by 登録セキュリティプレゼンター

Security セキュリティ対策
Security セキュリティ対策

古いワードプレスは危険です

あなたはホームページのWordPressは古いまま4.9.3です。

あなたが自動更新を選択されていたとしても、4.9.3は更新されません。

4.9ブランチ5.0ブランチ以上に自動更新されません。既に複数の脆弱性が発見されています。

 その後、4.9.10(2019/03/13)が出ましたが、5.0以上になることはありません。

 既に、5.0.25.0.35.0.45.15.1.15.25.2.1が出ていますが、WordPress.orgでは、5.3-alpha-45454のテスト中です(2019/05/29現在)6月にも5.3ブランチがリリースされる予定です。

 4.9.9の対応バージョンは、5.0.1です。➡ 関連記事 WordPressバージョン5 の実効性と実行性

更新 2019/05/29

更新 2019/03/14

更新 2019/01/27

WordPressサイトなら保守契約が必要です。

  ➡ WORDPRESSホームページの6つの課題         更新 2019/04/05

WORDPRESSホームページの6つの課題
     WORDPRESSホームページの6つの課題

 

ちゃんとした「保守契約」をされていますか?

 ・・・というのは、あなたのWordPressは2018/2/7以降更新されていません

 

保守契約をされているなら、それはいい加減な保守です。

 

(最新版は4.9.8(2018/8/2)までに、81以上のバグが含まれています

※詳細 4.9.44.9.54.9.64.9.74.9.8

WordPressは、常にと言っていいほど脆弱性が発見され、常に攻撃の対象となっています。

 

(既に ( 4.9.9、16%) ( 5.0、42%)の開発も始まっています)

  

--- 追記、ここから ---

 更新 5.0が2018/12/06よりリリースされました。

  ご承知の通り、WordPressは、最新版以外は積極的な対策(セキュリティ・バグ対応など)は行わないとWordPress.orgが明言しています。つまり4.9.x以前は脆弱性の危険にさらされます。

※.そして5.0は大幅な変更の為、自動的に他のバージョンからアップデート(バージョンアップ)されません。  

管理画面の「ダッシュボード」から「更新」で可能ですが、アップグレードには充分なテスト・検証後でないとお薦めできません。

 理由は、WordPressは15年以上も運営されており、プラグインやテーマが有償・無償で提供されています。そしてこれらの中には既に開発チームがなくなり長期間更新が止まっているものもあります。

 これらは当然5.0を意識したものではない為、不具合が発生する可能性が高く・不具合が発生しても対処する方法がありません。

 ワードプレスでホームページを制作する事業者(ホームページ制作会社)は、言い方は別として、この様なジレンマがあってバージョン5.0への移行をお薦めできません(囚人のジレンマ)があるのです。 

 仮にこれらがクリアされたとしても、今回の様な大きな変更や機能追加が行われた(メジャーバージョンアップ)様な場合では、どうしても不具合やバグが多くなるのはあらゆるアプリケーションの常であり、WordPressのその例外ではありません。

 その様な脆弱性を突くことは、攻撃者の格好のターゲットになります。

 WordPressは全世界のウェブサイトの3分の1のシェアを誇っていて、攻撃者にとっては効率的でもあるのです。2017年の4.7、4.7.1で155万ものサイトが改ざんされたことを忘れてはなりません。

 

2019/01/27 追記 ---- ここまで ---

 関連記事  WordPress5 バージョンの実効性と実行性 2019/01/29記載

WordPress4.9.3は自動更新されません。

あなたがお付き合いのあるホームページ制作会社に、今一度あなたのホームページを確認されることを、お薦めします。

 

セキュリティ対策は不要とお考えですか?

 

お待ちください。
 

 

Q: どうやってセキュリティを確保させますか?

 

A: WordPressであれば、しっかりとした保守契約を結び、常に最新の状態に保つことです。

(そのため保守契約をしてくれるところの見極めが必要となります)

  ☑ どの様に見極めますか?

  ☑ 判断基準は何でしょうか?

  ☑ 本来専門外のことですので、お任せで良いのでは・・・残念ながらそうではありません。

WordPressは最大のユーザ数

日本では81%がWordPressサイト)を誇っていますが、攻撃者の絶好のターゲットでもあります。

2017年 歴代最大155万以上のサイトが改ざんされた。

 

Q: 暗号化通信(SSL)はどうすればよいですか?

 

A: これはWordPressに限りません。

 

SSLサービスを申し込み、あなたのホームページの保守会社に設定を依頼してください。

特定のレンタルサーバーでは無償のSSLサービスを実施(設定は別途)しているところもあります(xServerなど)。

 

これらを考えたとき、あなたの [ホームぺージ] は、万全ですか?。
セキュリティ

 

SSL 暗号化通信
   SSL 暗号化通信

ネットの雄・グーグルもSSL化を薦めています

 

ウェブブラウザのChromeも2018年7月から、暗号化されていないhttpプロトコルを使い続けているWebサイトを「Not secure」(安全ではない)と表示。

 

2017年には多数のサイトがhttps に移行しており、

これはセキュリティプライバシーに関心を持つ全ての人にとって素晴らしいことですし、

必要なことです。(httpss セキュア、安全を意味するsecurityの形容詞secureで、IT分野では、システムやネットワーク、データなどが安全な状態に保たれていること。
具体的には、暗号や防御ソフトなどを活用して、外部から攻撃や盗聴、改ざんなどの干渉を受けないように技術的に保護されている状態 )を表します。)

? 付き表示 と保護されていない通信

SSL化
SSL化されたもの(10/1現在は「保護された通信」部分は表示されない

ホームページ(ウェブサイト)のSSL化を識別する。

SLL化未対応
SLL化未対応の場合

この動きはChromeの他のブラウザ、Safari(アップル)やEdge(マイクロソフト)、他も追随しています。

 

つまりこれは、好む好まないにかかわらず現状のネット環境における必然なのです。

 

スマホの表示でも

Not SSL
iPhoneでのSSL非対応サイトの表示

Chrome SSL対応サイト

スマホでchromeでの表示
スマホでchromeでのSSL対応表示

Safari SSL対応サイト

スマホでsafariでの表示
スマホでsafariでのSSL対応表示

これは、多くのインターネットユーザーが、暗号化された安全なhttps接続と、

適切にセキュリティが確保されているウェブサイトの違いを、理解していないかも知れないのですが

(あるウェブサイトがhttpsを使用していても、100%信頼できるとは限らないのと同様に、
まだhttpを使っているウェブサイトでも、他のセキュリティ対策や個人情報の扱いはきちんとしているかもしれない
そうしたサイトがhttpsに非対応であることは考えにくいが

 

 それでも、あなたのホームページに訪れる・あなたのお客様になってくれるかも知れない人たちの助けにはなるのです。

 

 あなたのホームページが、まだSSL非対応なら早急にSSL化することをお薦めします。

 

併せて、プライバシーポリシーの明記も

 

個人情報保護法の施行以来、ホームページの「プライバシーポリシー」を載せてきたホームページもあります。

しかし未だに「プライバシーポリシー」の記載が無いホームページが多くあります。(個人情報を取り扱う医療関係のホームページの多くがプライバシーポリシーの明記がありません)。

マイナンバー制度(2015年10月5日)運用開始以降、「プライバシーポリシー」の明記はホームページ上、ますます必須のものと考えます。

これも、 あなたのホームページに訪れる・あなたのお客様になってくれるかも知れない人たちに安心感をもっていただくための一つです。

 

堅牢なセキュリティ

concrete5なら、優れたセキュリティを保てます。

  concrete5なら、優れたセキュリティを保てます。                    
  concrete5は、業務システムのために開発されたエンタープライズCMSです。        
  ブログ発祥のCMSとは、根本的な作りが違います。                     
 これからのホームページはセキュリティ対策が大事です。                  
 米陸軍にも採用された高信頼性。あなたもconcrete5を利用して安心のサイト運用をしませんか?

concrete5
コンクリートファイブ

 

関連記事ページ

 

 関連記事 ➡  保護されていません。と表示されない為に必要なこと

常時ssl化
       常時ssl化

 

 関連記事 ➡  SSL必要ない?本当ですか?

SSL 暗号化通信
         SSL化の識別

 

 関連記事 ➡  SSL化必須です。あなたのお客様を守るために

SSL化は必須です
         SSL化は必須です

 

 関連記事 ➡  ホームページのSSL化必須お客様に、あなたも

ssl化
         SSL化 必須

 

 関連記事 ➡  Googleの警告は常時SSL化を標準対応にすること

Google警告は常時SSLを標準対応にすること
         Googleの警告は常時SSL化を標準対応にすること

 

 関連記事 ➡  Googleが警告する危険なSSL未対応サイト

ssl 暗号化通信
      暗号化通信 情報セキュリティ

 

 

 関連記事 ➡  脆弱性対策してますか?あなたは大丈夫?

incident インシデント
         インシデント セキュリティ事故

 

 関連記事 ➡  改ざんの危険性がイッパイあなたのサイト大丈夫?

改ざん防止
         改ざん防止

 

 関連記事 ➡  無償ツールでチェックが重要です。あなたのパソコン

security 無償チェックツール
        IPAがお勧めする 無償チェックツール

 

 関連記事 ➡  要対策 「情報セキュリティ10大脅威 2018」

security 情報セキュリティ10大脅威2018
           情報セキュリティ10大脅威2018

 

 

 関連記事 ➡ 警告あなたのホームぺージ早急に2つの脆弱性対応が必要

 

脆弱性wp-loginの無防備な公開
          脆弱性wp-loginの無防備な公開