書籍「いちばんやさしいGoogleビジネスプロフィールの教本」

Joomla3.6.4へアップデートして脆弱性に備える!

Webサイト制作

Joomla3.6.4がリリースされました。

Joomla! 3.6.4 Released

Joomla3.4.6から3.6.3を使っている方は、大至急Joomla3.6.4へアップデートしてください。2つの脆弱性、2段階認証の不具合が修正されます。

オープンソースのコンテンツ管理システム(CMS)「Joomla!」の深刻な脆弱性に対処する更新版が10月25日付で公開された。Joomla!を使っているWebサイトは直ちに更新するよう、強く勧告している。

Joomla!によると、更新版の「Joomla! 3.6.4」では2件の深刻な脆弱性を修正したほか、2要素認証に関する不具合にも対処した。

CMSの「Joomla!」に深刻な脆弱性、直ちに更新を

どんな脆弱性が修正されたのか?

Joomla3.6.4へアップデートすることで、以下の2つの脆弱性が改善されます。

  • 第三者に勝手にユーザー登録される
  • ユーザー登録の際、権限が昇格される

勝手にユーザー登録されたり、権限が昇格されてしまうというのは、CMSではあってはならないことです・・

だって、「Administrator権限」「Super User権限」でユーザー登録されたら、サイトのハッキングし放題ですから・・

Joomla3.4.6から3.6.3で起きる不具合です。が、Joomla3.4.6は、2015年12月にリリースされたバージョンなので、10ヶ月近くも放置されてたということになります

Joomlaはこういうところにしっかりと開発リソースを割いていかないと、ユーザーは離れてしまいますよ。

ただでさえWordPressにユーザー奪われてますからね。

第三者に勝手にユーザー登録される

わたくしのJoomlaのテスト用サイトでは、勝手にユーザー登録されてしまいました。

Joomla 勝手にユーザー登録

管理者に登録しているメールアドレスに連絡が来ましたが、迷惑メールに入っていたので気がつきませんでした。

修正にはJoomla3.6.4へアップデートする以外に方法はないので、すぐにでもアップデートしてください。

CVE-2016-8870

ユーザー登録の際、権限が昇格される

わたくしのテストサイトでは、Administrator権限でユーザーが登録されました。

ユーザー登録の許可は「いいえ」になっているし、ゲストユーザーグループは「Guest」です。
それがAdministrator権限でユーザーを作られてしまうって、CMSとして致命的ですよね。

CVE-2016-8869

2段階認証の不具合

2段階認証の不具合は、アップデートした後に起こる問題です。

Joomla3.6.4へアップデートすると、2段階認証のセキュリティコードを入力してもエラーが出てログインできません。2段階認証は、Joomlaの標準装備の機能なので、アップデートしただけでエラーが出てログインできないというのは絶対にダメ。

この場合の解決方法は、2段階認証のセキュリティコードは何も入力せずに、IDとパスワードのみでログインしてください。なぜかログインできますので・・

その後、2段階認証を再設定すればOKです。

「ユーザー登録の許可」を「いいえ」に設定変更

Joomlaは、デフォルトのままだと、フロントエンドから第三者が勝手にユーザー登録できる仕様になっています。なので、Joomlaでサイト制作する場合、この設定を変更することは、基本中の基本です。

元々、Joomlaは、会員登録をするような大規模サイトの構築ツールだったので、こういう仕様になっているんですよね。でも、第三者が勝手にユーザー登録できるのがデフォルトって、最悪な仕様ですよね・・・

Joomlaでサイト構築をする場合、この点は真っ先に変更することをオススメします。

↓「ユーザー登録の許可」を「いいえ」に設定変更する方法を紹介します。

1. ユーザーアカウントに入る

Joomla管理画面で、「ユーザー → 管理」をクリックし、「ユーザー」画面を開きます。

Joomla ユーザー

2.画面右上の「オプション」をクリック

右上にある「オプション」をクリックします。

Joomla オプション

3.「ユーザー登録の許可」を「いいえ」に

「ユーザー登録の許可」を「いいえ」に変更して、左上の「保存」をクリックします。

ユーザー登録の許可

Joomlaの脆弱性

最近、Joomlaの脆弱性をついた攻撃で、不具合が多発しています。

わたしのクライアントのサイトは、マメにアップデートしていることもあり、被害にあったり不具合が生じたことはありません。

ところが、知り合いのウェブ制作会社から、第三者によるクラックにより、Joomlaサイトに被害を受けたという話を何件か聞いたことがあります。

Joomlaの脆弱性を付いた攻撃や不具合を、時系列で見ていきましょう。

↓2015年12月 バックドアを仕込まれる

Joomlaに深刻な脆弱性!アップデートは必須です
ここ数日間で、Joomlaの脆弱性をついた攻撃がめちゃくちゃ増えています。 Joomla 3.4.6以前のバージョンを使っている方は、軒並みやられています。 Joomla!の「ゼロデイコード実行脆弱性」はPHPの既知の脆弱性が原因 レンタル...

米Symantecによれば、現在も脆弱性が修正されていないサーバが多数存在しており、こうしたサーバを探索してバックドアを設置する攻撃を確認。同社が検知した「Joomla!」に対する攻撃は、12月16日以降、1日あたり平均1万6600件にのぼるという。

流通している悪用コードは、スキルがなくても比較的容易に攻撃へ利用できると分析。攻撃を受けたサイトは、エクスプロイトキットへのリダイレクトに悪用されていた。これ以外にも、マルウェアの配布や、DDoS攻撃の踏み台、情報漏洩といったリスクがあると同社は指摘している。

↓2016年3月 ファイルの改ざん

Joomlaのサイトの、以下のファイルを改ざんされるという被害が多発しました。

  • /includes/defines.php
  • /administrator/includes/defines.php
WordPress や Joomla でファイルの改ざん・・CMSのシェアもあり
ここ2週間、WordPress や Joomla などで、CMSの構成ファイルの改ざんが行われています。 PHPファイルが改ざんされると、閲覧者のブラウザに不正なコードが挿入されてマルウェアに感染してしまいます。 かなり被害は拡大しているの...

不正なPHPコードを取り除く

上記のファイルに、

「//istart」から「//iend」に挟まれた不正なPHPコードが挿入されていたらすぐに取り除いてください。全部削除します。

JPCERTコーディネートセンターの画像が分かりやすいので拝借すると、↓

不正なPHPコード

↓2016年10月 Joolma3.6.2へアップデートした際の不具合

以下のエラーが出ました。

  • 「インストールプラグインが有効になっていません。」というエラーが出た
  • joomla input.php on line 141 というエラーが出た

修正方法は、以前のエントリーに詳しく書きましたので、参照してくださいね。

Joomla 3.6.2 へアップデートしたら不具合が出た・・・
Joomla 3.6.2 へアップデートしたら、不具合が出たので、解決方法をお話します。 サイト構築する場合、CMSならばWordPressを使う人が圧倒的に多いです。5年くらい前まではJoomlaのシェアも結構高かったんだけど、今はWor...

なぜJoomlaの脆弱性をついた攻撃が続くのか?

Joomlaの開発リソースが低いことが原因です。

これはJoomlaのシェアが低いことも影響しています。Joomlaのシェアは僅か5.4%だもん。

CMSシェア Alexa

  • WorePress 71.4%(59.1% + 12.3%)
  • Dual 6.1%
  • Joomla 5.4%
  • Blogger 3.4%
  • vBulletin 2%

まとめ

Joomlaの脆弱性をついた攻撃は、この1年間で繰り返し行われています。

Joomlaでサイト構築を行っている方は、随時アップデートを行うようにしてください。

日本語によるWordPressの情報ならばたくさんありますが、Joomlaの情報は少ないので、定期的に発信していこうと思っています。

Joomlaでサイト構築している方は、2段階認証も必ず行ってくださいね。

Joomlaで2段階認証を設定する
Joomlaを使ってサイト運営している方は、必ず管理画面へのアクセスに2段階認証を掛けるようにしましょう。 Joomlaは、「ドメイン/administrator」で管理画面へのログイン画面がでます。サイトの乗っ取りを仕掛けるハッカーは、手...