あなたのホームページ今すぐに脆弱性対応が早急に必要です。
× WordPressのバージョンが、4.9.10です。※注.
× wp-login.phpが無防備に公開されています。
あなたのホームぺージをチェックした項目は以下のことです。
✔ WordPressが最新バージョン(5.2.1)に更新されているか?(2019/05/22アップデート)
5.2.1は5.2の機能の改善と33件のバグを修正しています。
「積極的に保守されている5.2系統の最新版以外の以下のバージョンは、
安全に使用することはできません。」と宣言されています。
✔ wp-login.phpが公開されていないか?
(あなたのURL/wp-login.phpでアクセスして
WordPressのログイン管理画面が表示されないこと(警告の為、色を赤に変更しています))
もし以下の様な画面が出てきたら、危険です。
管理者のログイン画面が放置されているわけですから、
「玄関の鍵をかけずに、留守にしている状態」と言えます。
この例えで、いかに危険かお分かり戴けると思います。
あなたのホームページがWordPressで作られています。
今すぐ上の2点について、早急に対応することが大事です。
あなたのお付き合いのある信頼できるホームページ制作会社に、
ご相談されることを強くおすすめします。
Update:2019/06/22
Update:2019/05/22
Update:2019/05/10
Written:2019/04/15
By 横浜の登録セキュリティプレゼンター
経済産業省推進資格 ITコーディネータ
現在のWordPressで作られたサイトにも複数の課題と既に問題となっているものがあります。
あなたのサイトの課題と問題
まずは、課題の部分からお伝えしましょう。
あなたのホームページの課題
それは、あなたのホームページの元となるWordPressが最新版ではないということです。
WordPressは世界でも日本でも最も使用されているCMS(コンテンツ マネジメント システム)ですが、それゆえに攻撃者の絶好のターゲットとなっています(攻撃者にとっては、ひとたび脆弱性が見つかるとその利用ユーザの多さゆえに効率的なヒットが狙えるからです)。
WordPress.orgも「積極的に保守されている最新版以外は、安全に仕様することはできません」と宣言しているくらいです。
(2019/04/15現在最新版は5.1系統、4/30には5.2系統がリリース予定)
(2019/05/08最新版5.2 ジャコ Jacoジャズベーシスト、ジャコ・パストリアスに敬意を評して命名)
バージョン4.7と 4.7.1の REST APIに対する 脆弱性攻撃で155万以上のサイトが改ざんされるという大事故が発生しました(筆者も改ざんされた6つのサイトを知っています)
あなたのサイト
WordPress.orgのサイトは、どうでしょうか?
さすがに、最新版の5.3ブランチのアルファをテスト状態で既に活用しています。
上の様に「ごく僅かな知識さえあればホームページが何で作られているかを見ることができます」
あなたのホームページのWordPressは、バージョン4.9.10です。
(あなたのホームページの制作会社は、バージョンアップが必要ですとは伝えてこなかったですか?)
WordPressは、バージョン5.0で大幅な仕様変更があり、それまで自動バージョンアップ設定をしていたとしても無効となりました。
保守契約をしていたとしても、バージョン5以降へ移行するには手作業が必要です。
あなたのホームページは保守契約をしている様です。
と、言うのは、2018/2/7のバージョン4.9.3では重大なバグがあり、
「4.9.3 は自動バックグラウンド更新を有効化したサイトで、自動更新に失敗します。手動でバージョン 4.9.4 に更新する必要があります。」というものがあったのですが、
4.9.10まで上がってきていることから保守契約で(手動バージョンアップで4.9.4に)対応された様です。
しかし、これでホームページが安心できる訳ではありません。
既にバージョンは、5.0、5.0.1、5.0.2、5.0.3、5.0.4、5.1、5.1.1と上がっており、
4/末5/8には5.2がリリース予定されています。
WordPress.orgが伝えている(積極的に保守されている5.2系統の最新版以外の以下のバージョンは、安全に使用することはできません。)の通りで、
あなたのホームページを利用者に安心して使ってもらうにはバージョンアップが必要です。
これが、WordPressを使い続ける上での課題です。
あなたのホームページの問題点
そして、次はあなたのホームページの問題点をお伝えしましょう。
それは、次の画面を簡単に表示できることです。
「わずかな知識があれば、ホームページの脆弱性を発見できます」
あなたのURL/wp-login.phpでアクセスして上記の様な画面が出てきたら
ブルートフォースアタックの格好の標的になっているということです。
あなたのホームページを制作した、(ホームページ制作会社は)セキュリティ意識がとても低いとしか言いようがありません。
本来ならば別の画面を用意し、WordPressのログイン管理画面は、権限を持っている人しか公開せず(wp-login.phpは表示できない様にします※)
放置は、玄関の鍵を掛けずに留守にしていると同じ状態です。
保守契約を継続して行っているのなら、保守契約の範囲内の改定で簡単にこの画面を隠せたはずです。
※.ブルートフォースアタックの格好の標的になります。
上図で示したように、知識があれば簡単にあなたのホームページの脆弱性を発見できます。
これは大きな脅威となります。
※.セキュリティ上の脅威(かいつまんで簡単に言うと)
ブルートフォースアタックは、パスワード解析方法の1つで
総当たりで正解パスワードを割だそうというかなり強引な手法。
パスワードが分かってしまうとサイトの改ざんなど、は、思うままです。
改ざんされた場合の影響は、図り知れません。
あなたのWordPressの管理画面へのログイン方法がwp-login.phpと分かっている状態ですと、毎日のようにブルートフォースアタックにさらされている可能性があります。
ブルートフォースアタックは正しい組み合わせが見つかるまで、機械的に推測し、ログイン資格情報を解明しサイトを攻撃します。これは最も典型的なセキュリティ侵害です。
万が一攻撃者にアクセスされてしまえば、サイトのファイルを改ざんされたり個人情報の流出につながったりと、今までの蓄積された信頼を一瞬で失くしてしまう重大な被害にあうかも知れません。
あなたのホームページは、WordPressバージョンの他に、この様な脆弱な面をインターネット上に晒してしまっているとも言えます。
そもそもwp-login.phpを隠しておけば、ブルートフォースアタックにさらされるリスクもある程度軽減されます。このカスタマイズはしておくべきことです。
何も対策しないで放置していることは、大きな問題で、根本的なセキュリティの意識の欠如を表しています。
ホームページオーナーのあなたが、この様な内容をご存知ないことは、専門的な事柄であるがゆえに致し方のないことなのです。
ですが、
少なくともホームページを制作したり保守したりするホームページ制作会社において最低限のセキュリティ対策と言えるもので、ホームページをSSL化(https)していたとしても無駄になっています。
(あなたのホームページはhttpsアクセスになっていますが、あなたのホームページ制作会社がこれをお薦めしたのであれば、本末転倒とも言えます)
関連記事 ➡ 脆弱性対策してますか?あなたは大丈夫?
関連記事: 驚愕WordPressサイト脆弱性対策意識最悪
まとめ
この記事にある内容は実例です。
あなたのホームページが、あなたのご存知ないところで被害にあわれる可能性もゼロではないのです。
あなたのホームページがWordPressで作られているのなら、今すぐ上の2点を確認することが大事です。あなたのお付き合いのある信頼できるホームページ制作会社に、ご相談されることを強くおすすめします。
あなたのホームページが何で作られているかご存知ない方は、ここからお問合せページを経由して(URLを記入し)お問合せください。
By 横浜の登録セキュリティプレゼンター
経済産業省推進資格 ITコーディネータ