常に最新バージョンに、4.7.2にも脆弱性WordPressは
2017年4月1日
リスクヘッジ
サイトオーナーがこれを知ったら夜も眠れない。
2017年1月僅週間あまりで155万ものサイトが改ざんされた。(エイプリル フール では、ありませんよ)
出典:米Feedjit
これはWordPressのバージョン4.7と4.7.1のAPI脆弱性を攻撃された事故で、記憶に新しいところです。
2月にバージョン4.7.2が出て一旦落ち着いたかに見えたのですが、
そのバージョン4.7.2に、
それ以前のバージョンにも新たに6つもの脆弱性(XSS関連とCSRF関連で)が見つかり、
対応新版2017/03/07のバージョン4.7.3が公開されました。
(バージョン4.7.2およびその他過去のバージョンに、6件のセキュリティ上の問題
:主に
XSS:クロス サイト スクリプティングと ※01.
CSRF:クロス サイト リクエスト フォージェリ)。 ※02.
WordPressのサイトオーナーは、今すぐ最新バージョンへの更新(4/1時点では4.7.3)をお勧めします。
また、新たな脆弱性が見つかる可能性が大ですので、
常に最新版への更新を怠ってはいけません。
と、言うのは日本のWebサイトのWordPress使用率が高いにもかかわらず
WordPressの保守契約を行っていないWebサイトが非常に多い現実であるからです。
2017/02/18時点で
81.5% 出典:W3Techs
世界平均では、27.7%そして
201704/01時点では、82.2%と増加しています。
155万サイトの改ざんは米の報告ですが、
日本でも現実に改ざんされたサイトが、
筆者の発見でも数例あります。(Top画像もそうですが)
下は、2016/12/8に発見した
フィッシングサイトに誘導される様に改ざんされた例です。
(危機意識の少ない利用者はフィッシングサイトに誘導されます。)
サイトオーナーは、知らない内に犯罪の片棒を担がされています。
2017/04/01時点で
筆者が調べた限りで、最新バージョンに更新している例は、わずかなサイトだけです。
HTMLの記述でわかる
サイトのソース(バージョンを隠すこともできるのですが)では次の様にバージョンを見ることができます。
head情報に、
‘
Footer情報にも
‘
の様な記述がソースにあれば、WordPressのバージョンが分かります。
しっかり保守契約しているサイトは少ない
2のサイトはしっかり保守計画をされている様で、
バージョン4.7.2が発表されて暫くしてから4.7.2に更新されていましたし、
今回も4.7.3になっています。
‘
この様な例は、残念ながら珍しい例です。
古いバージョンのWordPressが現役
と、いうのは未だに、複数の脆弱性を抱えたままの、もっと古いバージョンのサイトが多いのです。
筆者の知る限り
WordPress 3.1
WordPress 3.1.4
WordPress 4.0
WordPress 4.4.1
それも1~2サイトと言う訳でなく、多くのサイトが古いバージョンで制作され
バージョンアップされないまま、
古いバージョンのまま、脆弱性をかかえたまま運用されています。
https://xn--yck7ccu3lc7455c30ebuyp7ir58chkekp3l.net/blog/wordpress-20170219/
もちろんバージョン表示を隠したものも数多いので
どの様なバージョンが稼働中なのかは正確には分かりません。
が、
(バージョンを隠す記述(※03)をしても付け焼き刃的な対応で、攻撃されたらひとたまりもありません。
プラグインにも脆弱性&バージョンが想像できる
また、
FancyBox 1.3.7とかFancyBox 1.5.8.2など多くのプラグインのバージョンからも
WorsPress本体のバージョンも分かってしまいます。
補足
※03.WordPressのhead情報のバージョン情報を非表示にする
使用しているいのテーマの functions.php というファイルに、以下を追加すると表示されなくなります。
‘remove_action('wp_head', 'wp_generator');
※03-2.「バージョン情報まで表示されるのはセキュリティ面でいうとマイナスなので、そのような要因は極力減らしておきましょう。」の様な
WordPressの使い方に、セキュリティ対策として解説をもうけているサイトも見かけますが、・・・
これは、あくまでも付け焼き刃的な対応に過ぎないのです。
それよりも、
WordPressで制作されたWebサイトは、常に最新版のバージョンに更新することが大事です。
ソフトウェア(特にWordPressアプリ関連)は保守契約が原則です。
※01. XSS:クロス サイト スクリプティング
出典:ウィペディア:
Webアプリケーションの脆弱性(※04)もしくはそれを利用した攻撃。
※02. CSRF:クロス サイト リクエスト フォージェリ
出典:ウィペディア:
Webアプリケーションの脆弱性の一つもしくはそれを利用した攻撃。
略称はCSRF(シーサーフ) と読まれる事もある。リクエスト強要(※)。
※04. 脆弱性:セキュリティ ホール:脆弱性対策➡IPA:情報処理推進機構
お知らせ 当サイトは年内を持ちまして以下のURLのサイトに統合いたします。 https://a-itc.info/ テーマ 統合先のテーマは、今まで通りです。 モバイルフレンドリー モバイルファー
当然ですが 今まで、他のテーマでアップしていたサイトの コンテンツを全面リニューアルです。今回のリニューアルに際して意識した点は、顧客視点。使いやすく、分かりやすいサイト。検索から訪れて来てくれた人たちのベネフィットがあること
もし、 あなたが、つねに改善を求めているのならば、 この本は、 あなたが今まで読んだ本の中でも最も興味深いものになるでしょう。 もし、 あなたが、 何らかの成果を求め続けているのならば、 私が今からお伝えす
「ググる」ということをあなたも行ったことがあると思います。 と、 言うか、 今ではほとんどの人が、 「ググる」ことなしに日々を過ごしているとは思えません。 それほど、日常生活に溶け込んでいます。
いよいよ始まります。 Googleが長期にわたってテストと検証を行ってきた モバイルファーストインデックス もし、あなたがWebサイトをお持ちなら、 モバイルに対応する必要性をお感じなら、 この記事を読んでみてください。
あなたのビジネスはもっとWebを活用すべきです。Webなら大企業より小回りの利く地域ビジネスの方が断然有利です。自然言語検索の実現は、文脈を理解する技術をもたらします。あなたのお客様になってくれるかも知れない人たちに向けたコンテンツを作成し、検索エンジンに…
人気記事
前の記事で、集客にはスマホ・サイトの充実が必要だと書きました。 何故、スマホ・サイトが必要かとお思いでしょうか? それは、既存のHP(ホームページ:サイト※1)は、 パソコンの大きな画面で見ることを前提に作られている
この記事の関連記事
お知らせ 当サイトは年内を持ちまして以下のURLのサイトに統合いたします。 https://a-itc.info/ テーマ 統合先のテーマは、今まで通りです。 モバイルフレンドリー モバイルファー
まず質問です。 あなたは何故Webサイトをお持ちなのでしょうか? あなたのWebサイトは、お役に立っていますか? いまはまだ課題を認識されていないのかも知れませんが、・・・ あなたのWebサイトには2つの問題になりうる
「ググる」ということをあなたも行ったことがあると思います。 と、 言うか、 今ではほとんどの人が、 「ググる」ことなしに日々を過ごしているとは思えません。 それほど、日常生活に溶け込んでいます。
スマホ対応だけでは不充分、スマホ最適化が求められています。 スマホ最適サイトの強みは、他のスマホ対応サイトには揃っていない機能が全部そろっていること。 綺麗なデザインより、Webマーケティング機能が大事です。 これらの機能は、綺麗なデザイン・
なぜ、こんな過激なタイトルかを、これから あなたにお伝えしたいと思い、このブログを書いています。 このことは、何度も言い方を変えてお伝えしようとしてきたことです。 (残念ながら伝えきれていません。) 既に感染(改ざん
