セキュリティ:警告!あなたのWordPressホームページが危ない理由

WoprdPressの放置もWoprdPressだけのメンテナンスではダメですよ サイト運営
WoprdPressの放置もWoprdPressだけのメンテナンスではダメですよ
記事内に広告が含まれています。

こう書くとWordPressイケナイ様にとられたかも知れないですが、

Thank you for reading this post, don't forget to subscribe!

そうでは、ないのです。

WordPressを使ったホームページに、

約束ごとともいえる以下のことに、サイトオーナーであるあなた関わっていないことが、イケナイことです。

✅ 大事で大切なことを守っていない

    制作時、制作中・完成時・本番移行後も一切チェックしていない

   専門家言われるのホームページ制作会社に丸投げしている

   運用中の現在もバージョンアップや保守を行っていない

 WordPressバージョンアップも大事です。
  ( WordPress でさえ作成時のままのものも多数あります)
WordPressのバージョンアップだけではダメなんです

Update:2020/03/11

Written: 2019/06/03

 By 横浜の登録セキュリティプレゼンター

PR広告
PR広告

WordPressホームページの是非

WordPressでホームページを作ると決めたときに必要なこと

 それは、自社で作るか、外部に依頼するかですが、ほとんどの場合、外部のホームページ制作会社に依頼するからです。(ではないでしょうか?)

 そして、外部にホームページ制作を依頼する場合、制作後のちゃんとした保守も行ってくれる(できる)制作会社を選ぶ必要があります。

 というのは、
WordPress は素晴らしいCMSの1つです。
しかし危険でもあるのです。
WordPress自体でホームページを作ることは
ちょっとした知識があれば、誰でも簡単に作ることができるから
何も考えなく進めたりもできます。

 ですから、セキュリティ意識の高い、セキュリティ対策を明確に示し・行ってくれる(実施できる)ホームページ制作者(※)選ぶ必要があるのです。
 そんなことを言われてもとお思いの場合は、
選んだ場合、まかせっきり(丸投げ)にしないことです。
あなたが実現したいと思ったことが出来ているかどうか?
セキュリティ対策に何をしているか?は確認しましょう。

.ここで、ホームページ制作者と言った理由は、ホームページ制作会社がセキュリティ対策を実施できるとしても所属する全員がセキュリティ対策を実施できるとは限らないし、費用の関係でそこまで面倒を見てくれない可能性だってあるからです。

(事実、筆者がリサーチした43のWoroPressサイトの実態がそれを示しています。)

信頼できるホームページ制作会社に制作と保守を依頼すること

 筆者が思うに「激安ホームページ」とか「格安ホームページ制作」などのキャッチフレーズを掲げているホームページ制作会社には依頼すべきではないと断言します。

 それらは、見栄えは良いかも知れないが結果的に「安かろう・悪かろう」で、あなたのホームページが終わってしまう

何故そう言い切れるか、

多くのホームページがそうである様に、作りっぱなし・制作した当時のまま

特に、WordPressホームページに、一番多く見受けられるのが、

バージョンアップしていないこと

(日本でCMSを使って制作されたホームページの82%以上がWordPressだから、
ホームページの調査でWordPressのホームページの傾向を調べれば、おおよその動向がわかる)
 ※.下の図は、少し古いキャプチャです。画像クリックで最新の日本シェアをご覧いただけます

CMS利用状況
日本のCMSホームページの内82%以上がWordPress

WordPress本体はおろか、利用しているプラグインにおいては、ワードプレス本体がバージョンアップされていても、プラグインが古いまま(など)

PR広告

プラグイン(plugin)の管理・保守も忘れずに

 多くのプラグインはWordPress.org以外のサードパーティが制作したもので、
既に開発チームが解散してしまって、脆弱性対策などのバージョンアップがされないものも多くアップされたままです。

 新しくWordPressサイトを立ち上げる時は、インストールするプラグインの保守状況インストールしたWordPressのバージョンと互換性があるのか、などを制作者側でチェックできるのでさほど問題はないでしょうが、

インストール
保守が継続していること。使用中のWordPressバージョンと互換性があること

一度制作され、保守契約をしていないWordPressホームページは、サイトオーナー側でメンテナンスするしか無い訳で、これが問題となるのです。

(WordPressサイトを所有する多くのサイトオーナー側にはこれらの問題に適切に対処する人がいないから)

 WordPress本体を、自動バージョンアップ設定をしていたとしても、
大幅な改定(WordPressではこれをブランチ(系)と言っています)の場合、
自動バージョンアップされない(4.9➡5.0など)のです(保守できる人の介在が必要となるのです)

 このブランチの壁は、最も・最近のものでは、4.9から5.0への移行です。

 5.0ブランチで大幅な改定がなされた為、
自動バージョンアップ設定をしていても(保守作業をしないとできないのです)

4.9ブランチの最新バージョンは4.9.13(2019/12/13リリース)のセキュリティリリース(以前のバージョンに影響する 3件のセキュリティ問題修正)です。

. 3件のセキュリティ問題

 1.   権限のないユーザに REST API 経由での先頭固定投稿を許してしまう問題

 2.   巧妙に手が加えられたリンクを用いたクロスサイトスクリプティング (XSS) 脆弱性の問題

 3.   WordPress.org セキュリティチームによる wp_kses_bad_protocol() の強化。これにより名前付きコロン属性が適切に処理される。

5.0ブランチは2018/12/10リリースですが、4回のセキュリティリリースと4回のバグ修正などのメンテナンスリリースで、既に5.0.8に、2019/12/13以前のバージョンに対する4件のセキュリティ問題修正)です。

さらに、
5.1ブランチは、5.1.4(2019/12/13が最新)以前のバージョンに対する4件のセキュリティ問題修正
5.2ブランチは、5.2.5(2019/12/13が最新)以前のバージョンに対する4件のセキュリティ問題修正
5.3ブランチは、5.3.2(2020/01/02が最新)5件のバグ修正と改良のメンテナンスリリースです。

この様に、複数のブランチが並行して開発・保守されている特殊な形態をとっている為、実際のWordPressを利用したホームページなどでは、多くのブランチ・バージョンが今でも存在しています。

4.8ブランチ以前のもっと古いブランチも現役で運営されています
(これは、サイトオーナーが知らない大きな問題を含んでいるのです)
 ➡ 「WordPress 脆弱性とバージョン推移WordPressサイトに運営に必要なバージョンアップここからご覧いただけます。

. 4件のセキュリティ問題(5.0で追加されたブロックエディタに関する問題がある分1つ多い)

  1. 権限のないユーザーに REST API 経由での先頭固定投稿を許してしまう問題
  2. 巧妙に手が加えられたリンクを用いたクロスサイトスクリプティング (XSS) 脆弱性の問題
  3. WordPress.org セキュリティチームによる wp_kses_bad_protocol() の強化。これにより名前付きコロン属性が適切に処理される
  4. ブロックエディター本文を用いた格納型 XSS 脆弱性

WordPress.orgは、
積極的に保守されている5.3系統の最新版以外の以下のバージョンは、安全に使用することはできません。」と公式ページで宣言しています。

現時点では、5.3ブランチの5.3.2が最新ですが、

既に、5.4ブランチの2020/03/31リリースが予定されています。

  5.4がリリースされたら、WordPress.orgは、通例通り「積極的に保守されている5.4系統の最新版以外の以下のバージョンは、安全に使用することはできません。」と宣言するでしょう。

プラグインに関して言うと、

WordPressのSEOプラグイン
All in One SEO Pack」に深刻な脆弱性がありました。(2016/07/12

“All in One SEO Packは“WordPressで必須”ともいわれ、
インストール数が100万件を超す人気プラグイン。
公開された情報によると、「Bot Blocker」と呼ばれる機能にクロス サイト スクリプティンXSS)の脆弱性が見つかった”

 “Bot Blocker機能は、特定のボットによるWebサイトへのアクセスを防止する機能で、User AgentやReferrerヘッダのパターンをもとにボットを検出する。
 同機能の設定で「Track Blocked Bots」を有効にしている場合(初期設定は無効)、HTMLページに記録されるブロック済みリクエストの検証が不適切な問題を突かれてXSS攻撃を仕掛けられ、管理者のセッショントークンを盗まれたり、攻撃者に任意の動作を実行されたりする恐れがあるという。

“脆弱性はAll in One SEO Packの2.3.6.1までのバージョンで確認され、バージョン2.3.7で問題は修正”その後 ➡ 「2.3.7以前のバージョンでも、別の新しい脆弱性発見された」

でもこれだけでは無いんです。

All in One SEO Pack には、
別のクロスサイトスクリプティングの脆弱性が存在します(2019/01/09

All in One SEO Pack 3.2.7 未満では、
「情報を取得される、および情報を改ざんされる可能性があります。」
実際に、➡「管理者の情報が盗まれたり、悪意ある攻撃者に任意の動作が実行された」

「XSSの脆弱性を利用して、攻撃者は悪質なHTTPユーザーエージェントまたはReferrerヘッダをXSSペイロードが含まれているサイトに転送することができます。 その後、管理者が管理者パネルにアクセスすると、このプラグインに「Bad Bot Blocker」の設定ページが表示され、攻撃者がサイトの制御を完全掌握してしまいます。

IPA XSS(CSS)図
IPA 情報処理推進機構が示すXSS(CSS)図
N95適合マスク

2020/02/07時点では、 All in One SEO Pack はバージョン3.3.5が最新です。

筆者は、古いバージョンを使っているいくつかのサイトを知っています。

 の表が示す様に「調査したWordPressサイト」
38サイト中、

WordPressとAll in One SEO Packだけでの関係では、
安全だろうと思われるのは、
たったの6サイトWordPress5.3.2の欄)の16%に満たないのです。
(先に上げた43サイトとは別の調査です。一部同じサイトが含まれますが)

文字が小さくなってしまい
WordPressとAll in One SEO Pack

文字が小さくなってしまいますので、左右分割して上下に表示しますネ

極端に古い3.1.2WordPress未だに使い続けている歯医者さんのホームページもあります。

 驚きですが、きっとこのサイトを作ったホームページ制作会社はもうないのか、
それともオーナーがホームページはありさえすれば良いと考えているのかも知れません。
 このホームページだけでなく、
もうメンテナンスされていない古いバージョンを使い続けているところがいっぱいあります。

左側半分
調査した43WordPressサイト

黄色マーカー部分は、WordPressもAll in One SEO Pack問題です。

WordPressは、5.3.2が現時点での最新版です。

All in One SEO Packは、現時点の最新版3.3.5です。3.3.43.3.33.2.10も脆弱性の報告が見つかりませんので大丈夫かも知れません(サポートが英語版なので、詳しく知らないままSEO内部対策用に使っている人が殆どでしょう。)

右半分
調査した43WordPressサイトでのAll in One SEO Packのバージョン別利用状況

ひどいと思われませんか?
憺たる状況とはこのことです。

さらに驚きなのは、
この中の数サイトが管理ユーザ情報を公開(サイトオーナーは知らない)してしまっているのに、SSL化(暗号化通信)には対応していることです。

ほとんどのサイトオーナーは、ご自分のホームページがこの様な状況だとは夢にも思わないし、考えもしないハズです。(言い方は良くないですが、肝心なことを知らされず騙されているかも知れないサイトオーナーは知らない
この様な状況では、最悪のパターンに陥らないとも限らないフィッシング改ざん

あなたのホームページは大丈夫ですか?
お付き合いのあるホームページ制作会社は、
この様なことを伝えてくれたり・してくれたりしていますか?

WordPressテーマCocoonはSEO内部対策機能を内包しています

筆者のサイトは最新版のWordPressをいつでも更新できるようにし、
All in One SEO Packなどの内部SEO対策プラグインは入れていません。
WordPresssテーマのCocoonにその機能が含まれているからです。

 例え、それ以上 の機能をAll in One SEO Packが持っていたとしても、
自身で管理が難しいと思われるプラグイン(Plugin)は入れるべきではないと考えているからです。

Cocoonの様に内部SEO対策プラグインを必要としないテーマは他にもあります。

プラグインは多く入れすぎると管理も大変になります。

キャッシュプラグインの「WP Super Cache」に複数の脆弱性。(JPCERT/CC
アクティブインストール100万以上、総ダウンロード数810万以上のとても人気があるプラグイン
1.4.4」および以前のバージョンに、
 ✔ 悪意あるPHPコードが挿入可能( PHP Object Injection )となる脆弱性
    ✔ XSSクロスサイトスクリプティングの脆弱性などが含まれている。
 ✔ 脆弱性や不具合などを修正した「バージョン1.4.5

All in One SEO PackWP Super Cacheは超有名プラグインなのですが、それすらこの様な有様なのです。

また、

PuSHPress」は開発元のアップデートがなくなりました。(有効インストール数60,000以上)
( インデックス用のプラグイン 最終更新2年前、 検証済み最新バージョン WordPress4.8.12

この様な情報に常に敏感でなければ安心できません。

ですから、
WordPressサイトは、


 WordPress本体だけでなく
 ✔ プラグイン(plugin:この場合WordPressの機能を補完するもの。存在しない機能を追加するのではなく、すでにある機能の追加や置き換えによって動作の一部を改変・補強する )

 ✔ テーマ(theme:主にサイトの外観や色合いを業種・業態ごとのテーマに沿って作られたもの。SEO対策や、キャッシュクリアなどの機能を備えたものもある。Cocoonもその中の1つ)

 ✔ APIApplication Programming Interface: アプリの機能や管理するデータなどを、外部の他のプログラムから呼び出して利用するための手順やデータ形式などを定めた規約を利用したもの(インターフェース)   ) ※※

などにも
脆弱性対応と共に
常にバージョンアップが必須となるのです。

※※. WordPress4.74.7.1で世界の155万以上のサイトが改ざんされるというセキュリティ事故が起きたのは、WordPress 4.7から内包された、REST API脆弱性に起因するものでした。


導入しているこれらのバージョンアップをメールで知らせてくれるプラグインもあります。

SiteGuardのメール通知
SiteGuardのメール通知 「プラグインの新バージョンへのバージョンアップを案内」

セキュリティプラグイン(SiteGuard WP Plugin)は更新情報を伝えてくれます

筆者が導入している日本製のセキュリティプラグイン(SiteGuard WP PluginSiteGuard WP Plugin は、セキュリティプラグインとして優れもので(他のプラグインやテーマなどの更新通知を受け取れます)の最新バージョンがリリースされると知らせてくれる機能も待っています。

この様なプラグインの性格や機能を熟知しているホームページ制作会社を選んでください

まとめ

制作を外部に依頼している場合、保守契約も必要です

そして、制作を外部に依頼している場合、保守契約も必要になってくるのです。

WordPressサイト
WordPressサイトは作りっぱなしは厳禁ですヨ

コメント

タイトルとURLをコピーしました