MENU

他人ごとと思っていませんか?WordPressの脆弱性③

2017年2月2日

 私が使っているWordPressは自動更新を設定している。

 

 そして、過去に問題のあったplugin(プラグイン ※)は、一切使っていない。

と言うのは、pluginの方は自動更新ができないから。

 

 もし、

脆弱性が発見された場合、

そのpluginに対応するpatch(パッチ:修正プログラム)が出るまで待たなければならず、

 

そして、自分でそのpatchを当てたり、pluginを更新しなければならないから。

 

面倒だし、そもそもWordPressを使うことが目的でないから。

 

 

 ブログ発祥のCMS(コンテンツ マネジメント システム※)であるWordPress(ワードプレス ※)は、

その手軽さ故、多くのホームページ(Webサイト)制作にも使用されている。

 

WordPressを使った、

綺麗なデザイン

(この場合は、それぞれのホームページに合わせたテーマで、色合いや・デザイン・文字の大きさ・文字の色のコントロールなどを、テンプレート(※)と言われるものをWordPressに組み込んでいるのでWordPress単体での使用ではないのだが)

のホームページが多い。

 

 綺麗なデザインでホームページを作る事でもないし、

綺麗だからWebマーケティングに有効だとは、限らない。

 

 ここで、確認です・考えてみてください。

あなたのホームページは作りっ放しなしでは・・・ないですか?

しっかりとした、ホームページ制作会社に保守(定期メンテナンス)を依頼していますか?

 

 

 私の感覚では、

しっかりとした、

保守(WordPress制作のホームページで、pluginの更新まで)を(依頼して)行っているところは、

ごくわずかだと感じています。

 

 と、いうのは、

先日も、とあるホームページで脆弱性を発見したからです。

ここは、WordPressそのものは使っていないのですが、

WordPressの為に開発されたpluginほか、多くのテンプレートを使って

複数の業種のホームページを作成しています。

 

 この複数のホームページは2015年に制作されたのが殆どで、にもかかわらず、

2015年以前の古いpluginを採用している。

 

2012/10/23時点で、バージョン2.1.3まで進んでいたのに

バージョン1.3.*を採用(新しいバージョンの勉強不足なのか?)

2010/11/11時点で、バージョン1.3.4でした。

 

と、言うことは、

ホームページ制作時点で、5年も前のバージョンを採用した!(なぜ?)

 

 ここにもホームページ制作会社のエゴ・身勝手(都合)が反映されています。

 

2015/12時点では、

✔ fancybox(古いもの):MITライセンス

  MITライセンス:ソフトウェアを誰でも無償で無制限に扱って良い。

  作者または著作権者は、ソフトウェアに関してなんら責任を負わない。

 

✔ fancybox2(新しい):個人利用はフリーですが、商用利用は有料です。

 

fancyboxにはバージョンがあり、バージョンによって使用する際のライセンスが異なります。

 

この様なことを、

 ホームページ制作会社は、依頼主に確認しているのでしょうか?

 不充分な説明で「新しい者を使うとお金がかかりますよ」と位しか

話していないのでは、ないでしょうか?

 

 ホームページ オーナーには、思いもよらない事ですし、

本来、ホームページ制作会社がちゃんとした・しっかりした

ホームページを作ってくれると期待していると思います。・・・

 

 ホームページ制作を依頼する、

サイトオーナーになる人は、このようなことを知る由もないし、無理なことでもあります。

 

サイト オーナーにとって酷な話ですが、信頼できるホームページ制作会社を選び・お願いするしかない事実も存在します。

 

 

さらに、

未だ、2015年制作時のままの状態(1.3.7と1.3.8)更新もされないままです。

 

あなたは、

きっと、こうお思いでしょう・・・

 

 2015年制作なら、まだ1年とちょっとしか経っていないではないか、

ホーム―ページに、そんなにお金はかけられないよ」、と

 

 

 ちょっと待ってください。

あなたのホームページの目的は何ですか?

あなたは、なぜホームページを作ったのでしょうか?

 

 

 ホームページはやり方(運用)さえ間違わなければ、

あなたに代わって

文句も言わず、24時間365日休みなく

1対多で、しかも同時にWebマーケティングしてくれる・・・のですよ!

 

 ホームページ制作会社にも・よるとは思いますが、

制作だけでなく

保守もお願いすべきなのです。

 

 ホームページは制作したら終わりではなく

運用しなければ(ここで言う運用は保守に限定しています)

作りっぱなしではダメですよ。

 

 

言い方は悪いですが、こんなところで・保守のお金をケチってはダメです。

 

もちろん、栄養(コンテンツ)をあげて、ホームページを育てて行くことも大事ですが

 

ここでは、土(HPの土台)そのものに、問題が発生しない様にすることも必要です。

 

と、言っています。

 

 

 先に、上げたPluginは、

 FancyBoxと言う名前で

複数のバージョンが、複数のホームページで使われています(現在も)

 

FancyBox 1.3.7 と        

1.3.7は...patch(fancybox-plus 1.3.7 Update2015/05/16 Last 2016/09/28)

FancyBox 1.3.8 です。 

1.3.8は...patch(fancybox-plus 1.3.8 )

 

「FancyBoxはダウンロード数が55万回を超す人気プラグイン。

任意のスクリプトやコンテンツをサイトに挿入できてしまう深刻な脆弱性が存在し、

2015/2/4の時点で既にこの脆弱性を突く攻撃が横行し、多数のWebサイトが被害に遭った。

 

 FancyBoxは2015/2/5までにリリースした

バージョン3.0.33.0.4をで、この脆弱性を修正したとしているが、

ここではFancyBox 1.3.7・1.3.8のまま使われている。

 

また、他の多くのpluginに多くのバージョンが存在し、

上位互換が無い(バージョンの大きい数字の方に、下位のバージョンの機能が含まれているとは限らない)のも事実(オープン ソフトの宿命)。

 

FancyBoxでも3.0.3と3.0.4でそれまでの脆弱性を修正した訳で、統一された仕様なら、バージョン3.0.4だけで済むはずであるが、別々に開発された為、3.0.3も必要とされ(これらの内どちらを採用すれば良いかなどは開発者のみぞ知ること)

 

また、

常にオープンの環境に置かれていることから、新しいセキュリティホールが見つかり(見つけられ)その対応で、いたちごっこになっています。

 

 

他にも、有名で数多くのホームページで使用されているものとしては、

XSSの脆弱性 : 悪用された場合、Webサイトをハッキングされたり、

  クロスサイトリクエストフォージェリ(CSRF)攻撃を仕掛けられたりする恐れがある。

  WordPress 4.0.1ではXSSなどが修正された。

  (脆弱性は3.9.2までのバージョンに存在する)

➡ 最新のWordPress バージョンは、4.7.2

 

Jetpack の脆弱性 : 悪用されれば管理者アカウントが乗っ取られたり、

  訪問者が不正なWebサイトに誘導されたりする恐れがある

 (JetpackはWordPressサイトの管理を支援するための多機能プラグインで、

  100万を超すWebサイトで使われている。)

➡ 最新のバージョンは4.5

 

が、あります。

 

WordPress関連でなくても、

あなたに・おなじみのものがあります。

 

Adobe社が提供する

無料のplugin Flash Player(動画再生)や

Acrobat(PDFリーダー)にも問題が見つかっています(2017/01/11現在)

 

 ※ Flash Playerの脆弱性:リモートからの攻撃 

https://www.jpcert.or.jp/at/2017/at170002.html

 

 ※ Acrobatの脆弱性:リモートからの攻撃 

   https://www.jpcert.or.jp/at/2017/at170001.html

 

※  Flash Playerは、Googleでは互換性の無いプラグインとして、

  モバイルフレンドリーテストでエラーの対象としています。

 

※  Flash Playerを利用した動画再生は、スマホではエラーとなり再生できません。 

   

そして、

作りっ放しが

どの様な、危険性を生むかも少しお話ししましょう

フィッシング サイトへの誘導

Phishing画像

 

 これは、他人ごとではないのです

あなたが望むことではなくても

 

 サイトオーナーが意識しないところで

犯罪の犠牲(犯罪の片棒を担がされるとも)になるのです。

 

 あなたのホームページに訪れた、あなたのお客様になってくれるかも知れない人たちが、

不注意によってフィッシングサイトに誘導され被害者になるのです。

 

詳細をお知りになりたい方は

 

 詳しくは

 

 IPA(独立行政法人 情報処理推進機構)のセキュリティセンターのWebサイト

 https://www.ipa.go.jp/security/

 

 JPCERT(コーディネーションセンター)の注意喚起・インシデント報告対応レポートのWebサイトをご覧ください

 

 JPCERT https://www.jpcert.or.jp/   

 注意喚起 https://www.jpcert.or.jp/at/2017.html      

 インシデント報告対応レポート https://www.jpcert.or.jp/ir/report.html          

 

他人事

あなたは、それを他人ごとにしてはいけません

あなたのホームページがWordPressで作られているのなら、確認してください。

 

あなたのホームページが作りっ放しなら、

あなたのホームページ制作会社に連絡して確認してください。

 

今すぐに、

お問い合わせ

それも、面倒なら

あなたのホームページのURL(http://で始まる)を添えて、お問い合わせ下さい。

私がサポートできる範囲で、無料診断いたします。

https://xn--yck7ccu3lc7455c30ebuyp7ir58chkekp3l.net/otoiawase/

 

インシデント報告対応レポート

インシデント報告対応レポート 

インシデント

インシデントのカテゴリ別割合

出典:JPCERT/CC インシデント報告対応レポート[2016年10月1日~2016年12月31日]抜粋

 

新着記事

サイトをリニューアルしました。といってもこのサイトではありません

◇2018年7月26日◇

当然ですが 今まで、他のテーマでアップしていたサイトの コンテンツを全面リニューアルです。今回のリニューアルに際して意識した点は、顧客視点。使いやすく、分かりやすいサイト。検索から訪れて来てくれた人たちのベネフィットがあること

あたりまえのアダムス

◇2018年4月22日◇

 もし、 あなたが、つねに改善を求めているのならば、 この本は、 あなたが今まで読んだ本の中でも最も興味深いものになるでしょう。          もし、 あなたが、 何らかの成果を求め続けているのならば、 私が今からお伝えす

自然言語検索があなたのWebサイト集客にもたらすもの

◇2018年4月8日◇

    「ググる」ということをあなたも行ったことがあると思います。   と、 言うか、 今ではほとんどの人が、 「ググる」ことなしに日々を過ごしているとは思えません。     それほど、日常生活に溶け込んでいます。    

MFI始まる。あなたのサイトは大丈夫ですか?

◇2018年3月30日◇

  いよいよ始まります。 Googleが長期にわたってテストと検証を行ってきた モバイルファーストインデックス もし、あなたがWebサイトをお持ちなら、 モバイルに対応する必要性をお感じなら、 この記事を読んでみてください。

あなたのサイトに自然言語検索がもたらす影響

◇2018年3月20日◇

あなたのビジネスはもっとWebを活用すべきです。Webなら大企業より小回りの利く地域ビジネスの方が断然有利です。自然言語検索の実現は、文脈を理解する技術をもたらします。あなたのお客様になってくれるかも知れない人たちに向けたコンテンツを作成し、検索エンジンに…

思いをつたえる

◇2017年12月2日◇

 あなたは、どの様にお伝えしていますか?あなたが、ご自分のサービスや商品を紹介するときサービスの特徴や商品の性能や機能の説明になっていませんか?「つたえる」伝わらない。人とひとをつなぐもの、それは、

つながり つながる

◇2017年7月17日◇

どんなことでも、つながりがあることは、とても大切で・大事なことです。今日は、趣向を変えて、この、「つながり」について考えてみようと思います。先日、と言っても・・・1か月以上も前のことです。

人気記事

前の記事で、集客にはスマホ・サイトの充実が必要だと書きました。    何故、スマホ・サイトが必要かとお思いでしょうか? それは、既存のHP(ホームページ:サイト※1)は、   パソコンの大きな画面で見ることを前提に作られている

この記事の関連記事

当然ですが 今まで、他のテーマでアップしていたサイトの コンテンツを全面リニューアルです。今回のリニューアルに際して意識した点は、顧客視点。使いやすく、分かりやすいサイト。検索から訪れて来てくれた人たちのベネフィットがあること

1つ目は、 google検索の仕組みが変わる (モバイル ファースト インデックス ※01)に対応が必要。    ✔ このままでは、検索結果で上位表示されていたものが圏外になる可能性が大きい事です。2017/03/26記   ➡ あなた

Webサイトの認知 あなたのお客さんになってくれるかも知れない人たちは、あなたの商品・サービスに関心があって購入するのではなく、あなたの商品・サービスを利用することのよって得られるベネフィットを求め・購入に至ります。 最初はWebサイトに直接訪

あなたは未だ気づいていません     あなたは、まだ気づいてはいません。   これは、一部の専門家や ・インターネット・マニアの間だけで 注目されていること   だからです。     なにが、大事

ご自分のWebサイトが何で作られているのか、 ご存知ないのであれば、 一度ご自分のWebサイトを制作した会社に連絡して、 脆弱性などの問題は、ないのかどうか・どうか確認してみてください。   脆弱性放置は、なにもWordPressサイトだ


最新記事

« 前123456...25次 »

アーカイブ

2015

お知らせ

 

お知らせ

こんにちは

会社情報

合同会社 アルファ・ITC

 https://a-itc.info

上記サイトは、新しいスマホ最適サイトです

 

 

このサイトは、

IT有資格者(ITコーディネータ)が、

 ご提案する 集客(顧客獲得)に特化したサイトの制作例です。

電話番号

080-4433-7227

所在地

〒230-0041
神奈川県横浜市鶴見区


© 2018 スマホ最適化ホームページで商売繁盛。あなたも! All rights reserved.