TOP >  IT・保守サポートの日誌(毎週更新) > 【6月第3週】WordPressプラグインの脆弱性対策はお済みですか?

【6月第3週】WordPressプラグインの脆弱性対策はお済みですか?

[`evernote` not found]
このエントリーをはてなブックマークに追加
LINEで送る

WordPressプラグインの脆弱性対策はお済みですか?

 
今年2月にWordPressの脆弱性を狙った大規模なサイバー攻撃(ホームページの改ざん)が多発しましたが、ここ最近WordPressのプラグインにおける脆弱性が多く発覚しております。あらためての注意喚起ということで、今週はWordPressの脆弱性に関する話題です。

 
【2月第2週】相次ぐWordPress改ざん被害と対策
https://www.e-cts.jp/2n22017_wordpress_security/

 

プラグインの脆弱性にも注意

 
2月に起こった大規模サイバー攻撃はWordPress自体の脆弱性を突いたものでした。この脆弱性に対するアップデートが発表され、それをすぐ適用したホームページへの被害は少ないものでした。しかし、アップデートを行わず放置していたホームページのいくつかは残念ながら改ざん被害に遭ってしまったところも少なくありませんでした。
 
ただ、WordPressには「プラグイン」とよばれる、サイトにさまざまな機能を付加・拡張するために追加するプログラムがあります。このプラグインも日々アップデートを繰り返しているわけですが、WordPress本体のみならずここにも脆弱性は存在します。
 
以下、ここ最近にニュースになったWordPressプラグインの脆弱性に関するニュースをいくつかご紹介します。
 
プラグイン名:Event Calendar WD
クロスサイトスクリプティング(XSS)の脆弱性が判明しました。脆弱性を悪用されると、ブラウザ上で任意のスクリプトを実行されるおそれがあります。→ アップデートで改善。

『WordPress向けカレンダープラグインにXSSの脆弱性』
(出典:2017年06月20日 Security NEXT記事より)

 
プラグイン名:WP Job Manager
アクセス制限不備の問題が存在します。ウェブサイトにログインしていない遠隔の第三者によって、画像ファイルをアップロードされ、ウェブサイトが改ざんされる可能性があります。→ アップデートで改善。

『WordPress 用プラグイン「WP Job Manager」におけるアクセス制限不備の問題について』
(出典:2017年6月15日 情報処理推進機構より)

 
プラグイン名:WP-Members
クロスサイトスクリプティング(XSS)の脆弱性が含まれていることが判明しました。脆弱性を悪用されると、ログインしているユーザーがウェブブラウザ上でスクリプトを実行されるおそれがあります。→ アップデートで改善。

『WordPress向けメンバー管理プラグインにXSSの脆弱性』
(出典:2017/06/14 Security NEXT記事より)

 
もし、上記プラグインをご利用の場合は、WordPressのバージョン対応を確認のうえで、速やかにアップデートを行いましょう。
 

WordPress本体のアップデート

 
ちなみに、WordPress本体に関しては、6月8日に「WordPress 4.8“エバンス”」への大幅アップデートが行われています。機能的なアップデートもありますが、当然何らかの脆弱性に対する改善もされているものです。やはりこちらもアップデートをするのが望ましいでしょう。
 
ただ、今回のような大幅アップデートの際には以下の注意も必要です。
 
WordPress自体がアップデートされた場合、プラグインなどがWordPress最新版に対応していないということがまれにあります。大抵の場合はWordPressのバージョンが変わってもそのまま使えますが、プラグインが機能しなくなる場合も極稀にあります。念のためプラグインが対応しているWordPressのバージョンを確認してからアップデートを実行することをおすすめします。
 
また、使用しているテーマがWordPressにあわせてアップデートされた場合、普段デフォルトテーマにカスタマイズを施して使っていると、アップデート時に上書きされてせっかくカスタマイズした設定がすべて元にもどってしまうといったこともあります。その際は新しいバージョンのテーマに改めてカスタマイズを施すなどの必要があります。
 
このように、アプデート時の問題も往々にして考えられますので、アップデートをかける前にはしっかりとバックアップをとるなどの対策も必要です。アップデートはできるだけこまめに処理していくのが良いですが、作業に不安があるなどの場合には、無理せずプロに任せるという選択もよいでしょう。
 

>> シーティーエスは社内PCやネットワークのセキュリティ対策もしっかりサポートいたします

 
*********

弊社では、保守サービスやサポートに関する
facebookページを立ち上げています。
 
セキュリティの問題や脆弱性の情報を
毎日ピックアップして掲載しておりますので
よろしければお立ち寄りください。
 
ITサポート&サービス情報局【CTS】facebookページ
http://www.facebook.com/ITsupport.service
 
今週も「IT・保守サポートの日誌」をお読みいただき、
ありがとうございました。
 
シーティーエス株式会社 ブログ担当スタッフより

banner_siryou

「ホムテル3G」の製品情報および修理に関しましてはこちら

CTSストア

資料請求

よくあるご質問

お客様の声

トピックス

  • 2019.8
    「CTSストア」(Yahoo!ショッピング)を開設しました
  • 2018.11
    「アローレ八王子ドローンフィールド」をオープンしました
  • 2018.2
    成長企業の新たな刻みを伝えていくメディア「Next Page」に、代表取締役 森田のインタビューが掲載されました
  • 2018.1
    空撮歴15年の有限会社KELEK様と、ドローンを使用した撮影、測量、点検業務において業務提携をいたしました。
  • 2017.9
    ドローン各種保守・業務支援サービスを開始しました
  • 2017.3
    日本の中小企業を元気にするためのサイト「オンリーストーリー」に、代表取締役 森田のインタビューが掲載されました
  • 2016.8
    環境省「FunToShare」に賛同・参加しました
  • 2016.5
    厚生労働省「イクメンプロジェクト」に賛同・参加しました
  • 2015.11
    『IT・保守サポート豆知識』ページを開設しました
  • 2014.09
    ホームページをリニューアルしました
  • 2014.09
    資本金を1000万円に増資
  • 2014.03
    『お客様の声』ページの掲載を始めました
  • 2013.06
    『IT・保守サポート用語集』ページをリニューアルしました
  • 2013.04
    『キッティング自動化ツール「SetROBO」』の販売代理店となりました
  • 2013.03
    『システム延命サービス』の販売代理店となりました
  • 2012.12
    採用情報の掲載を始めました
  • 2012.09
    おかげさまで創立3周年を迎えました
  • 2012.07
    東京都千代田区神田に営業所を移転
  • 2011.06
    facebookページ『ITサポート&サービス情報局』を開設
  • 2011.03
    次世代型顧客獲得ツール『Navigator』の販売代理店となりました
    アプライアンスサーバーの24時間365日オンサイト保守を受託
  • 2010.09
    東京都中央区築地に営業所を開設
  • 2010.05
    NASシステムの24時間365日オンサイト保守を受託
  • 2010.04
    ロジテック株式会社が運営する『データ復旧サービス』のサービスパートナーとなりました
  • 2010.03
    大手ハードウェアメーカーのPOSコールセンター業務を受託
  • 2010.02
    全国寿司チェーン店のタッチパネルPC設置業務を受託
  • 2010.01
    デジタルビジネス協同組合、システムサポート委員会の委員長に就任
  • 2009.12
    デジタルビジネス協同組合に加盟
    八王子商工会議所に加盟
  • 2009.09
    ホームページを開設
Copyright© 2009 シーティーエス株式会社, All Rights Reserved.