MENU

4.7.2にも脆弱性WordPressは常に最新バージョンを

2017年4月1日

リスクヘッジ

サイトオーナーがこれを知ったら夜も眠れない。

 

155万サイトが改ざんされた

2017年1月僅週間あまりで155万ものサイトが改ざんされた。(エイプリル フール では、ありませんよ)

出典:米Feedjit

これはWordPressのバージョン4.7と4.7.1のAPI脆弱性を攻撃された事故で、記憶に新しいところです。

 

 

 

2月にバージョン4.7.2が出て一旦落ち着いたかに見えたのですが、

 

WordPress4.7.3

そのバージョン4.7.2に、

 

それ以前のバージョンにも新たに6つもの脆弱性(XSS関連とCSRF関連で)が見つかり

 

対応新版2017/03/07のバージョン4.7.3が公開されました。

 

(バージョン4.7.2およびその他過去のバージョンに、6件のセキュリティ上の問題


:主に

XSS:クロス サイト スクリプティングと 01.

CSRF:クロス サイト リクエスト フォージェリ)。 02.

 

XSS,CSRF

WordPressのサイトオーナーは、今すぐ最新バージョンへの更新(4/1時点では4.7.3)をお勧めします。


また、新たな脆弱性が見つかる可能性が大ですので、

常に最新版への更新を怠ってはいけません

 

 

 

と、言うのは日本のWebサイトのWordPress使用率が高いにもかかわらず

 

WordPressの保守契約を行っていないWebサイトが非常に多い現実であるからです。

WordPress -20170218

2017/02/18時点で

81.5% 出典:W3Techs

 

世界平均では、27.7%そして

 

201704/01時点では、82.2%と増加しています。

WordPress -20170401

155万サイトの改ざんは米の報告ですが、

 

日本でも現実に改ざんされたサイトが、

筆者の発見でも数例あります。(Top画像もそうですが)

 

下は、2016/12/8に発見した

 

フィッシングサイトに誘導される様に改ざんされた例です。

フィッシングサイトへ改ざん

(危機意識の少ない利用者はフィッシングサイトに誘導されます。)

 

 サイトオーナーは、知らない内に犯罪の片棒を担がされています。

 

2017/04/01時点で

 

筆者が調べた限りで、最新バージョンに更新している例は、わずかなサイトだけです。

HTMLの記述でわかる

サイトのソース(バージョンを隠すこともできるのですが)では次の様にバージョンを見ることができます。

 

head情報に、

            ‘

 

Footer情報にも

            ‘

 

の様な記述がソースにあれば、WordPressのバージョンが分かります

 

しっかり保守契約しているサイトは少ない 

 2のサイトはしっかり保守計画をされている様で、

 

バージョン4.7.2が発表されて暫くしてから4.7.2に更新されていましたし、

 

今回も4.7.3になっています。

            ‘

 

 

この様な例は、残念ながら珍しい例です。

古いバージョンのWordPressが現役

と、いうのは未だに、複数の脆弱性を抱えたままの、もっと古いバージョンのサイトが多いのです。

 

筆者の知る限り

 

WordPress 3.1 


WordPress 3.1.4


WordPress 4.0


WordPress 4.4.1

 

それも1~2サイトと言う訳でなく、多くのサイトが古いバージョンで制作され

 

バージョンアップされないまま、

 

古いバージョンのまま、脆弱性をかかえたまま運用されています。


http://xn--yck7ccu3lc7455c30ebuyp7ir58chkekp3l.net/blog/wordpress-20170219/

 

 

もちろんバージョン表示を隠したものも数多いので

 

どの様なバージョンが稼働中なのかは正確には分かりません。

 

が、

(バージョンを隠す記述(※03)をしても付け焼き刃的な対応で、攻撃されたらひとたまりもありません。

プラグインにも脆弱性&バージョンが想像できる 

また、

 

FancyBox 1.3.7とかFancyBox 1.5.8.2など多くのプラグインのバージョンからも

 

WorsPress本体のバージョンも分かってしまいます。

 

補足 

03.WordPressのhead情報のバージョン情報を非表示にする

使用しているいのテーマの functions.php というファイルに、以下を追加すると表示されなくなります。

‘remove_action('wp_head', 'wp_generator');

 ※03-2.「バージョン情報まで表示されるのはセキュリティ面でいうとマイナスなので、そのような要因は極力減らしておきましょう。」の様な

WordPressの使い方に、セキュリティ対策として解説をもうけているサイトも見かけますが、・・・

 

これは、あくまでも付け焼き刃的な対応に過ぎないのです。

 

それよりも、

WordPressで制作されたWebサイトは、常に最新版のバージョンに更新することが大事です。

 

ソフトウェア(特にWordPressアプリ関連)は保守契約が原則です。

 

01.  XSS:クロス サイト スクリプティング

 

   出典:ウィペディア:

  Webアプリケーションの脆弱性(※04)もしくはそれを利用した攻撃。

 

 ※02.  CSRF:クロス サイト リクエスト フォージェリ

 

   出典:ウィペディア:

  Webアプリケーションの脆弱性の一つもしくはそれを利用した攻撃。

略称はCSRF(シーサーフ) と読まれる事もある。リクエスト強要(※)。

 

04.  脆弱性:セキュリティ ホール:脆弱性対策➡IPA:情報処理推進機構

 

新着記事

つながり 繋がる

◇2017年7月17日◇

どんなことでも、 つながりがあることは、 とても大切で・ 大事なことです。   今日は、趣向を変えて、   この、 「つながり」について考えてみようと思います。   先日、 と言っても・・・   1か月以上も前のことです。

[伝わる]か[つたえる]owned media

◇2017年7月7日◇

つたえる   伝わらない   人に何かを話した時   あなたは、こんな風に感じたことはないでしょうか?   または、     どんな風に 話したたら伝わるだろうかた考えたことは、   ありませんか?   たわいもない

ほとんどのオーナーは自分が加害者側にいることに意識がない

◇2017年5月29日◇

なぜ、こんな過激なタイトルかを、これから あなたにお伝えしたいと思い、このブログを書いています。  このことは、何度も言い方を変えてお伝えしようとしてきたことです。 (残念ながら伝えきれていません。)  既に感染(改ざん

またもWordPressに複数の脆弱性

◇2017年5月27日◇

何度も申し上げている様にWordPressの自動更新とAPI・プラグインなどの脆弱性が見つけられた時、スグに更新できるよう、 あなたのWebサイト制作会社と保守契約を直ぐに結んでください。 ホームページは作ってお終いではなく、サイトオーナーとし

モバイル ファースト インデックスに最速で最適かつ現実的に備える

◇2017年5月7日◇

Googleが2016/11/05に発表したモバイル ファースト インデックスに備える必要があります。   Googleがインターネット アクセスの主役をパソコンではなくスマホだと捉え、数年来モバイル ファーストと言って来たものです。  

スマホ最適化 ・スマホ最適化ホームページ

◇2017年4月22日◇

スマホ利用者が訪れたサイトの全てのコンテンツページが見やすく、使いやすく、かつ・分かりやすいものです。さらに近い将来を踏まえモバイルファーストインデックスに対応していること。・・・これはサイトのメンテナンスの上でもレスポンシブデザインで作られている

お客さんになってくれるかも知れない人たちの関心は

◇2017年4月18日◇

Webサイトの認知 あなたのお客さんになってくれるかも知れない人たちは、あなたの商品・サービスに関心があって購入するのではなく、あなたの商品・サービスを利用することのよって得られるベネフィットを求め・購入に至ります。 最初はWebサイトに直接訪

人気記事

前の記事で、集客にはスマホ・サイトの充実が必要だと書きました。     何故、スマホ・サイトが必要かとお思いでしょうか? それは、既存のHP(ホームページ:サイト※1)は、   パソコンの大きな画面で見ることを前提に作られている

この記事の関連記事

あなたは地域ビジネスのオーナーです。 あなたはホームページ(Webサイト)で集客をねらっています。 でも、中々Webサイトからの集客につながっていません   どうしてでしょうか?     一度あなたのWebサイトを見直してみるのも

まず質問です。 あなたは何故Webサイトをお持ちなのでしょうか?     あなたのWebサイトは、お役に立っていますか? いまはまだ課題を認識されていないのかも知れませんが、・・・   あなたのWebサイトには2つの問題になりうる

  あなたが、Webサイトのスマホ対応をお考えなら、5分ください。   なぜこの様なお手紙をあなたに差し上げたか?   あなは、あなたのホームージのスマホ対応をお考えでしょうか?   あなたがスマホ対応を検討中なら、この手紙の内容を、

スマホ対応だけでは不充分、スマホ最適化が求められています。 スマホ最適サイトの強みは、他のスマホ対応サイトには揃っていない機能が全部そろっていること。 綺麗なデザインより、Webマーケティング機能が大事です。 これらの機能は、綺麗なデザイン・

理由は複数あります。 1.    あなたのWebサイトを訪問しているあなたのお客さんになってくれるかも知れない人たちは、あなたのサービス(商品)で、自分の願望を叶えたり悩みやトラブルを解決したいと考えている人たちです。   2.    あなた


最新記事

« 前123456...25次 »

アーカイブ

2015

お知らせ

 

お知らせ

こんにちは

会社情報

合同会社 アルファ・ITC

 http://a-itc.info

上記サイトは、ITの全般サービスを掲載したPC専用サイトです。

 

 

このサイトは、

IT有資格者が、

 ご提案する 集客(顧客獲得)に特化したサイトです。

電話番号

080-4433-7227

所在地

〒360-0212
埼玉県熊谷市江波522-23


© 2017 スマホ最適化ホームページで商売繁盛。あなたも! All rights reserved.