MENU

私に5分時間をください。放置状態のホームページ

2017年2月23日

 

あなたが、Webサイトのスマホ対応をお考えなら、5分ください。

 

なぜこの様なお手紙をあなたに差し上げたか?

 

あなは、あなたのホームージのスマホ対応をお考えでしょうか?

 

あなたがスマホ対応を検討中なら、この手紙の内容を、必ず確認してください。


既にホームページのスマホ化を進めている場合も、是非読んで戴き確認して戴きたいことがあります。

WordPressはお勧めしません。

 

あなたは、これからWordPressの殆どのバージョンの脆弱性を知ることができます

 

「2017/2/6 155万件のWordPressサイトが改ざんされた。」ニュースが飛び込んできました。

・・・以前からWordPressには様々な脆弱性があり、都度・脆弱性を突かれた被害は出ていたのですが、

被害155万件という規模は前代未聞です。

 

今回の脆弱性はWordPressのバージョン4.74.7.1REST-APIの脆弱性を突いたもので、直ちにバージョン4.7.2に更新するようにIPA(※)やJPCERTコーディネーションセンター(※)から注意勧告が出ています。

 

WordPressはシェアNo1のブログ発祥のCMS(コンテンツ マネジメント システム)です。

現在様々なバージョンが使われています。

世界シェアでは27.5%、日本でのシェアは81.5%がWordPressを使ったもの。

日本での81.5%は、異常で偏りすぎ危険とも言えるほどです。

https://w3techs.com/technologies/overview/content_management/all

https://w3techs.com/technologies/segmentation/cl-ja-/content_management

 

WordPressは脆弱性がいっぱい稼働中のバージョンは4.7.*だけじゃないことを多くのサイトオーナーはご存知ない。

 

あなたはこの記事を読むことによって、現存するほとんどのWordPressのバージョンの脆弱性と、

その対応バージョンを知ることが出来ます。

 

155万ものサイトが改ざんされたバージョン4.7と4.7.1の他にも。

 

私もWordPressを使ったWebサイトを1つ持っていますが、

常に自動更新をし、管理のできないAPI(※)やPlugin(※)などは使わない様にしています。

 

ご自分で、これらをメンテナンス・管理できない人は、WordPressはお勧めしません。

もちろん、ホームページ制作会社に依頼する場合でもWordPressはお勧めしません。

理由は、WordPressのバージョンアップは有償である場合が多く、理解されていない(これからも)からです。

 

なぜ、WordPressがこれほど好まれているのか、

手軽に綺麗なWebサイトを作ることが出来ること。

 

なぜ脆弱性の指摘が後を絶たないのかは、攻撃側のメリット・影響範囲が大きいからです。

 

WordPressがオープンソースであるがゆえの宿命

同時並行的に複数のプロジェクトで複数のバージョンが開発されているが為の宿命とも言えるものだからです。

 

 

脆弱性が発見された場合に、どのバージョンにどの様な対応かが直ぐにはわからないし、対応バージョンも複数開発しそれぞれのバージョンに及ばせる必要があるのです。(2016年6月の脆弱性対応は、

①   2.6~2.9.2までと、3.0~3.6.1までには、全く異なる№の4.5.3

②   3.7~3.7.14の脆弱性対応には、シリーズ№の3.7.15

③   3.8~3.8.14の脆弱性対応には、シリーズ№の3.8.15

④   3.9~3.9.12の脆弱性対応には、シリーズ№の3.9.13

⑤   4.0~4.0.11の脆弱性対応には、シリーズ№の4.0.12

⑥   4.1~4.1.11の脆弱性対応には、シリーズ№の4.1.12

⑦   4.2~4.2.8の脆弱性対応には、シリーズ№の4.2.9

⑧   4.3~4.3.4の脆弱性対応には、シリーズ№の4.3.5の実に8通りの識別・分類が必要であった)

 

この他にも稼働バージョンがあり、その種類は別紙に記載している様に複雑で、これもWordPressを私がお勧めしない理由となっています。

 

あなたは、この様な対応が必要なことをご存知でしょうか?

あなたのWebサイトは、きちんとメンテナンスされているでしょうか?

あなたは、ホームページ運用にちゃんと費用を支払っていますか?

 

上記①の範囲でも、

バージョン2.6  は、 2008年10月

バージョン2.9.2は、2010年10月

バージョン3.0  は、 2010年6月

バージョン3.6.1、は2013年9月と、8年~3年以上前の開発であり、

2.9.2と3.0の様にバージョン№が大きい値の方が新しいとは限らない。

複雑な環境(数バージョンの同時・並行開発)で、この様な状態は今後も続くことになるから(別紙:後で記載

 

開発側でさえ、この様な環境にあることで、ひとたび脆弱性が発見されると、全体把握も対応も容易ではないのです。

 

この他にWordPressの機能を補完するテーマ・テンプレートAPIPluginなども、多種多様で、これらにも脆弱性が発見されたものもあります。

(テーマ・テンプレート、APIやPluginなどにも有償・無償バージョンが数多くあります)

 

これらの内、無償で提供されるものは開発側では一切責任を問われることが無い

(これが、無償で配布されるオープン ソースでもあるから)なのです。

 

WordPressを利用してWebサイトを制作するホームページ制作会社が無償で・追随できるはずがありません

やりっぱなしの土壌が生まれる。きちんとした保守体制を組んでいるところは極端に少ない

 

いまだ、過去の対応バージョンがあてられず、開発当初のまま、脆弱性をかかえたままで運用しているWebサイトが非常に多いのです。

(筆者が確認した範囲でも過去バージョンの3.13.1.44.04.4.1があります)

 

これは、ホームページ制作会社の保守体制が、バージョンアップ作業などを有償としているところが多く(WordPressの自動更新をしているところでも、Pluginなどは手動のメンテナンスが必要など)、

 Webサイト オーナーさんに理解を得られない(保守契約をしていない:充分な説明が出来ているとも限らない)からです。

 

だから、

WordPressの自動更新や、その他Pluginなどの手動更新のメンテナンス契約を行わないWebサイト制作

ホームページを作ったらお終い的な)運用を行う場合、WordPressをお勧めしないのです。

 

ホームページ制作会社から充分な説明と、

Webサイト オーナーさん側で、これらに対する保守の必要性、維持するための仕組みの理解と確認が行われないままなので、Webサイトが作った切りで・何のメンテナンスも行われないことが非常に多いのです。

 

本来、WebサイトはWebマーケティングの道具であり、マーケティングの手段でしかなく、Webサイトを構築する手法・技術などは、Webサイトを所有するサイト オーナーさんにとってはどうでも良い事のはず、・・・

 

 ですが、あまりにもWordPressを使ったWebサイト構築が多く・Webサイト オーナーさんにご理解を得られないままの状態が多すぎる為、この様な事を言わざるを得ない状況です。

 

WordPressを使ったWebサイト構築はお勧めしません。



何の対策も取られていないわけではありません。

筆者の知る限り(調べた範囲で)1件だけ


ある歯科医院は、ワードプレス バージョン4.7.2(2017/01/26 最新バージョン)になっていました。

これは、先日のブログに書いたREST-APIの脆弱性に対する対策がしっかりとられているWebサイトです。  



 

ワードプレスの自動更新および、使用プラグインなどの手動更新メンテナンスを行っていないのであれば、これから述べる様な既に顕在化した脆弱性に対して何の対策も取られていない事になります。

 

 

 

※.ざっとネット上を見て回っても旧バージョンのまま放置しているWebサイトは非常に多い状況です。

 

 

※。改ざんされたWebサイトもあります。

改ざんされたサイト

 

※.サイト制作会社の案内を見ても、WordPressのバージョンアップは有料のところが多く、クライアントの自主性に任せている様ですが、充分な説明と、サイト オーナー側の理解・メンテナンスの必要性の認識などが、十分に確認が取れたとは思えない結果的に放置となることが多い。これも放置の原因のひとつでしょう。

 

 

 

※.問題はサイト制作会社にまかせている為、運営者が全くバージョンについて理解していないなどのケースもあります。 まかせる=放任=放置です。

 

 



 

 次に具体的なWordPressのバージョンの現状と、それぞれのバージョンにおける脆弱性・対応する脆弱性回避バージョン(1つのバージョンにつき、何度も異なる脆弱性が発見され、都度対応バージョンがあてられるという複雑なものになっていますが、ご了承願います。これが現実ですので。)

 

 また、脆弱性(セキュリティ ホール)の種類とイメージ図も、後半にお伝えします。

 

WordPress バージョン&主要脆弱性対応

2017年に公開されたバージョンを含むもの4.7.2~4.5

 2017年1月にバージョン4.7.2で脆弱性の対応が行われた、バージョン4.7~4.7.1

 2016年9月にバージョン4.6.1で脆弱性の対応が行われた、バージョン4.6

 2016年6月にバージョン4.5.3で脆弱性の対応が行われた、バージョン4.5~4.5.2

wordpress-4.5.0-4.7.2.jpg

 

2017年に公開されたバージョンを含むもの4.4.7~4.4

 2016年6月にバージョン4.4.4で脆弱性の対応が行われた、バージョン4.4~4.4.3

wordpress-4.4.0-4.4.7.jpg

 

2017年に公開されたバージョンを含むもの4.3.8~4.3

 2016年6月にバージョン4.3.5で脆弱性の対応が行われた、バージョン4.3~4.3.4

wordpress-4.3.0-4.3.8.jpg

2017年に公開されたバージョンを含むもの4.2.12~4.2

 2016年6月にバージョン4.2.9で脆弱性の対応が行われた、バージョン4.2~4.2.8

wordpress-4.2.0-4.2.12.jpg

2017年に公開されたバージョンを含むもの4.1.15~4.1

 2016年6月にバージョン4.1.12で脆弱性の対応が行われた、バージョン4.1~4.1.11

wordpress-4.1.0-4.1.15.jpg

 

2017年に公開されたバージョンを含むもの4.0.15~4.0

 2016年6月にバージョン4.0.12で脆弱性の対応が行われた、バージョン4.0~4.0.11

 ※ バージョン4.0などは、3度も異なる脆弱性が指摘されている。

wordpress-4.0.0-4.0.15.jpg

 

2017年に公開されたバージョンを含むもの3.9.16~3.9

 2016年6月にバージョン3.9.13で脆弱性の対応が行われた、バージョン3.9~3.9.12

wordpress-3.9.0-3.9.16.jpg

 

 

2017年に公開されたバージョンを含むもの3.8.18~3.8

 2016年6月にバージョン3.8.15で脆弱性の対応が行われた、バージョン3.8~3.8.14

wordpress-3.8.0-3.8.18.jpg

 

2017年に公開されたバージョンを含むもの3.7.18~3.7

 2016年6月にバージョン3.7.15で脆弱性の対応が行われた、バージョン3.7~3.7.14

※ バージョン3.0などは、3度も脆弱性が複数のセキュリティホールで指摘されている。

wordpress-3.7.0-3.7.18.jpg

2017年2月現在で、実際に認められた(3.1の使用を確認しました)3.6~3.0

 2016年6月に全く別のバージョン№4.5.3で脆弱性の対応が行われた、バージョン3.0~3.6.1

wordpress-3.0.0-3.6.0.jpg

 

 2016年6月に全く別のバージョン№4.5.3で脆弱性の対応が行われた、バージョン2.6~2.9.2

2008/07~2010/02バージョンが使われている…オープンソースの複数並行した開発環境から来る複雑な対応

2.9.2~2.6

REST-API 

WordPress 4.7.0 及び WordPress 4.7.1 で使用している

API(アプリケーション プログラム インターフェイス)の脆弱性(改ざんの)を突いたもの

WordPress 4.7.2の最新のバージョン(2017/2/6時点)に更新してください。

 

XSS攻撃:攻撃者の作成したスクリプトを脆弱性のある標的サイトのドメインの権限において閲覧者のブ ラウザで実行させる攻撃( Webアプリケーションの脆弱性もしくはそれを利用した攻撃。クロス サイト スクリプティング)

XSS攻撃

 

出典:独立行政法人 情報処理推進機構(IPA)

 

 

CSRF攻撃クロス サイト リクエスト フォージェリ、XSSと似ているが別物。

  攻撃者はブラウザなどのユーザ・クライアントを騙し、意図しないリクエストをWebサーバに送信させる。 Webアプリケーションがユーザ・クライアントからのリクエストを十分検証しないで受け取るよう設計されている場合、このリクエストを正規のものとして扱ってしまい、被害が発生する。

CSRF攻撃

 

パス トラバーサル 

パス トラバーサル

出典:独立行政法人 情報処理推進機構(IPA)

 

 

Open Redirect 

Open Redirect

出典:独立行政法人 情報処理推進機構(IPA)

 

 

 

SQLインジェクション 

SQLインジェクション

出典:独立行政法人 情報処理推進機構(IPA)

 

サイド チャネル攻撃 

暗号装置の動作状況を様々な物理的手段で観察することにより、装置内部のセンシティブな情報を取得しようとする攻撃(暗号解読)方法

 

サービス運用妨害:DoS攻撃

 

サーバーに高負荷をかけ、サービスの停止や、サービスをクラッシュさせる。

サービス運用妨害:DoS攻撃

出典:独立行政法人 情報処理推進機構(IPA)

 

 

技術的な専門用語

 

※   CMS:  コンテンツ マネジメント システム : Webコンテンツを構成するテキストや画像、レイアウト情報などを一元的に保存・管理し、サイトを構築したり編集したりするソフトウェア

 

※   オープン ソース:自由な再頒布形態。(「ソースコード公開」も含む、自由な利用が可能)

 

※    ソース コード:プログラミング言語の言語仕様に従って書かれたコンピュータに対する一連の指示(原始プログラム)

 

※   HTML:エイチティーエムエル(ハイパー テキスト マークアップ ランゲージ)、ウェブ上の文書を記述するためのマークアップ言語で、文章の中に記述することでさまざまな機能を記述設定することができる。データベースへの直接的なアクセスが出来ない為、HTMLをベースにPHPなどの言語が開発された。

 

※   CSS:カスケード スタイル シート:HTMLに定義していたWebページのレイアウトを外だしにし、定義する規格。フォントや文字の大きさ、文字飾り、行間などの見栄えの定義などを行う。

 

※   API: アプリケーション プログラミング インターフェース:あるコンピュータプログラムの機能や管理するデータなどを、外部の他のプログラムから呼び出して利用するための手順やデータ形式などを定めた規約

 

※   Plugin:ソフトウェアに機能を追加する小さなプログラムのことを指す(多くのソフトウェアには外部のプログラムを追加することで機能を拡張できるような機構を備えており、追加するソフトウェアのことをプラグインという。)

 お問い合わせ

あなたのWebサイトが作った切りであるならば、URLを添えて、ここからクリックしてお問い合わせ下さい。

 

 

新着記事

サイトをリニューアルしました。といってもこのサイトではありません

◇2018年7月26日◇

当然ですが 今まで、他のテーマでアップしていたサイトの コンテンツを全面リニューアルです。今回のリニューアルに際して意識した点は、顧客視点。使いやすく、分かりやすいサイト。検索から訪れて来てくれた人たちのベネフィットがあること

あたりまえのアダムス

◇2018年4月22日◇

 もし、 あなたが、つねに改善を求めているのならば、 この本は、 あなたが今まで読んだ本の中でも最も興味深いものになるでしょう。          もし、 あなたが、 何らかの成果を求め続けているのならば、 私が今からお伝えす

自然言語検索があなたのWebサイト集客にもたらすもの

◇2018年4月8日◇

    「ググる」ということをあなたも行ったことがあると思います。   と、 言うか、 今ではほとんどの人が、 「ググる」ことなしに日々を過ごしているとは思えません。     それほど、日常生活に溶け込んでいます。    

MFI始まる。あなたのサイトは大丈夫ですか?

◇2018年3月30日◇

  いよいよ始まります。 Googleが長期にわたってテストと検証を行ってきた モバイルファーストインデックス もし、あなたがWebサイトをお持ちなら、 モバイルに対応する必要性をお感じなら、 この記事を読んでみてください。

あなたのサイトに自然言語検索がもたらす影響

◇2018年3月20日◇

あなたのビジネスはもっとWebを活用すべきです。Webなら大企業より小回りの利く地域ビジネスの方が断然有利です。自然言語検索の実現は、文脈を理解する技術をもたらします。あなたのお客様になってくれるかも知れない人たちに向けたコンテンツを作成し、検索エンジンに…

思いをつたえる

◇2017年12月2日◇

 あなたは、どの様にお伝えしていますか?あなたが、ご自分のサービスや商品を紹介するときサービスの特徴や商品の性能や機能の説明になっていませんか?「つたえる」伝わらない。人とひとをつなぐもの、それは、

つながり つながる

◇2017年7月17日◇

どんなことでも、つながりがあることは、とても大切で・大事なことです。今日は、趣向を変えて、この、「つながり」について考えてみようと思います。先日、と言っても・・・1か月以上も前のことです。

人気記事

前の記事で、集客にはスマホ・サイトの充実が必要だと書きました。    何故、スマホ・サイトが必要かとお思いでしょうか? それは、既存のHP(ホームページ:サイト※1)は、   パソコンの大きな画面で見ることを前提に作られている

この記事の関連記事

 もし、 あなたが、つねに改善を求めているのならば、 この本は、 あなたが今まで読んだ本の中でも最も興味深いものになるでしょう。          もし、 あなたが、 何らかの成果を求め続けているのならば、 私が今からお伝えす

Webサイトの認知 あなたのお客さんになってくれるかも知れない人たちは、あなたの商品・サービスに関心があって購入するのではなく、あなたの商品・サービスを利用することのよって得られるベネフィットを求め・購入に至ります。 最初はWebサイトに直接訪

    「ググる」ということをあなたも行ったことがあると思います。   と、 言うか、 今ではほとんどの人が、 「ググる」ことなしに日々を過ごしているとは思えません。     それほど、日常生活に溶け込んでいます。    

あなたは未だ気づいていません     あなたは、まだ気づいてはいません。   これは、一部の専門家や ・インターネット・マニアの間だけで 注目されていること   だからです。     なにが、大事

当然ですが 今まで、他のテーマでアップしていたサイトの コンテンツを全面リニューアルです。今回のリニューアルに際して意識した点は、顧客視点。使いやすく、分かりやすいサイト。検索から訪れて来てくれた人たちのベネフィットがあること


最新記事

« 前123456...25次 »

アーカイブ

2015

お知らせ

 

お知らせ

こんにちは

会社情報

合同会社 アルファ・ITC

 https://a-itc.info

上記サイトは、新しいスマホ最適サイトです

 

 

このサイトは、

IT有資格者(ITコーディネータ)が、

 ご提案する 集客(顧客獲得)に特化したサイトの制作例です。

電話番号

080-4433-7227

所在地

〒230-0041
神奈川県横浜市鶴見区


© 2018 スマホ最適化ホームページで商売繁盛。あなたも! All rights reserved.