先月のお話しですが、Wordpress の全バージョンが対象となる XSS の脆弱性がみつかり、その対策バージョンが公開され、同時に更新するよう呼びかけられました。 WordPress 4.3.1公開、3件の脆弱性を修正 対策されたバージョンは以下の通り。 対象バージョン 対策バージョン 3.7 ～ 3.7.10 3.7.11 3.8 ～ 3.8.10 3.8.11 3.9 ～ 3.9.8 3.9.9 4.0 ～ 4.0.7 4.0.8 4.1 ～ 4.1.7 4.1.8 4.2 ～ 4.2.4 4.2.5 4.3 4.3.1 WordPress は、 3.7 以降、マイナーのバージョンアップを自動的に実施するため、発表から１か月以上経過している現在においては、対策バージョンに更新されているサイトがほとんどであろうと思われます。但し「バージョンアップしてレイアウトが変わってしまうのが嫌」などの様々な理由により、マイナーの自動バージョンアップを解除し、古いバージョンで運営されているサイトもちらほらみかけます。ちなみにバージョンは、管理画面で確認できますが、特に設定していない場合、公開されているページの HTMLソースでも確認できます。 早くバージョンアップされることを強く推奨しますが、バージョンアップの自動化を解除しているのであれば、同時にバージョンの表示もしない設定にされることも推奨します。 実は、当事務所の同業他社のサイトが・・・。（＾＾； あと、プラグインもセキュリティ関連のバージョンアップがよくあります。Wordpress の自動更新がデフォルトの場合、プラグインの自動更新は実施されていません。管理者に聞きながらバージョンアップされることを推奨します。 WordPress によるホームページ制作、リニューアル、および上記のようなサイトのセキュリティ関連などはお気軽にと当事務所までご相談ください。他社が制作されたホームページでもOKです。 [mokurenCB]

仕事のご依頼で WordPress を使うことが多々あるのですが、WordPress の言葉を目にする度に思い出すのが「WordPress×ロリポップのページ改ざん」。当事務所のクライアントさまで直接被害を受けたサイトはありませんでしたが、セキュリティについて改めて考えさせられた問題でした。 ページ改ざんの原因のところで。。。 また、wp-config.php のパーミッションが 644 だったことを利用して、設置されたスクリプトによりデータベースの接続情報の取得がおこなわれ、データベース上のデータの書き換えが可能な状態となっておりました。 実施した対策のなかで。。。 ・未インストールの WordPress の管理者権限を第三者に取得されないための対策 install.php のパーミッションを変更いたしました。 あと。。。 以前より、サーバー上に設置された不特定多数の wp-login.php に対し海外から大量のアクセスが発生していることを検知いたしておりました。 当事務所では、上の wp-config.php，install.php は、パーミッションの変更だけではなく、.htaccess によるアクセス制限も実施しています。また、wp-login.php および関連する wp-admin へのアクセスは可能な限りIPアドレスによるアクセス制限を推奨しています。さらにログインを設定回数失敗した場合は設定時間経過するまでアクセスをNGにするプラグインの設置を行っています。 WordPress は導入も容易で優れたCMSであり、さまざまなサイトで使われています。それ故、狙われやすいシステムでもあります。WordPress を導入しているまたは導入予定である場合、デザインやコンテンツだけではなく、セキュリティについても今一度お考えになることが大切と思います。