被害が155万サイト改ざん・WordPressを使う義務
2017年2月13日
155万サイトが改ざん被害、REST API脆弱性を20のグループが攻撃、米Feedjit報告
あなたは、どの様にお考えですか?
あなたのWebサイトはWordPressで作られています。だとしたら?
あなたのWebサイトはなぜ、WordPressなのでしょうか?
手軽で・便利だから?
それとも、
ホームページ制作会社から薦められるまま・・・
綺麗なサイトが作れると、言われたから、
でしょうか?
あなたは、WordPressサイトのメンテナンスをしっかり行っていますか?
世界で3200万サイト(2010/11時点)が利用
「全世界のWebサイト(ホームページ)の4分の1はWordPressで作られている(2015/11時点)」
2017/02/13、世界で全体の27.5%、日本では81.5%がWordPress(出典:W3C)
https://w3techs.com/technologies/overview/content_management/all
https://w3techs.com/technologies/segmentation/cl-ja-/content_management
この様に書くと
さも、私がWordPressを否定している・・・と捉えられるかもしれない
そうでは、ないのです。
私もWordPress利用者の一人として
伝えておかなければならないと思い
今回の記事を書いています。
上の図の数値からも分かる様に日本では大半のWebサイトにWordPressが使われています。
だから、
Webサイトのベースが
WordPressであることこそ・そしてWordPressオープンソースであるがゆえ、
メンテナンスをしっかりやらなければならない事を伝えたいのです。
あなたのWebサイトが攻撃され、改ざんされた場合
あなたのWebサイトを訪れてあなたのお客さんになってくれるかも知れない人たちが、
被害を受ける・迷惑がかかるかも・・・なのです。
あなたが意識する・しないに関わらず、
あなたは犯罪の片棒を担がされ(あなたのWebサイトは犯罪の踏み台にされ)
あなたのお客さんは、フィッシング サイトへ誘導されるなどの、犠牲になるのです。
圧倒的なWebサイト数で、
オープン ソースであるがゆえ
次々と脆弱性が見つかり(見つけられ)、
その脆弱性を突いた攻撃が後を絶たない。
はたして、
どれだけのサイトオーナーが、
どれだけのホームページ制作会社が、
このメンテナンスに忠実で
IPAやJPCERT C/Cの警告に耳を傾け、
真摯にメンテナンスをしているでしょうか?
Webサイトは、
あなたのマーケティングの道具です。
道具は使わなければ錆びてしまいます。
WordPress 4.7 及び
WordPress 4.7.1 で使用している
API(アプリケーション プログラム インターフェイス)の脆弱性を突いたもの
155万サイトが改ざん被害、REST API脆弱性を20のグループが攻撃、米Feedjit報告、アメリカだけじゃない。
WordPress 4.7.2の最新のバージョン(2017/2/6時点)に更新してください。
WordPressや、そのPlugin(プラグイン)だったりAPIの脆弱性(セキュリティホール)を突いた、セキュリティ インシデントが後を絶たないのです。
過去において代表的な例では、
XSSの脆弱性
悪用された場合、
Webサイトをハッキングされたり、
クロスサイトリクエストフォージェリ(CSRF)攻撃を仕掛けられたりする恐れがある。
WordPress 4.0.1ではXSSなどが修正された。
WordPress3.9.2までのバージョンに脆弱性が存在する
リクエスト強要(CSRF)
Jetpack の脆弱性
悪用されれば管理者アカウントが乗っ取られたり、
訪問者が不正なWebサイトに誘導されたりする恐れがある
JetpackはWordPressサイトの管理を支援するための多機能プラグインで、
100万を超すWebサイトで使われている。
脆弱性は2012年11月にリリースされた
Jetpack 2.0以降のバージョンに存在していて、
2016/5/27公開のJetpack4.0.3で修正された。
新しく作ったサイトでも安心できない理由
ホームページの制作年月日が、新しいからと言って
それまでに解決されたもの(新しいバージョンのもの)が使用されているとは、
限らないのです。
ある複数のWebサイトは2015年に制作されていました。
プラグインは、
fancybox1.3.7とfancybox1.3.8でした。
これは2010/11のもので、
その時点では既に5年以上古いものでした。
このfancybox1.3.*には、深刻な脆弱性があり、Webサイト改ざんの被害が多発し
2015/2/5に修正バージョンのFancyBoxバージョン3.0.3/3.0.4リリースされていました。
それなのに何のメンテナンスも行われないままです。
Fancybox 脆弱性
クロスサイトスクリプティング攻撃(XSS)を実行される脆弱性が存在
なぜだとおもわれますか?
多くのプラグインは、無償もものもありますが、無償のものはメンテナンスされません。
FancyBoxも
バージョン1は無償ですが、
バージョン2と3は有償です。
この様なことは、ホームページ オーナーさんが知る由もないことですので、
信頼できるホームページ制作会社に頼るしかないのが現状です。
・・・ここに、大きな問題があります。
自社の利益を優先させるホームページ制作会社の多くは無償のものを使い・またメンテナンスを行うこともありません。
先出の複数(10数個)のWebサイトも、未だにfancybox1.3.7とfancybox1.3.8のままです。
だから、WordPressでWebサイトを作ったら
WordPressの定期メンテナンスは、
ホームページ オーナーの義務でもあるのです。
あなたのマーケティングの道具を
ほったらかしにして良い
理由などあるはずがありません。
WordPressは自動的に最新バージョンへ更新するサービスもありますが、
Plugin(プラグイン)や
APIは、自動更新されません。
(Jetpack/ fancyboxなど)
あなたのWebサイト(ホームページ)は大丈夫でしょうか?
お問い合わせ
あなたがもし、ご自分のホームページに不安がおありなら
当然ですが 今まで、他のテーマでアップしていたサイトの コンテンツを全面リニューアルです。今回のリニューアルに際して意識した点は、顧客視点。使いやすく、分かりやすいサイト。検索から訪れて来てくれた人たちのベネフィットがあること
もし、 あなたが、つねに改善を求めているのならば、 この本は、 あなたが今まで読んだ本の中でも最も興味深いものになるでしょう。 もし、 あなたが、 何らかの成果を求め続けているのならば、 私が今からお伝えす
「ググる」ということをあなたも行ったことがあると思います。 と、 言うか、 今ではほとんどの人が、 「ググる」ことなしに日々を過ごしているとは思えません。 それほど、日常生活に溶け込んでいます。
いよいよ始まります。 Googleが長期にわたってテストと検証を行ってきた モバイルファーストインデックス もし、あなたがWebサイトをお持ちなら、 モバイルに対応する必要性をお感じなら、 この記事を読んでみてください。
あなたのビジネスはもっとWebを活用すべきです。Webなら大企業より小回りの利く地域ビジネスの方が断然有利です。自然言語検索の実現は、文脈を理解する技術をもたらします。あなたのお客様になってくれるかも知れない人たちに向けたコンテンツを作成し、検索エンジンに…
あなたは、どの様にお伝えしていますか?あなたが、ご自分のサービスや商品を紹介するときサービスの特徴や商品の性能や機能の説明になっていませんか?「つたえる」伝わらない。人とひとをつなぐもの、それは、
人気記事
前の記事で、集客にはスマホ・サイトの充実が必要だと書きました。 何故、スマホ・サイトが必要かとお思いでしょうか? それは、既存のHP(ホームページ:サイト※1)は、 パソコンの大きな画面で見ることを前提に作られている
この記事の関連記事
まず質問です。 あなたは何故Webサイトをお持ちなのでしょうか? あなたのWebサイトは、お役に立っていますか? いまはまだ課題を認識されていないのかも知れませんが、・・・ あなたのWebサイトには2つの問題になりうる
リスクヘッジ サイトオーナーがこれを知ったら夜も眠れない。 2017年1月僅週間あまりで155万ものサイトが改ざんされた。(エイプリル フール では、ありませんよ) 出典:米Feedjit これはWordPressのバージョン4.
なぜ、こんな過激なタイトルかを、これから あなたにお伝えしたいと思い、このブログを書いています。 このことは、何度も言い方を変えてお伝えしようとしてきたことです。 (残念ながら伝えきれていません。) 既に感染(改ざん
当然ですが 今まで、他のテーマでアップしていたサイトの コンテンツを全面リニューアルです。今回のリニューアルに際して意識した点は、顧客視点。使いやすく、分かりやすいサイト。検索から訪れて来てくれた人たちのベネフィットがあること
つたえる 伝わらない 人に何かを話した時 あなたは、こんな風に感じたことはないでしょうか? または、 どんな風に 話したたら伝わるだろうかた考えたことは、 ありませんか? たわいもない
