MENU

サイト脆弱性を放置状態WordPressの多く

2017年2月19日

前回のブログで、日本のWebサイトにおけるWordPressのシェアが81.5%(海外は27.5%)で、WordPressが脆弱性を頻発するCMSでありながら、人気の高さに驚くとともに、リスクに関する対策がなされていない事実を書いた。

 

 本来、Webサイト(ホームページ)の構築を依頼する側のサイト オーナーさんにとって、

 


 

 この様な技術的な問題やセキュリティ インシデント(※)の課題などは知り様の無いことであり、

 


 

 専門家に依頼すれば良いとお思いになっても無理のない事なのですが、

 


 

 ことIT関連・特にインターネット関連については、残念ながらその様な状況に無いことも事実です。

 

 

 そもそも、自分のWebサイトにWordPressが使われていることさえ、ご存知ないサイト オーナーさんがほとんどである為、この様な記事を書いても、見る人も限られる。

同様な記事を何度も書いて、少しでも目立たせ、気を引いてもらうしかないのも事実です。

 

ホームページ制作会社の真摯な対応が求められるものでもあるのだが、・・・

 

Webサイトがどの様な技術で作られていようとも、

サイトオーナーさんにとって、Webサイトを作ることが目的ではないので、

この様なことに意識が行かないことも無理もない事実ですが、

 

ご自分のサイトが何で作られている(WordPressなら)信頼のおけるホームページ制作会社なのかを見極めることの必要性が無いとは言えません。

 

 そこで、今回は、WordPressで実際にどのようなバージョンが使われているかを調べてみました。

 

何の処置もしていないのであれば)、WordPressを利用しているサイトのソースには

  WordPress 3.1.1″ />

  こんな表記が自動で挿入され、該当Webサイトのソースを調べると判断できます。

 

※   バージョン情報を消す(表示させない)のにはいくつかの方法があります。

 

 ・使用しているテーマのfunction.phpに以下を追記

 remove_action('wp_head', 'wp_generator');これでバージョン表記は非表示となります。

 

 ・プラグインを使う-Secure WordPress

 WordPress - Secure WordPress - WordPress Plugins

 ソースからバージョン情報を取り除いてくれるだけでなく、プラグインやテーマファイルを外部から覗けなくしてくれたり、その他設定する事によってWordPressのセキュリティレベルを上げる事ができる応急措置的なプラグインです。

 

プラグインに関しては、上記以外にも探せば他にもあるでしょう。

 

   ソースからバージョン情報を取り除いている応急処置的なWebサイトは恰好あります。

  ただ、使用するPluginやテーマ、テンプレートなどのバージョンを見れば大凡想像できます。

 

※   今回は、バージョン情報を取り除いていないさいとについて書いてみます。

 

ある歯科医院さんは、ワードプレス バージョン4.7.22017/01/26 最新バージョン)になっていました。

これは、先日のブログに書いたREST-APIの脆弱性に対する対策がしっかりとられているWebサイトです。

  ‘4.7.2” />’

 

 ある医院は、ワードプレス バージョン4.02014/09/04)バージョンになっていました。

  ‘4.0” />’

  

また、ある医院は、ワードプレス バージョン3.12011/02/23)の6年も前の古いバージョンのままです。

‘3.1” />’

 

ワードプレスの自動更新および、

使用プラグインなどの手動更新メンテナンスを行っていないのであれば、

これから述べる様な既に顕在化した脆弱性に対して何の対策も取られていない事になります。

 

※.ざっとネット上を見て回っても旧バージョンのまま放置しているWebサイトは非常に多い状況です。

                   

※.サイト制作会社の案内を見ても、WordPressのバージョンアップは有料のところが多く、

  クライアントの自主性に任せているようです。

 

  が、充分な説明とメンテナンスの必要性・重要性が理解されたとは言えないでしょう。

 

 

※.問題はサイト制作会社にまかせている為、運営者が全くバージョンについて理解していないなどのケースもあります。

 

  まかせている=放置=責任放棄です。

 

WordPress バージョン&主要脆弱性対応

※ このLISTは、後日詳細版に改定する予定です(こうご期待)
  ここで、最もお伝えしたいことは、
  Webサイトを作った切りにしないで
  WordPressの自動更新と、プラグインなどの手動更新のメンテナンス契約が必要ということです。
  WordPressでWebサイトを構築したら、メンテナンスは必須と言うことです。 

WordPressバージョン(部分:バージョン4、2014/09/04以降)

バージョン4.7.2~4.2

wordpress-4.5.0-4.7.2.jpg

バージョン4.1.15~4.0

wordpress-4.4.0-4.4.7.jpg

 

2017年に公開されたバージョンを含むもの(01:3.9.*)

バージョン3.9.16~3.9

wordpress-3.9.0-3.9.16.jpg

2017年に公開されたバージョンを含むもの(02:3.8.*)

バージョン3.8.18~3.8

wordpress-3.8.0-3.8.18.jpg

2017年に公開されたバージョンを含むもの(03:3.7.*)

バージョン3.7.18~3.7

wordpress-3.7.0-3.7.18.jpg

2017年2月現在で、実際に使用が認められたバージョン関連。(3.1の使用を確認しました)

何の処置もしていないのであれば、WordPressを利用している

サイトのソースは‘3.1” />’と見えています。

バージョン3.6~3.0

wordpress-3.0.0-3.6.0.jpg

 

 

REST-API 

※1. 一般社団法人 JPCERTコーディネーションセンター WordPress の脆弱性に関する注意喚起  https://www.jpcert.or.jp/at/2017/at170006.html        

※2. 独立行政法人 情報処理推進機構(IPA)WordPress の脆弱性対策について https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html     

   

※3.155万を超えるWebサイトが攻撃され改ざんされ被害を受けた(米Feedjit報告 2017/02) https://www.wordfence.com/blog/2017/02/rest-api-exploit-feeding-frenzy-deface-wordpress-sites/

 

 

※   セキュリティ インシデント:情報セキュリティを脅かす事件や事故、およびセキュリティ上好ましくない事象・事態のことで、コンピュータウイルスなどのマルウェア感染、不正アクセス、アカウント乗っ取り(なりすまし)、Webサイトの改ざん、情報漏洩、迷惑メール送信、サービス拒否攻撃(DoS攻撃)、情報機器や記憶媒体の紛失や盗難などが含まれる。機器やシステムの破損や故障、意図しない停止などを含める場合もある。

 

※   XSS攻撃:攻撃者の作成したスクリプトを脆弱性のある標的サイトのドメインの権限において閲覧者のブラウザで実行させる攻撃( Webアプリケーションの脆弱性もしくはそれを利用した攻撃。クロス サイト スクリプティング)

 

※   CSRF攻撃 : クロス サイト リクエスト フォージェリ、XSSと似ているが別物。

  攻撃者はブラウザなどのユーザ・クライアントを騙し、意図しないリクエストをWebサーバに送信させる。 Webアプリケーションがユーザ・クライアントからのリクエストを十分検証しないで受け取るよう設計されている場合、このリクエストを正規のものとして扱ってしまい、被害が発生する。

 

XSS攻撃 

XSS攻撃

 

 

パス トラバーサル 

パス トラバーサル

 

 

CSRF攻撃 

CSRF攻撃

 

 

Open Redirect 

Open Redirect

 

SQLインジェクション 

 

 

SQLインジェクション

 

サイド チャネル攻撃 

暗号装置の動作状況を様々な物理的手段で観察することにより、装置内部のセンシティブな情報を取得しようとする攻撃(暗号解読)方法

 

あなたのWEbサイトは大丈夫ですか

もし、不安があるのなら、URLを添えて、お問い合わせ下さい。

 

新着記事

あたりまえのアダムス

◇2018年4月22日◇

 もし、 あなたが、つねに改善を求めているのならば、 この本は、 あなたが今まで読んだ本の中でも最も興味深いものになるでしょう。          もし、 あなたが、 何らかの成果を求め続けているのならば、 私が今からお伝えす

自然言語検索があなたのWebサイト集客にもたらすもの

◇2018年4月8日◇

    「ググる」ということをあなたも行ったことがあると思います。   と、 言うか、 今ではほとんどの人が、 「ググる」ことなしに日々を過ごしているとは思えません。     それほど、日常生活に溶け込んでいます。    

MFI始まる。あなたのサイトは大丈夫ですか?

◇2018年3月30日◇

  いよいよ始まります。 Googleが長期にわたってテストと検証を行ってきた モバイルファーストインデックス もし、あなたがWebサイトをお持ちなら、 モバイルに対応する必要性をお感じなら、 この記事を読んでみてください。

あなたのサイトに自然言語検索がもたらす影響

◇2018年3月20日◇

あなたのビジネスはもっとWebを活用すべきです。Webなら大企業より小回りの利く地域ビジネスの方が断然有利です。自然言語検索の実現は、文脈を理解する技術をもたらします。あなたのお客様になってくれるかも知れない人たちに向けたコンテンツを作成し、検索エンジンに…

思いをつたえる

◇2017年12月2日◇

 あなたは、どの様にお伝えしていますか?あなたが、ご自分のサービスや商品を紹介するときサービスの特徴や商品の性能や機能の説明になっていませんか?「つたえる」伝わらない。人とひとをつなぐもの、それは、

つながり 繋がる

◇2017年7月17日◇

どんなことでも、つながりがあることは、とても大切で・大事なことです。今日は、趣向を変えて、この、「つながり」について考えてみようと思います。先日、と言っても・・・1か月以上も前のことです。

[伝わる]か[つたえる]owned media

◇2017年7月7日◇

つたえる   伝わらない   人に何かを話した時   あなたは、こんな風に感じたことはないでしょうか?   または、     どんな風に 話したたら伝わるだろうかた考えたことは、   ありませんか?   たわいもない

人気記事

前の記事で、集客にはスマホ・サイトの充実が必要だと書きました。    何故、スマホ・サイトが必要かとお思いでしょうか? それは、既存のHP(ホームページ:サイト※1)は、   パソコンの大きな画面で見ることを前提に作られている

この記事の関連記事

1つ目は、 google検索の仕組みが変わる (モバイル ファースト インデックス ※01)に対応が必要。    ✔ このままでは、検索結果で上位表示されていたものが圏外になる可能性が大きい事です。2017/03/26記   ➡ あなた

なぜ、こんな過激なタイトルかを、これから あなたにお伝えしたいと思い、このブログを書いています。  このことは、何度も言い方を変えてお伝えしようとしてきたことです。 (残念ながら伝えきれていません。)  既に感染(改ざん

何度も申し上げている様にWordPressの自動更新とAPI・プラグインなどの脆弱性が見つけられた時、スグに更新できるよう、 あなたのWebサイト制作会社と保守契約を直ぐに結んでください。 ホームページは作ってお終いではなく、サイトオーナーとし

スマホ利用者が訪れたサイトの全てのコンテンツページが見やすく、使いやすく、かつ・分かりやすいものです。さらに近い将来を踏まえモバイルファーストインデックスに対応していること。・・・これはサイトのメンテナンスの上でもレスポンシブデザインで作られている

  いよいよ始まります。 Googleが長期にわたってテストと検証を行ってきた モバイルファーストインデックス もし、あなたがWebサイトをお持ちなら、 モバイルに対応する必要性をお感じなら、 この記事を読んでみてください。


最新記事

« 前123456...25次 »

アーカイブ

2015

お知らせ

 

お知らせ

こんにちは

会社情報

合同会社 アルファ・ITC

 https://a-itc.info

上記サイトは、ITの全般サービスを掲載したPC専用サイトです。

 

 

このサイトは、

IT有資格者が、

 ご提案する 集客(顧客獲得)に特化したサイトの制作例です。

電話番号

080-4433-7227

所在地

〒360-0212
埼玉県熊谷市江波522-23


© 2018 スマホ最適化ホームページで商売繁盛。あなたも! All rights reserved.