何度も言い方を変えてお伝えしようとしてきたことです。 (残念ながら伝えきれていません。)  既に感染(改ざん

またもWordPressに複数の脆弱性

◇2017年5月27日◇

何度も申し上げている様にWordPressの自動更新とAPI・プラグインなどの脆弱性が見つけられた時、スグに更新できるよう、 あなたのWebサイト制作会社と保守契約を直ぐに結んでください。 ホームページは作ってお終いではなく、サイトオーナーとし

モバイル ファースト インデックスに最速で最適かつ現実的に備える

◇2017年5月7日◇

Googleが2016/11/05に発表したモバイル ファースト インデックスに備える必要があります。   Googleがインターネット アクセスの主役をパソコンではなくスマホだと捉え、数年来モバイル ファーストと言って来たものです。  

スマホ最適化 ・スマホ最適化ホームページ

◇2017年4月22日◇

スマホ利用者が訪れたサイトの全てのコンテンツページが見やすく、使いやすく、かつ・分かりやすいものです。さらに近い将来を踏まえモバイルファーストインデックスに対応していること。・・・これはサイトのメンテナンスの上でもレスポンシブデザインで作られている

お客さんになってくれるかも知れない人たちの関心は

◇2017年4月18日◇

Webサイトの認知 あなたのお客さんになってくれるかも知れない人たちは、あなたの商品・サービスに関心があって購入するのではなく、あなたの商品・サービスを利用することのよって得られるベネフィットを求め・購入に至ります。 最初はWebサイトに直接訪

あなたは未だ気づいていません

◇2017年4月8日◇

あなたは未だ気づいていません     あなたは、まだ気づいてはいません。   これは、一部の専門家や ・インターネット・マニアの間だけで 注目されていること   だからです。     なにが、大事

動的配信(メディア切り替え)・リダイレクト

◇2017年4月4日◇

 出来るだけ「専門用語を使わないで」今回のブログを書こうとは思っているのだけれども、今回は、かなり難しい。   Googleモバイル ファースト インデックスに対応する為に必要なこと...で、ブログに書いた   Googleウェブマスター向

人気記事

前の記事で、集客にはスマホ・サイトの充実が必要だと書きました。     何故、スマホ・サイトが必要かとお思いでしょうか? それは、既存のHP(ホームページ:サイト※1)は、   パソコンの大きな画面で見ることを前提に作られている

この記事の関連記事

あなたは地域ビジネスのオーナーです。 あなたはホームページ(Webサイト)で集客をねらっています。 でも、中々Webサイトからの集客につながっていません   どうしてでしょうか?     一度あなたのWebサイトを見直してみるのも

理由は複数あります。 1.    あなたのWebサイトを訪問しているあなたのお客さんになってくれるかも知れない人たちは、あなたのサービス(商品)で、自分の願望を叶えたり悩みやトラブルを解決したいと考えている人たちです。   2.    あなた

まず質問です。 あなたは何故Webサイトをお持ちなのでしょうか?     あなたのWebサイトは、お役に立っていますか? いまはまだ課題を認識されていないのかも知れませんが、・・・   あなたのWebサイトには2つの問題になりうる

 出来るだけ「専門用語を使わないで」今回のブログを書こうとは思っているのだけれども、今回は、かなり難しい。   Googleモバイル ファースト インデックスに対応する為に必要なこと...で、ブログに書いた   Googleウェブマスター向

何度も申し上げている様にWordPressの自動更新とAPI・プラグインなどの脆弱性が見つけられた時、スグに更新できるよう、 あなたのWebサイト制作会社と保守契約を直ぐに結んでください。 ホームページは作ってお終いではなく、サイトオーナーとし


最新記事

« 前123456...24次 »

アーカイブ

2015

お知らせ

 

お知らせ

こんにちは

会社情報

合同会社 アルファ・ITC

 http://a-itc.info

上記サイトは、ITの全般サービスを掲載したPC専用サイトです。

 

 

このサイトは、

IT有資格者が、

 ご提案する 集客(顧客獲得)に特化したサイトです。

電話番号

080-4433-7227

所在地

〒360-0212
埼玉県熊谷市江波522-23


© 2017 スマホ最適化ホームページで商売繁盛。あなたも! All rights reserved.