MENU

被害が155万サイト改ざん・WordPressを使う義務

2017年2月13日

155万サイト改ざん被害、REST API脆弱性を20のグループが攻撃、米Feedjit報告

REST API

 

 あなたは、どの様にお考えですか?

 

 あなたのWebサイトはWordPressで作られています。だとしたら?

あなたのWebサイトはなぜ、WordPressなのでしょうか?

 

 手軽で・便利だから?

それとも、

ホームページ制作会社から薦められるまま・・・

綺麗なサイトが作れると、言われたから、

でしょうか?

 

 あなたは、WordPressサイトのメンテナンスをしっかり行っていますか?

 

 世界で3200万サイト(2010/11時点)が利用

「全世界のWebサイト(ホームページ)の4分の1はWordPressで作られている(2015/11時点)」

 

 2017/02/13、世界で全体の27.5%、日本では81.5%がWordPress(出典:W3C)

 

https://w3techs.com/technologies/overview/content_management/all

 

https://w3techs.com/technologies/segmentation/cl-ja-/content_management

 

 この様に書くと

さも、私がWordPressを否定している・・・と捉えられるかもしれない

 

 そうでは、ないのです。

私もWordPress利用者の一人として

伝えておかなければならないと思い

今回の記事を書いています。

 

WordPress

上の図の数値からも分かる様に日本では大半のWebサイトにWordPressが使われています。

 

だから、

Webサイトのベースが

WordPressであることこそ・そしてWordPressオープンソースであるがゆえ、

 

メンテナンスをしっかりやらなければならない事を伝えたいのです。

 

 あなたのWebサイトが攻撃され、改ざんされた場合

 

あなたのWebサイトを訪れてあなたのお客さんになってくれるかも知れない人たちが

被害を受ける・迷惑がかかるかも・・・なのです。

 

 あなたが意識する・しないに関わらず、

あなたは犯罪の片棒を担がされ(あなたのWebサイトは犯罪の踏み台にされ)

 

 あなたのお客さんは、フィッシング サイトへ誘導されるなどの、犠牲になるのです。

 

 圧倒的なWebサイト数で、

オープン ソースであるがゆえ

次々と脆弱性が見つかり(見つけられ)、

その脆弱性を突いた攻撃が後を絶たない。

 

 はたして、

どれだけのサイトオーナーが、

どれだけのホームページ制作会社が、

 

このメンテナンスに忠実で

IPAJPCERT C/Cの警告に耳を傾け、

真摯にメンテナンスをしているでしょうか?

 

Webサイトは、

あなたのマーケティングの道具です。

道具は使わなければ錆びてしまいます。

 

 

直近では、2017/2/6の記事

 

 

 WordPress 4.7 及び

 WordPress 4.7.1 で使用している

API(アプリケーション プログラム インターフェイス)の脆弱性を突いたもの

 

155万サイト改ざん被害、REST API脆弱性を20のグループが攻撃、米Feedjit報告、アメリカだけじゃない。 

                

出典:IPA 独立行政法人 情報処理推進機構 

改ざん

 

WordPress 4.7.2の最新のバージョン(2017/2/6時点)に更新してください。

     

 

WordPressや、そのPlugin(プラグイン)だったりAPIの脆弱性(セキュリティホール)を突いた、セキュリティ インシデントが後を絶たないのです。

 

過去において代表的な例では、

 

XSSの脆弱性

 悪用された場合、

Webサイトをハッキングされたり、

クロスサイトリクエストフォージェリ(CSRF)攻撃を仕掛けられたりする恐れがある。

 

 WordPress 4.0.1ではXSSなどが修正された。

 WordPress3.9.2までのバージョンに脆弱性が存在する

 

出典:IPA 独立行政法人 情報処理推進機構 

リクエスト強要(CSRF)

リクエスト強要,CSRF

 

 

Jetpack の脆弱性 

 悪用されれば管理者アカウントが乗っ取られたり、

訪問者が不正なWebサイトに誘導されたりする恐れがある

 

JetpackはWordPressサイトの管理を支援するための多機能プラグインで、

  100万を超すWebサイトで使われている。

 

 脆弱性は2012年11月にリリースされた

Jetpack 2.0以降のバージョンに存在していて、

2016/5/27公開Jetpack4.0.3で修正された。

Jetpack4.0.3.

 

 

新しく作ったサイトでも安心できない理由

  ホームページの制作年月日が、新しいからと言って

それまでに解決されたもの(新しいバージョンのもの)が使用されているとは、

限らないのです。

 

 ある複数のWebサイトは2015年に制作されていました。

プラグインは、

fancybox1.3.7とfancybox1.3.8でした。

 

これは2010/11のもので、

その時点では既に5年以上古いものでした。

 

 このfancybox1.3.*には、深刻な脆弱性があり、Webサイト改ざんの被害が多発し

2015/2/5に修正バージョンのFancyBoxバージョン3.0.33.0.4リリースされていました。

 

それなのに何のメンテナンスも行われないままです。

 

Fancybox 脆弱性

クロスサイトスクリプティング攻撃(XSS)を実行される脆弱性が存在

出典:IPA 独立行政法人 情報処理推進機構

XSS,

 

出典:IPA 独立行政法人 情報処理推進機構 

クロスサイトスクリプティング攻撃

 

 なぜだとおもわれますか?

多くのプラグインは、無償もものもありますが、無償のものはメンテナンスされません。

 

FancyBoxも

バージョン1は無償ですが、

バージョン23有償です。

 

この様なことは、ホームページ オーナーさんが知る由もないことですので、

 

信頼できるホームページ制作会社に頼るしかないのが現状です。

・・・ここに、大きな問題があります。

 

自社の利益を優先させるホームページ制作会社の多くは無償のものを使い・またメンテナンスを行うこともありません。

 

先出の複数(10数個)のWebサイトも、未だにfancybox1.3.7fancybox1.3.8のままです。

 

 

だから、WordPressでWebサイトを作ったら

WordPressの定期メンテナンスは、

ホームページ オーナーの義務でもあるのです。

 

あなたのマーケティングの道具を

ほったらかしにして良い

理由などあるはずがありません。

 

 

WordPressは自動的に最新バージョンへ更新するサービスもありますが、

 

Plugin(プラグイン)や

APIは、自動更新されません。

Jetpack/ fancyboxなど)

 

あなたのWebサイト(ホームページ)は大丈夫でしょうか?

 お問い合わせ

あなたがもし、ご自分のホームページに不安がおありなら

あなたのURLを書いて、お問い合わせ下さい。

     

 

 

新着記事

あたりまえのアダムス

◇2018年4月22日◇

 もし、 あなたが、つねに改善を求めているのならば、 この本は、 あなたが今まで読んだ本の中でも最も興味深いものになるでしょう。          もし、 あなたが、 何らかの成果を求め続けているのならば、 私が今からお伝えす

自然言語検索があなたのWebサイト集客にもたらすもの

◇2018年4月8日◇

    「ググる」ということをあなたも行ったことがあると思います。   と、 言うか、 今ではほとんどの人が、 「ググる」ことなしに日々を過ごしているとは思えません。     それほど、日常生活に溶け込んでいます。    

MFI始まる。あなたのサイトは大丈夫ですか?

◇2018年3月30日◇

  いよいよ始まります。 Googleが長期にわたってテストと検証を行ってきた モバイルファーストインデックス もし、あなたがWebサイトをお持ちなら、 モバイルに対応する必要性をお感じなら、 この記事を読んでみてください。

あなたのサイトに自然言語検索がもたらす影響

◇2018年3月20日◇

あなたのビジネスはもっとWebを活用すべきです。Webなら大企業より小回りの利く地域ビジネスの方が断然有利です。自然言語検索の実現は、文脈を理解する技術をもたらします。あなたのお客様になってくれるかも知れない人たちに向けたコンテンツを作成し、検索エンジンに…

思いをつたえる

◇2017年12月2日◇

 あなたは、どの様にお伝えしていますか?あなたが、ご自分のサービスや商品を紹介するときサービスの特徴や商品の性能や機能の説明になっていませんか?「つたえる」伝わらない。人とひとをつなぐもの、それは、

つながり 繋がる

◇2017年7月17日◇

どんなことでも、つながりがあることは、とても大切で・大事なことです。今日は、趣向を変えて、この、「つながり」について考えてみようと思います。先日、と言っても・・・1か月以上も前のことです。

[伝わる]か[つたえる]owned media

◇2017年7月7日◇

つたえる   伝わらない   人に何かを話した時   あなたは、こんな風に感じたことはないでしょうか?   または、     どんな風に 話したたら伝わるだろうかた考えたことは、   ありませんか?   たわいもない

人気記事

前の記事で、集客にはスマホ・サイトの充実が必要だと書きました。    何故、スマホ・サイトが必要かとお思いでしょうか? それは、既存のHP(ホームページ:サイト※1)は、   パソコンの大きな画面で見ることを前提に作られている

この記事の関連記事

まず質問です。 あなたは何故Webサイトをお持ちなのでしょうか?     あなたのWebサイトは、お役に立っていますか? いまはまだ課題を認識されていないのかも知れませんが、・・・   あなたのWebサイトには2つの問題になりうる

あなたは地域ビジネスのオーナーです。 あなたはホームページ(Webサイト)で集客をねらっています。 でも、中々Webサイトからの集客につながっていません   どうしてでしょうか?     一度あなたのWebサイトを見直してみるのも

リスクヘッジ サイトオーナーがこれを知ったら夜も眠れない。   2017年1月僅週間あまりで155万ものサイトが改ざんされた。(エイプリル フール では、ありませんよ) 出典:米Feedjit これはWordPressのバージョン4.

なぜ、こんな過激なタイトルかを、これから あなたにお伝えしたいと思い、このブログを書いています。  このことは、何度も言い方を変えてお伝えしようとしてきたことです。 (残念ながら伝えきれていません。)  既に感染(改ざん

つたえる   伝わらない   人に何かを話した時   あなたは、こんな風に感じたことはないでしょうか?   または、     どんな風に 話したたら伝わるだろうかた考えたことは、   ありませんか?   たわいもない


最新記事

« 前123456...25次 »

アーカイブ

2015

お知らせ

 

お知らせ

こんにちは

会社情報

合同会社 アルファ・ITC

 https://a-itc.info

上記サイトは、ITの全般サービスを掲載したPC専用サイトです。

 

 

このサイトは、

IT有資格者が、

 ご提案する 集客(顧客獲得)に特化したサイトの制作例です。

電話番号

080-4433-7227

所在地

〒360-0212
埼玉県熊谷市江波522-23


© 2018 スマホ最適化ホームページで商売繁盛。あなたも! All rights reserved.