【2月第2週】相次ぐWordPress改ざん被害と対策
https://www.e-cts.jp/2n22017_wordpress_security/

 

プラグインの脆弱性にも注意

 
2月に起こった大規模サイバー攻撃はWordPress自体の脆弱性を突いたものでした。この脆弱性に対するアップデートが発表され、それをすぐ適用したホームページへの被害は少ないものでした。しかし、アップデートを行わず放置していたホームページのいくつかは残念ながら改ざん被害に遭ってしまったところも少なくありませんでした。
 
ただ、WordPressには「プラグイン」とよばれる、サイトにさまざまな機能を付加・拡張するために追加するプログラムがあります。このプラグインも日々アップデートを繰り返しているわけですが、WordPress本体のみならずここにも脆弱性は存在します。
 
以下、ここ最近にニュースになったWordPressプラグインの脆弱性に関するニュースをいくつかご紹介します。
 
プラグイン名：Event Calendar WD
クロスサイトスクリプティング（XSS）の脆弱性が判明しました。脆弱性を悪用されると、ブラウザ上で任意のスクリプトを実行されるおそれがあります。→ アップデートで改善。

『WordPress向けカレンダープラグインにXSSの脆弱性』
（出典：2017年06月20日　Security NEXT記事より）
 
プラグイン名：WP Job Manager
アクセス制限不備の問題が存在します。ウェブサイトにログインしていない遠隔の第三者によって、画像ファイルをアップロードされ、ウェブサイトが改ざんされる可能性があります。→ アップデートで改善。

『WordPress 用プラグイン「WP Job Manager」におけるアクセス制限不備の問題について』
（出典：2017年6月15日　情報処理推進機構より）
 
プラグイン名：WP-Members
クロスサイトスクリプティング（XSS）の脆弱性が含まれていることが判明しました。脆弱性を悪用されると、ログインしているユーザーがウェブブラウザ上でスクリプトを実行されるおそれがあります。→ アップデートで改善。

『WordPress向けメンバー管理プラグインにXSSの脆弱性』
（出典：2017/06/14　Security NEXT記事より）
 
もし、上記プラグインをご利用の場合は、WordPressのバージョン対応を確認のうえで、速やかにアップデートを行いましょう。
 

WordPress本体のアップデート

 
ちなみに、WordPress本体に関しては、6月8日に「WordPress 4.8“エバンス”」への大幅アップデートが行われています。機能的なアップデートもありますが、当然何らかの脆弱性に対する改善もされているものです。やはりこちらもアップデートをするのが望ましいでしょう。
 
ただ、今回のような大幅アップデートの際には以下の注意も必要です。
 
WordPress自体がアップデートされた場合、プラグインなどがWordPress最新版に対応していないということがまれにあります。大抵の場合はWordPressのバージョンが変わってもそのまま使えますが、プラグインが機能しなくなる場合も極稀にあります。念のためプラグインが対応しているWordPressのバージョンを確認してからアップデートを実行することをおすすめします。
 
また、使用しているテーマがWordPressにあわせてアップデートされた場合、普段デフォルトテーマにカスタマイズを施して使っていると、アップデート時に上書きされてせっかくカスタマイズした設定がすべて元にもどってしまうといったこともあります。その際は新しいバージョンのテーマに改めてカスタマイズを施すなどの必要があります。
 
このように、アプデート時の問題も往々にして考えられますので、アップデートをかける前にはしっかりとバックアップをとるなどの対策も必要です。アップデートはできるだけこまめに処理していくのが良いですが、作業に不安があるなどの場合には、無理せずプロに任せるという選択もよいでしょう。
 

＞＞ シーティーエスは社内PCやネットワークのセキュリティ対策もしっかりサポートいたします

 
＊＊＊＊＊＊＊＊＊