WordPressで脆弱性が発見されました。
WordPress 4.7.0、4.7.1をお使いの方は、すぐにでも WordPress 4.7.2へアップデートしてください。
WordPress 4.7.0、4.7.1では、外部よりウェブサイトの改ざんが可能になってしまう「コンテンツインジェクション」の脆弱性が確認されています。
攻撃はマジで簡単にできるようです。悪意を持った第三者に、ウェブサイトを改ざんされるという被害にあった人は、かなり多数いる模様。
WordPress 4.7.0、4.7.1は、どんな脆弱性なのか?
WordPress 4.7.0、4.7.1に、どんな脆弱性があるのか見てみましょう。
情報処理推進機構の画像がわかりやすので拝借すると、
画像を見るとよく分かるのですが、ログインすることなしに、外部から直接サイトの書き換えができるのです。
書き換えが可能なページは、既存の投稿だけでなく、固定ページも書き換えが可能なのです。
ログインして乗っ取るわけではないので、WordPressの2段階認証を設定していても、全く関係なく、サイトが書き換えられてしまいます。
今回の被害を防ぐには、WordPress 4.7.2へアップデートするしかないです。
なので、すぐにでも、WordPress 4.7.2へアップデートをしてくださいね。
わたくしのWordPressも、管理しているクライアントのWordPressも、4.7.2へアップデートしていたので、幸いにも被害は1件もありませんでした。
改ざんされたかどうか確認する方法
サイトのボリュームが数十ページならば、1ページずつ見ることも可能ですが、数百ページあるサイトだと、目視するのは不可能です。
では、改ざんされたかどうか、どのように確認すればいいのでしょうか?
第三者からウェブサイトを改ざんされた場合、「最終更新日」が最近の日時になっているはずですよね?「最終更新日」の日付をみて、サイトの改ざんがあったどうか判断してください。
でも、WordPressの管理画面では、公開日時しか表示されません。「最終更新日」を確認するには、データベースを見なければなりません。
データベースを見るというのは敷居が高いという方は、funtions.php にコードを追加して「最終更新日」を管理画面で見れるようにしましょう。
WordPress 4.7.2へアップデートする際の注意点
WordPressの場合、アップデートしたら、サイトが表示されなくなるといった不具合が出ることがよくあります。
WordPressに関しては、素人の方の運用の場合、アップデートすると動かなくなることがあるので、アップデートしないって人をたまに見るけど、こういうのは絶対に真似しないでください。
WordPressで新しいアップデートが出た場合、基本的にすぐに適用しないとダメです。
それが出来ない場合は、サイト運用は、プログラムが分かるエンジニアに任せたほうがいいですよ。
WordPressの更新の際には、バックアップを取るべし
WordPressの更新の際には、必ず「サイト」と「データベース」のバックアップを取ってください。
「サイト」のバックアップはどうやるの?
FTPアプリを使って、「wp-content」フォルダを丸ごとバックアップします。
サイトのコンテンツが多い場合、「wp-content」フォルダのバックアップにはかなり時間がかかります。
その場合、バックアップ用のプラグインを導入してもいいと思います。
でもね、バックアップ用のプラグインは、レンタルサーバーとの相性があるので、導入にはテスト環境でテストをしてからの方がいいですよ。
「データベース」のバックアップはどうやるの?
レンタルサーバーの管理画面からphpMyAdminへ行き、データベースをエクスポートしてバックアップを取りましょう。
レンタルサーバーによって、phpMyAdminのバージョンが異なったりするので、詳細はお使いのレンタルサーバーへ問い合わせしてください。
WordPressの脆弱性がないか確認する方法
WordPressのようなCMS(コンテンツマネジメントシステム)には、セキュリティホールが必ずあります。
シェアが高いCMSほど、ハッキングの対象になりやすいのです。
WordPressはシェアが6割近くありますので、ハッカー達は、セキュリティホールを狙った攻撃を仕掛けてきます。
- セキュリティーホールを発見→ハッカーが狙う→アップデートで脆弱性を埋める
上記を、ハッカーとWordPressの開発とで、いたちごっこを行っているのです。
定期的に情報処理推進機構のサイトを確認する
WordPressでサイトを運用している方は、WordPressの脆弱性に関しては常に情報を取るようにしてください。
情報処理推進機構 のサイトを定期的にチェックした方がいいです。
CMSでセキュリティを強化する
CMSのセキュリティを強化するには、常に最新バージョンにアップデートするというのが基本中の基本です。最新バージョンで最新のセキュリティを保つことを心がけてください。
それ以外は、以下の設定を行うことをオススメします。
- 2段階認証を設定
- 海外からのログインを拒否
2段階認証を設定
CMSを使う場合、ログイン時における2段階認証の設定はマストです。
必ず、2段階認証を忘れずに行ってください。
2段階認証は、Google Authenticatorのアプリを使います。2段階認証を設定すれば、Google Authenticatorをインストールしたスマホを持ってないと、ログインできなくなりますので、いたずらを防ぐことが出来ます。
Joomlaについては、以前のエントリーで2段階認証について書きましたので、よかったら参考にしてください。
WordPressの場合、WordPressに「Google Authenticatorのプラグイン」をインストールします。で、スマホに「Google Authenticatorアプリ」をインストールして、WordPressと連携する設定すればいいのです。
海外からのログインを拒否
海外からのIPアドレスからログインできないように設定します。
ハッキングは圧倒的に、海外IPからの攻撃が多いですからね。
Xserverならば、管理画面から簡単に設定が可能です。
まとめ
WordPressのアップデートは、多少のプログラムについての知識があった方がいいです。プログラムの基礎が分からないと、何かあった時に修正ができませんからね。
あまりプログラムについての知識はないけど、WordPressでウェブサイトを運用している場合、サイトの「データのバックアップ」と「データベースのバックアップ」を取ってから、WordPressのアップデートを行います。
バックアップさえ取っておけば、ウェブサイトに不具合が出て動かなくなったとしても、バックアップを戻せば復活しますからね。
WordPressのアップデートについて不安という方や、商売でウェブサイトを持っているならば、ウェブの運用はプロに任せた方がいいですよ。
ナレッジ