MENU

ほとんどのオーナーは自分のサイトを知らないWordPress脆弱性

2016年12月10日

リスクヘッジ

 WordPress(ワードプレス)は、オープンソース(※)のブログソフトウェアである。が、単なるブログではなくCMS(※)としても、 しばしば利用されている。 (WordPressサイト制作・レスポンシブデザインをうたうサイト制作者が如何に多いか!)

 

WordPressサイト制作には、リスクヘッジが必要!  今回はその脆弱性について言及するとともに対応策について考えてみます。

脆弱性,リスクヘッジ,セキュリティ対策

サイト(ホームページ)制作のためのCMSとして利用した場合、

 

リスクヘッジ(※)の観点からは、充分とは言い切れない脆弱性(※)の心配が残る。

 

(ブログ発祥のCMSで汎用的な主なCMSには含まれていない)

 

 WordPressオリジナルであれば、

または

+(プラス)十分に検証された実績のある

プラグイン(WordPressの機能拡張(カスタマイズ)をするために使用される部品化されたソフトウェア)だけを使っているのなら良いのかも知れない。

 

  はたして、

WordPress利用者の何割がこの様な意識の前提に立っているか?が疑問でもある。

 

 

 カスタマイズは大まかに次の2段段階。

 

  まず自分が使いたいプラグインを探して組み込むこと。

そして、 もう一つが自分でプラグインを開発して組み込むことによるカスタマイズすること。

 

 いずれにしてもカスタマイズには自己責任がともなってくる。

 

  ・探してきたプラグインの信頼性(☆)が担保できているかの判断がとても難しい。

 

  ・自分で開発する場合は、正常に動作することをテスト・検証することは当然のことであるが、

 

 もうひとつがセキュリティインシデント(☆)観点で充分考えられているか。

 

 

  誰でもが知識さえあれば容易にプラグインを開発できる。

 

 このことからセキュリティインシデント観点はとても大事な視点。

 

 WordPress自体を否定している訳でも否定するつもりもありません。

現に、私も使っています。

 

 ☆ 何をもって信頼性があるか、信頼する・信頼がおける、か、という観点。

 

 

オープンソースの良い面は別として、

オープンであるが故、管理・統制もない。

あったとしても、行き届かない。

行き届いていない。

 

 

プラグインを作る上での標準化もなく、

制作者の裁量と技能に依存した開発となり、

似たような機能を持ったものがとんでもなく多い。

(これが探すのが大変になる理由の一つ)

 

 一例をあげて説明を試みると、

  例えば、

 

機能aプラグイン、機能bプラグイン、機能cプラグイン、を持ったプラグインがあったとします。

 

組み合わせで使う場合を想定すると、

 

機能a、bの使用例では、

 ① そのまま使用する。

 

 ② 機能a+bの新しいプラグインを作る

 (ソースコード(※)が公開されているから知識さえあれば容易に改修して別のものを作ることが可能。

 プラグイン名の命名は自由)

  c‘プラグイン・・・abプラグインとは、ならないし、前出のcとは別物になる。

 

 ③ 機能aにbの機能を組み込む(c“)、

 組み込み方の違いによってはc”“にもなる。

 

 ④ 機能bにaの機能を組み込む(d)、

 

 ⑤ aもbも見つけられなかったので、新に機能eプラグインを作る、

 

 (見つける側の力量もさることながら、

 オープンの世界で有名になって知られていなければ、知る事自体が困難)

 

 この様な場合、そのまま使うを、別として

 

新たに4つのプラグインが生まれる可能性がある。

 

これが、

開発ベンダー毎・全世界で行われたら一体どのようなことになるか想像がつくだろうか?

 

1つのベンダーでも、

開発プロジェクトが違えば、プロジェクトごとに開発するのも珍しいことではない。

 

(筆者は、経験してきた多くのプロジェクト・マネジメントで、多くの会社が自社のIT資産の管理・統制が無いばかりに、2重3重の開発になっている現場を数多く見てきました。

 

ライブラリ化(※)されていなかったり、

ライブラリ化されていても、ライブラリアン(※)の不在が常態化しているのがソフトウェア業界なのです)

 

 この様に多くのプラグイン

またはテンプレートと言われるものの多くは、

 極端な場合(大規模開発でも細部までは手が回らないから)開発の現場担当者だけが、

 使用局面を想定したテストをして、 どのような検証をしたかを把握するだけで、

テスト・検証報告も現場単位であり、 プロジェクトの中では完成品なのです。

 

 (しっかりとしたウォークスルーやレビューをしていないと、言っている訳ではないですが

 

下の図は、一般的なサイト、2カラム構成のテンプレートを概略図で示しています。 

各(部)に当たる部分に、様々なコンテンツがソースコードで組み込まれます。

サイトページ構成

 

 

この様な状態であるからこそ、

その完成品の中でオープン(リリース)にされたものの中から、

充分に検証された実績のあるものを見つけることは困難を極める のです。

 

 (実績があったとしても、使用局面が異なれば使えないかもしれないので、新たに開発し、似たような機能が生まれる原因でもあるのです)

 

 また、

 特に日本では、見つけられなかった場合

多くは英語ベースの解説しかない為、有名なものでない限り見つけるのが困難)で、

 

あらたに制作する(プログラミング)しかないのも現状です。

(ソフトウェア開発の現場に居たからこそ言い切れるものです)

 

  WordPressは、オープンソースソフトウェアで、

 誰もがWordPressの開発に参加できる、という利点がある。

ライセンスフリー

 

 

  ライセンスフリー

 誰もがWordPress関連の開発に参加できるというのが、厄介なことでもあるのです。

 

  つまり、

 社会経験の少ない新人でも

 サイト開発プログラム言語のHTML(※)とPHP(※)をある程度知っていれば、

 プラグインを作り・公開できるという事が、厄介なことにもなるのです。

 

 「社会経験の少ない者」をバカにしている訳ではないのですが、

 

 サイト(ホームページ)の多くはビジネスに使うものです。

 

 ・ビジネスにはルールがあり、

 意識しなければならないのは、 社会のルールだけではありません。

 

  サイト・プログラミングもルールに則って制作し、

 充分なテスト・検証をへてリリースすべきものであります。

 

 このことは、あなたも否定できないと思います

 

 そして、プログラミングに関わる者は、それだけでは済まされない

 

インターネット上の厳しい世界に晒されることを前提にしなければならない。

 

 

  ここで、インターネットの厳しい現実に晒されている一例を紹介しましょう。

 

 これ(下図)は、とあるホームページにアクセスしたときに、

 

ウイルス対策ソフトが

「危険を知らせて」来てくれた時のポップアップメッセージです。

 

あなたはご覧になったことはありませんか?

ウイルス対策ソフトでフィッシングサイト誘導を発見

ウイルス対策ソフトでフィッシングサイト誘導を発見し、ブロックした画像

フィッシングサイトへの誘導をブロック5URL

フィッシングサイトへの誘導をブロックした履歴:カスペルスキーで記録5つのURL ①②は、同じサイトの別ページ。

 

これらのホームページ・オーナーは、

自分のサイトがフィッシングサイトへの誘導LINKがサイト内に組み込まれていることを知らないのです。

(キット夢にも思っていない事でしょう)

 

 これは、

ホームページ構成の脆弱性を突いて、

ホームページの中身が改ざんされた結果

フィッシングサイトへの誘導LINKが組み込まれた)ことを示しています。

 

 

ウイルス対策ソフトを入れていないパソコンなどからアクセスすると、

サイト訪問者は知らない内に、フィッシングサイトに誘導されてしまいます。

サイトオーナーは犯罪の踏み台にされ、サイト訪問者は被害者になってしまいます。

 

 

   これは、たまたま見つけたものですが、1件だけではありませんでした。

(この例はURLの一部をマスキングしています)

 

 約1週間の間に4件見つけました。

 

 この様なことは、

以前であればネット関係のニュースなどで見受けられましたが。

今では常態化していて珍しくもない為ニュースさえなりません。

 

  あなたのサイトは大丈夫でしょうか?

(ウイルス対策ソフトを備えたパソコンなどから、一度自分のサイトにアクセスしてみることをお勧めします

 

  脆弱性に関しては、

日々改善されていくものの

 サイバー攻撃を加える者たちとの、

いたちごっこであり

 残念ながら、どうしても後手に回るのは仕方のないことなのです。

 

  先手を打てないから、

 脆弱性を突かれて

・被害にあってからの手当てとしかならないのが現実です。

 

 ウイルスやフィッシング、改ざん、データ漏洩・・・

 

上げれば切りがないくらいのリスクにさらされるのです。

 

 

  WordPressとは無関係ですが、

 世界的な大手ソフトウェアベンダー(メーカー)でさえ、

 これら脆弱性に関する対応(アップデート)をかなりの頻度で行っています。

 

 例えばwindowsアップデート、

これは機能アップだけでなくOSに含まれる脆弱性をついた攻撃からシステムを守るためのアップデートでもあるのです。

 (機能アップより、もむしろ脆弱性の補完のためのアップデートの頻度の方が多い)

 

 

 

 ☆ 折角の便利なプラグインですが、脆弱性の報告をされています。

 

便利ですが、セキュリティ対策をしっかり行っておかないと

せっかく作ったWebサイトを壊されたり改ざんされたり犯罪の踏み台にされてしまいます。

 

 ☆ WordPressの方は、プラグインが大丈夫か確認してください。

 

 ☆ JPCERTIPAからも注意喚起が出ている通り、

 日本のサイトが広く攻撃対象になっています

 

 ☆ 使用しているCMSのアップデート情報をこまめにチェックしてアップデートしていただきたいと思います。

 

 WordPressを否定している訳ではありません 私もメインサイトではありませんが使っています。 このブログは

 

WordPressを使ってみての所感と、

 最強CMS(concrete5(※)ベース)を使ってみて、

 

WordPressとの比較の視点からの所感が含まれています。

 

 私が使用している

 WordPressバージョンは、4.6日本語版(2016/08/25)です。

 

  そしてテンプレートは、 Cyfonsシステム(現時点のバージョンは3.14 2016/10/12)です。

 

  PHP のバージョンは、 5.3.3です。

 

   MySQL のバージョンは、 5.5です。

 

  サーバーは、xServer (エックスサーバーx10) です。

 

 以下のサイトに詳しい情報があります

ご興味があれば、みてください

 

JPCERT : JPCERTコーディネーションセンター  https://www.jpcert.or.jp/

 

 ☆ JPCERTのPDF

 

 ☆ JPCERT関連の私の記事はこちらからどうぞ(無料セキュリティ対策ツールをご紹介)

 

IPA  : 独立行政法人 情報処理推進機構  http://www.ipa.go.jp/

 

 ☆ CMSの中には、アップデートを通知してくれるものもある。

  とはいえ WordPressのように、ログインしないとアップデート状況は分からないものもあります。

 

 ☆ 更新していないCMS毎日ログインするのは、

  おっくうな作業かもしれないですが、

  そこは我慢して、日々チェックとアップデートを欠かさないことが重要です。

 

 ☆ セキュリティインシデント

 : 情報管理や情報システム運用に関して保安上の脅威となる事象のこと

  (ウイルス感染不正アクセスアカウント乗っ取りWebサイト改ざん情報漏洩迷惑メール送信(スパムメール)、サービス拒否攻撃(DoS攻撃)など)

 

出典:ウィキペディア 他

※ で示している多くの注釈はウィキペディアなどからの出典を元に、読み安さを考慮・編集しています。

 

 ※ WordPressは、基本的に英語ベースの開発、

  インターフェース部分のみを日本語化したものが日本語版。

 (プラグインも圧倒的に英語版が多い)

 

 ※ プラグイン : 様々な機能をプラグインとして追加でき、

  サードパーティからも多くのプラグインが開発されている。

  プラグインPHPで開発できる。

 

 ※ テンプレート : WordPressのテンプレートは、

  PHPHTMLをある程度知っていれば容易にカスタマイズできる。

 

  ☆ テンプレートは多くの場合、ヘッダー部とサイドバー部、コンテンツ部、フッター部、に分けて記述され、1ページはそれらの組み合わせで表示(サイトのページ構成)される。 上部画像で提示

 

 ※ テーマ : テンプレートスタイルシートを組み合わせたセットをテーマと呼ぶ。

  無料のテーマが、公式サイトのほかサードパーティから提供されている。

 

  ☆ テーマの中には、ページを構成する要素をメニューから選択できるウイジェットという機能が使えるものがある。

 

 ※ オープンソース : プログラミング言語の源(ソースコード)を公開すること

 

  ※ ソースコード(Source code)とは、人間が記述した、ソフトウェア(コンピュータプログラム)の元となる一連の文字の羅列。

 

 ※ CMS : ウェブコンテンツを構成するテキストや画像などの

  デジタルコンテンツを統合・体系的に管理し、配信など必要な処理を行うシステムの総称。

  コンテンツ管理システム

 

 ※ HTML : ウェブ上の文書を記述するためのマークアップ言語

 

 ※ マークアップ言語 : 視覚表現や文章構造などを記述するための形式言語

 

 ※ PHP : HTMLから発展した動的なウェブページを実現することを主な目的としたプログラミング言語

 

 ※ リスクヘッジ : 損失の危険を回避すること

  サイトの場合、サイバー攻撃からの改ざん情報漏洩フィッシングなどを回避すること

 

 ※ 脆弱性 : 外部からの不正アクセスに対して情報システムの安全性が損なわれている状態

  セキュリティ上の欠陥のこと。

   ソフトウェアやハードウェアのバグによってできるセキュリティホールが代表的。

   機密情報・重要情報に対する管理体制の甘さも一種の脆弱性

 

 ☆ 無料ホームページではフィッシングサイトへの誘導が多い。

 

 ☆ WordPressサイトではプラグインJetpackXSS脆弱性を突いたもの

 

  ※ XSS脆弱性 : 悪用された場合、Webサイトをハッキングされたり、

  クロスサイトリクエストフォージェリ(CSRF)攻撃を仕掛けられたりする恐れがある。

  WordPress 4.0.1ではXSSなどが修正された。

  (脆弱性は3.9.2までのバージョンに存在する)

 

 ☆ 共用レンタルサーバーを狙った広範囲の書き換え攻撃

  「共用」という性質もあって、

  同一のサーバーを使用していた複数のユーザーのデータが横断的に書き換えられた

 

  ※ Jetpack脆弱性 : 悪用されれば管理者アカウントが乗っ取られたり

  訪問者が不正なWebサイトに誘導されたりする恐れがある

 (JetpackはWordPressサイトの管理を支援するための多機能プラグインで、

  100万を超すWebサイトで使われている。)

 

 ※ カスタマイズ : ここでいうカスタマイズとは、

  新しいプラグインを組み込んだり、

  テンプレートの構成(位置の変更、使わない機能・プラグインの除外など)変更

 

 ※ スタイルシート : 構造化文書などにおける表示形式を制御するしくみ。

  見栄えと構造を分離するという目的で提唱された。

  HTML、XML、SGMLといったマークアップ文書や、オフィスソフトにおいて広く使用されている。

 

 ※ ライブラリ化 : 汎用性の高い複数のプログラムを再利用可能な形でひとまとまりにしたもの。

  ライブラリと呼ぶ時は、それ単体ではプログラムとして作動させることはできない。

  実行ファイルではない場合がある。

  ライブラリは他のプログラムに何らかの機能を提供するコードの集まり。

  ソースコードの場合と、オブジェクトコード、あるいは専用の形式を用いる場合とがある。

  索引方法が重要

 

 ※ ライブラリアン : この場合、情報システムの管理・運用などの技術的な業務に専従する要員

 

 ※ ワードプレス公式サイト : https://wordpress.org/

 

 ※ サードパーティ : この場合WORDPRESS.ORG 以外のベンダー

 

 ※ WordPressのライセンス : GNU General Public License 

 : (GNU GPLもしくは単にGPLとも)とは、GNUプロジェクトのためにリチャード・ストールマンにより作成されたフリーソフトウェアライセンス。

 

 ※ ワードプレス動作環境 : 以下の機能バージョンが使用できるサーバーが必要

  PHP バージョン 5.2.4 以上 MySQL バージョン 5.0 以上

 

 ※ MySQL : データベース管理システム

新着記事

サイトをリニューアルしました。といってもこのサイトではありません

◇2018年7月26日◇

当然ですが 今まで、他のテーマでアップしていたサイトの コンテンツを全面リニューアルです。今回のリニューアルに際して意識した点は、顧客視点。使いやすく、分かりやすいサイト。検索から訪れて来てくれた人たちのベネフィットがあること

あたりまえのアダムス

◇2018年4月22日◇

 もし、 あなたが、つねに改善を求めているのならば、 この本は、 あなたが今まで読んだ本の中でも最も興味深いものになるでしょう。          もし、 あなたが、 何らかの成果を求め続けているのならば、 私が今からお伝えす

自然言語検索があなたのWebサイト集客にもたらすもの

◇2018年4月8日◇

    「ググる」ということをあなたも行ったことがあると思います。   と、 言うか、 今ではほとんどの人が、 「ググる」ことなしに日々を過ごしているとは思えません。     それほど、日常生活に溶け込んでいます。    

MFI始まる。あなたのサイトは大丈夫ですか?

◇2018年3月30日◇

  いよいよ始まります。 Googleが長期にわたってテストと検証を行ってきた モバイルファーストインデックス もし、あなたがWebサイトをお持ちなら、 モバイルに対応する必要性をお感じなら、 この記事を読んでみてください。

あなたのサイトに自然言語検索がもたらす影響

◇2018年3月20日◇

あなたのビジネスはもっとWebを活用すべきです。Webなら大企業より小回りの利く地域ビジネスの方が断然有利です。自然言語検索の実現は、文脈を理解する技術をもたらします。あなたのお客様になってくれるかも知れない人たちに向けたコンテンツを作成し、検索エンジンに…

思いをつたえる

◇2017年12月2日◇

 あなたは、どの様にお伝えしていますか?あなたが、ご自分のサービスや商品を紹介するときサービスの特徴や商品の性能や機能の説明になっていませんか?「つたえる」伝わらない。人とひとをつなぐもの、それは、

つながり つながる

◇2017年7月17日◇

どんなことでも、つながりがあることは、とても大切で・大事なことです。今日は、趣向を変えて、この、「つながり」について考えてみようと思います。先日、と言っても・・・1か月以上も前のことです。

人気記事

前の記事で、集客にはスマホ・サイトの充実が必要だと書きました。    何故、スマホ・サイトが必要かとお思いでしょうか? それは、既存のHP(ホームページ:サイト※1)は、   パソコンの大きな画面で見ることを前提に作られている

この記事の関連記事

スマホ利用者が訪れたサイトの全てのコンテンツページが見やすく、使いやすく、かつ・分かりやすいものです。さらに近い将来を踏まえモバイルファーストインデックスに対応していること。・・・これはサイトのメンテナンスの上でもレスポンシブデザインで作られている

なぜ、こんな過激なタイトルかを、これから あなたにお伝えしたいと思い、このブログを書いています。  このことは、何度も言い方を変えてお伝えしようとしてきたことです。 (残念ながら伝えきれていません。)  既に感染(改ざん

リスクヘッジ サイトオーナーがこれを知ったら夜も眠れない。   2017年1月僅週間あまりで155万ものサイトが改ざんされた。(エイプリル フール では、ありませんよ) 出典:米Feedjit これはWordPressのバージョン4.

まず質問です。 あなたは何故Webサイトをお持ちなのでしょうか?     あなたのWebサイトは、お役に立っていますか? いまはまだ課題を認識されていないのかも知れませんが、・・・   あなたのWebサイトには2つの問題になりうる

Webサイトの認知 あなたのお客さんになってくれるかも知れない人たちは、あなたの商品・サービスに関心があって購入するのではなく、あなたの商品・サービスを利用することのよって得られるベネフィットを求め・購入に至ります。 最初はWebサイトに直接訪


最新記事

« 前123456...25次 »

アーカイブ

2015

お知らせ

 

お知らせ

こんにちは

会社情報

合同会社 アルファ・ITC

 https://a-itc.info

上記サイトは、新しいスマホ最適サイトです

 

 

このサイトは、

IT有資格者(ITコーディネータ)が、

 ご提案する 集客(顧客獲得)に特化したサイトの制作例です。

電話番号

080-4433-7227

所在地

〒230-0041
神奈川県横浜市鶴見区


© 2018 スマホ最適化ホームページで商売繁盛。あなたも! All rights reserved.