MENU

サイトオーナーは他人ごとと思う以前に知らないWordPress脆弱性

2017年1月13日

脆弱性

ご覧の通り

この写真は金メダルです。

 

なぜ、この様な写真が

WordPressの脆弱性に関係するのかと・・・

 

思った、あなたにお伝えしたいことがあります。

 

正しく動作するなら、ホームページの構成がどの様につくられているか、

 

どの様な技術でつくられているかなど、

 

利用側にとっては、言うなればどうでも良い事なのであるべきことなのですが、

 

WordPressというCMS

最近は、ブログだけでなく綺麗なホームページの制作にWordPressが使われることが多くなってきました。

 

WordPressはブログ発祥のCMS()として始まったのですが、

オープン ソース()であることから

 

少しの専門知識さえあれば、誰でもWordPress用のプラグイン()を開発して販売も可能なことから、リスクヘッジやセキュリティ インシデントを考慮しないで開発されたものは、開発者やホームページ オーナーが意図しない犯罪の踏み台(フィッシング サイト への誘導など)にされる危険性を含むことになる・危険性が非常に高いと以前のブログで書いています。

 

 筆者(私)は、ITの世界で30数年の内、20年ほどの期間は自分でプログラミングも行っていました。

今回はその経験から分析しブログを書いててみました。

 

 いささか技術寄りで、細かかったり、話の脈略がわかりにくかったりしますが、

お付き合いいただければと思います。

 

 プログラミングといっても、今の様なオープンな開発(オープン ソース)ではなく、

企業の業務システムの開発でのITシステムの為の、クローズな開発であり、インターネットの世界にオープンな形で、ソース コードが公開されることもないのです。

 

コンパイルという過程でデジタル化(0と1の2進化)します(コンピュータに分かる形に翻訳して)され、

例えそのコンピュータがインターネッとに繋がっていたとしても、

外部から人間書き換えができないのです。

例え、外部から見ることが可能だとしても、内容を読むことさえできませんから。

 

 

バーコードの例

 デジタル化が判りにくいと思いますので、ここはざっくり説明ですが、おなじみのバーコードに登場してもらいましょう。

barcode

 みなさんは、このバーコードが読めますか?・・・

(通常バーの下に、4984343503571の様な13桁が書いてあるから読める・・・と言うのは無しですよ・・・)

 

 様々な商品に貼ってあるバーコードの内で、もっともポピュラーなJAN13桁のコード

 

これにも意味があって、ワールドワイドで最初の49は日本を表しています。

 

 そしてこの49をデジタル化(2進化:1ビットのon/off)すると、例えばあるコードを使うと、1111010011111001です。

 

1(黒いところ)は電気がOnで、

0(白いところ)が電気がOffです。

 

4が8ビットの11110100で表されています。

バーコードリーダーはこの11110100を読んでいます。

 

1ビットを表すための印刷面積はごく限られたものですが、

バーコードが、横幅に対して、縦に長く印刷されているのは、バーコードリーダーのビームを当てやすい様にするためです。

 

2進表示

4 は 11110100 です。

9 は 11111001 です。

8 は 11111000 です。

4 は 11110100 です。

3 は 11110011 です。

4 は 11110100 です。

3 は 11110011 です。

5 は 11110101 です。

0 は 11110000 です。

3 は 11110011 です。

5 は 11110011 です。

7 は 11110111 です。

1 は 11110001 です。

 

そして、

あの狭い空間のバーの印刷4984343503571は、1111010011111001111110001111010011110011111101001111001111110101111000011110011111100111111011111110001です。

 

なんだって!13文字をあらわすのに8ビット×13文字=104個も0と1の組み合わせが必要なら、遅くなるのでは・・・と、思ったあなた、

 

大丈夫なんです。

人間は、一度に13文字だけ読むのも大変なのに、104個もの0と1を読み込んで判別するなんて・・・

 

大丈夫です。コンピュータは電気のスピードで読み込みますから。

 

電気のスピードってご存知ですか?

電気抵抗が0になれば、電気のスピードは、光の速さ(1秒間に地球を7回半回ることができる速さ。秒速30万Km)と同じになるのです。

 

電気抵抗が低い順に、金、銀、銅、アルミ・・・

その為、昔の送電線は銅線が主流、今はアルミが多い(補強のために中に鉄線)・・・銅は重いしそれなりに高価。金銀は超高価(希少)で重いから最初から除外。

 

都市鉱山で東京オリンピックの金メダル

あなたは、都市鉱山という言葉を聞いたことがあると思います。

東京オリンピックの金メダルは、都市鉱山から作ろう・・・

 

古い、パソコンや携帯電話から、金を回収する。

phone

電気抵抗を抑えて、速度アップが必要な電子機器の部品には金が使われているのです(そしてその金の含有率は自然の金鉱石より高いのです)

 CPUの構成部品の半導体と他の部品をつなぐ配線のミクロな世界に電線(導体)として金線が印刷技術で配線されているのです。

 

CPU

だから、電流の通電/遮断のON/offのサイクル(Hz)を大きくすればするほど処理速度が速くなるのです。

 

cpu

CPUのHz表示が大きい程高性能で、微細な電流のon/offで動作させるようにするため、電線はさらに細く印刷されているのです。

 

 WordPressのソースコードは触れる!

 いささか強引ですが、

ここで、WordPressに話を戻しましょう。

WordPressに便利な機能を追加するためには、プラグインという部品の様な形で機能提供や拡張がされるようになっています。

 

Jetpackプラグイン

一例をあげると、JetpackはWordPressサイトの管理を支援するための多機能プラグインで、ワールドワイドで100万を超すWebサイトで使われていると言われます。

 

Jetpack の脆弱性では、悪用されれば管理者アカウントが乗っ取られたり、訪問者が不正なWebサイト(フィッシング サイト)に誘導されたりする恐れがあるのです。

 

Jetpack の脆弱性は、WordPressのバージョン4.0.3で解消されたが、

Jetpack機能を追加したJetpack の亜流の全てには、対応している訳ではない。

多くの開発者が、ソースコードを見ることができ、

新機能を追加してJetpackの亜流が生まれる。オープンな環境の為この様なことが可能で、

 

オープンな環境であることのメリットで良さでもあるのですが、

全ての亜流バージョンに目を光らせることが出来ないのが現状で、

開発者が提供する情報をもとに最新版へアップデートすることが必要であるのですがが、

新たなセキュリティホールが見つかっても

開発をやめていたり、開発者その人がやめていたりすると対応が難しいのです。

 

この様な亜流にサポートが継続されるものは少ないなです

(これが オープン ソースの宿命とも言える)

 

 従って、プラグインの選定・採用には十分に考慮が必要となるのです。

 

が、

 

ハードウエア部分なら目に見える形があり、製造物の製造責任などで保護できるのですが、

 

 ソフトウェアでは、非常に難しい問題です。

まず、目に見えない事で気付きにくいことが一番の理由かも知れません。

そしてソフトウェア開発を行う人のレベルは千差万別です。

 

 さらに、オープンな環境(オープン ソース)では、

ある程度の知識があれば

誰でも簡単に参画できるということが、さらにこの問題を複雑にしているのです。

 

 本来、利用者側は完成品を利用する訳であって専門家でもないから、

サイト オーナーを始めホームページを作ってもらう側に、この様な考慮を望むべくもない問題です。

 

 従って、ただ信頼できるパートナーを選ぶこと(サイト オーナーの判断で)しかできないのが現状です。

 

WordPress自体を否定している訳では、ありません。

しかし、最低限WordPress を最新版に更新する必要性があるが、これもサイト作成側もしくはサイト運用会社にお願いするしかないのが現状です。

 

 私もメインサイトではないですが、WordPressを使用しています。

特別なプラグインを使用していない為、バージョンは3.14で最新版にしていないのですが、.....

 

もう一方の有名なプラグインXSS

XSSの脆弱性は、悪用された場合、Webサイトをハッキングされたり、クロスサイトリクエストフォージェリ( CSRF)攻撃を仕掛けられたりする恐れがある。

脆弱性はWordPress 3.9.2までのバージョンに存在する。

 

確認しましょう

 専門的なことですので、あなたのサイト開発会社またはサイト運用会社に

あなたのWebサイトの状況を確認しましょう。

 

 もし、WordPressで作られているならそのバージョンと、定期的な更新がなされているか確認しましょう。

 

 私たちは、無料Webサイト診断も賜ります、ここからあなたのサイトのURLを添えて申し込みください。

 

最新版で作られていたとしても、新しいセキュリティホールが見つかってその対応(パッチ)が発表されているかも知れません。

最新の対応パッチ(修正プログラム)があてられているかの確認も必要です。

日々亜流のプラグインが生まれ、知らないところで便理だからと採用したりしているかもしれません。

 

 残念なことですが、WordPressを使ったホームページ オーナーは、

WordPressをのプラグインの脆弱性を突いた、

知らない内に犯罪の踏み台にされる様なことが、無い様にするための自己防衛も必要です。

 

先に述べたようにWordPressで作成されたサイトが増えています。

また、ホームページを作ってから一度も更新されていないサイトも多々見受けます。

 

いまだに、以下の様なバージョンのサイトがあります。

WordPress 2.7.1

WordPress 3.1

 

ソース コード

 ソース コード とは主にアルファベットで書かれたプログラムの内容であり、人間が直接読み書きできるものです。

 WordPressそのものはしっかり管理され直接メンテナンス出来ることは一般ではできませんが、そのプラグインのソース コードは公開されている為、ある程度の知識があれば、機能追加分を組み込んだ利することができ、一般に公開・販売が出来るのです。

 

 ソース コードのイメージに興味がおありなら、例えばこのブログ記事のソース コードを見ることもできます(この記事のどこでもいいですがマウスカーソルを持って行き、マウスの右クリックすると、プロパティに「ページのソースを表示」これをクリックするとみることができます)

・・・・ここで見ることができるソース コードは、HTML()の発展形のプログラム言語、PHP()のものです。

 

もちろん、ここで直接このソース コードを変更(編集)は出来ませんが、読める人は何がかいてあるか、どの様な構造になっているかが判るのです。

 

 専門用語

 

 CMS : コンテンツ マネジメント システム : Webコンテンツを構成するテキストや画像、レイアウト情報などを一元的に保存・管理し、サイトを構築したり編集したりするソフトウェア

 

※ オープン ソース : 自由な再頒布。ソースコード(「ソースコード公開」も含む自由な利用)

 

パッチ : プログラムの一部分を更新してバグ修正や機能変更を行なうためのデータのこと。「修正プログラム」や「アップデート(プログラム)」などとも呼ばれる。

 

 ソース コード : プログラミング言語の言語仕様に従って書かれたコンピュータに対する一連の指示(原始プログラム)


コンパイル : プログラミング言語(人間が理解しやすい言語や数式でプログラムを記述可能な人工言語)で書かれた原紙プログラムを、コンピュータ(のCPU)が直接的に実行できる機械語に変換すること。

 

プラグ イン : 機能拡張、仕様変更をおこなうために規格化された差し替え可能なモジュール。 アプリケーションソフトウェアの機能を拡張するために追加するプログラムの一種。

 

JANコード : 商品識別コードおよびバーコード規格のひとつ。日本の規格(Japanese Article Number)。ヨーロッパはEAN、アメリカはUPC(Universal Product Code)という規格

 

 WordPress : オープンソースのブログソフトウェアで、PHPで開発されており、データベース管理システムとしてMySQLを利用している。単なるブログではなくCMSとしてもしばしば利用されている。

 

※ XSS : XSS攻撃とは、攻撃者の作成したスクリプトを脆弱性のある標的サイトのドメインの権限において閲覧者のブラウザで実行させる攻撃

  Webアプリケーションの脆弱性もしくはそれを利用した攻撃。クロスサイトスクリプティング

 

 CSRF攻撃 : クロスサイトリクエストフォージェリ、XSSと似ているが別物。

  攻撃者はブラウザなどのユーザ・クライアントを騙し、意図しないリクエストをWebサーバに送信させる。
  Webアプリケーションがユーザ・クライアントからのリクエストを十分検証しないで受け取るよう設計されている場合、このリクエストを正規のものとして扱ってしまい、被害が発生する。
  CSRF攻撃はURL、画像の読み込み、XMLHttpRequestなどを利用して実行される。

 具体的被害としてはデータの漏えい、意図しないコードの実行、権限の取得、なりすまし、防御メカニズムの回避、アプリケーションデータの読み取りなどがありうる。
 権限の取得が可能な場合、その被害はユーザの持つ権限に依存する。
 ログインしていない状態でも起こりうる主な被害としてユーザ・クライアントに電子掲示板などへ書き込みをさせる行為があり、これを利用してユーザを装った犯罪予告
 (例:パソコン遠隔操作事件)や大量の書き込みをさせるDoS攻撃(例:「ぼくはまちちゃん」 騒動)といった事件が発生した。

 

サイト → Webサイト → ホームページ

 

セキュリティホール : 

  脆弱性についての俗表現。
 脆弱性は、コンピュータソフトウェアの欠陥(バグ、不具合、あるいはシステム上の盲点)の一つで、本来操作できないはずの操作(権限のないユーザが権限を超えた操作を実行するなど)ができてしまったり、見えるべきでない情報が第三者に見えてしまうような不具合をいう。
 ハードウェアおよびそれを含めたシステム全般の欠陥を指すこともある。

 このような欠陥は古くから存在したが、特に問題視されるようになったのはインターネットの発展に伴って脆弱性がネットワークを介して容易に攻撃されうる状態になっているからである。

 原因としては、プログラムのコーディング間違いや、システムの設定間違い、システム設計上の考慮不足、故意に作られ秘密にされた機能の漏洩などがある。

 

※ HTML : エイチティーエムエルとは、ウェブ上の文書を記述するためのマークアップ言語である。文章の中に記述することでさまざまな機能を記述設定することができる。データベースへの直接的なアクセスが出来ない為、HTMLをベースにPHPなどの言語が開発された。

 

 PHP : Webページ作成のために用いられるプログラミング言語の一種。

 

マークアップ言語 : 視覚表現や文章構造などを記述するための形式言語である。テキストファイルであることが多い。記号を交えた「タグ」を使うものが多い。“markup”という語は英語圏の出版業界で著者、編集者、印刷者の間で指示を伝える方法を意味していた

 

 

出典 : ウィキペディア

 

 

 

新着記事

サイトをリニューアルしました。といってもこのサイトではありません

◇2018年7月26日◇

当然ですが 今まで、他のテーマでアップしていたサイトの コンテンツを全面リニューアルです。今回のリニューアルに際して意識した点は、顧客視点。使いやすく、分かりやすいサイト。検索から訪れて来てくれた人たちのベネフィットがあること

あたりまえのアダムス

◇2018年4月22日◇

 もし、 あなたが、つねに改善を求めているのならば、 この本は、 あなたが今まで読んだ本の中でも最も興味深いものになるでしょう。          もし、 あなたが、 何らかの成果を求め続けているのならば、 私が今からお伝えす

自然言語検索があなたのWebサイト集客にもたらすもの

◇2018年4月8日◇

    「ググる」ということをあなたも行ったことがあると思います。   と、 言うか、 今ではほとんどの人が、 「ググる」ことなしに日々を過ごしているとは思えません。     それほど、日常生活に溶け込んでいます。    

MFI始まる。あなたのサイトは大丈夫ですか?

◇2018年3月30日◇

  いよいよ始まります。 Googleが長期にわたってテストと検証を行ってきた モバイルファーストインデックス もし、あなたがWebサイトをお持ちなら、 モバイルに対応する必要性をお感じなら、 この記事を読んでみてください。

あなたのサイトに自然言語検索がもたらす影響

◇2018年3月20日◇

あなたのビジネスはもっとWebを活用すべきです。Webなら大企業より小回りの利く地域ビジネスの方が断然有利です。自然言語検索の実現は、文脈を理解する技術をもたらします。あなたのお客様になってくれるかも知れない人たちに向けたコンテンツを作成し、検索エンジンに…

思いをつたえる

◇2017年12月2日◇

 あなたは、どの様にお伝えしていますか?あなたが、ご自分のサービスや商品を紹介するときサービスの特徴や商品の性能や機能の説明になっていませんか?「つたえる」伝わらない。人とひとをつなぐもの、それは、

つながり つながる

◇2017年7月17日◇

どんなことでも、つながりがあることは、とても大切で・大事なことです。今日は、趣向を変えて、この、「つながり」について考えてみようと思います。先日、と言っても・・・1か月以上も前のことです。

人気記事

前の記事で、集客にはスマホ・サイトの充実が必要だと書きました。    何故、スマホ・サイトが必要かとお思いでしょうか? それは、既存のHP(ホームページ:サイト※1)は、   パソコンの大きな画面で見ることを前提に作られている

この記事の関連記事

なぜ、こんな過激なタイトルかを、これから あなたにお伝えしたいと思い、このブログを書いています。  このことは、何度も言い方を変えてお伝えしようとしてきたことです。 (残念ながら伝えきれていません。)  既に感染(改ざん

どんなことでも、つながりがあることは、とても大切で・大事なことです。今日は、趣向を変えて、この、「つながり」について考えてみようと思います。先日、と言っても・・・1か月以上も前のことです。

つたえる   伝わらない   人に何かを話した時   あなたは、こんな風に感じたことはないでしょうか?   または、     どんな風に 話したたら伝わるだろうかた考えたことは、   ありませんか?   たわいもない

まず質問です。 あなたは何故Webサイトをお持ちなのでしょうか?     あなたのWebサイトは、お役に立っていますか? いまはまだ課題を認識されていないのかも知れませんが、・・・   あなたのWebサイトには2つの問題になりうる

1つ目は、 google検索の仕組みが変わる (モバイル ファースト インデックス ※01)に対応が必要。    ✔ このままでは、検索結果で上位表示されていたものが圏外になる可能性が大きい事です。2017/03/26記   ➡ あなた


最新記事

« 前123456...25次 »

アーカイブ

2015

お知らせ

 

お知らせ

こんにちは

会社情報

合同会社 アルファ・ITC

 https://a-itc.info

上記サイトは、新しいスマホ最適サイトです

 

 

このサイトは、

IT有資格者(ITコーディネータ)が、

 ご提案する 集客(顧客獲得)に特化したサイトの制作例です。

電話番号

080-4433-7227

所在地

〒230-0041
神奈川県横浜市鶴見区


© 2018 スマホ最適化ホームページで商売繁盛。あなたも! All rights reserved.