WEBデザイン制作・パンフレットデザイン制作
facebookrss

NETA

コラム

2017

2/16

WordPress 4.7.0、4.7.1 の深刻な脆弱性

WordPress脆弱性の問題

 
ここ数年、インターネット上におけるウェブサイトのセキュリティは、年々、その重要度を増しています。ウィルス感染によるウェブサイトの改ざん、個人情報の漏洩などなど、 ネットが世界を便利にするかわりに、セキュリティの強化をしないと、様々なリスクに見舞われる時代に突入しています。
 
そんな中、昨今では、自分でブログなどを更新できる便利な機能を搭載したWordPress(ワードプレス)でのウェブサイト構築が主流となっています。
 
当社のウェブサイト制作も、現在では、ほぼ100%の方々が、WordPressでのウェブサイト制作を選択されるようになりました。機能性、デザイン性、ユーザビリティにも優れた、高機能のウェブサイトであることは間違いありません。
 
WordPressの優れた点はいくつかありますが、 中でもブログ機能の搭載と、スマホ・タブレットに対応しているという2点が特に優れています。一昔前は、オリジナルブログを作るのに、数十万~数百万という時代がありました。しかし、今はオフィシャルサイトの一環として搭載できます。さらに、スマホ・タブレット対応も同様です。昔は、 携帯専用サイトの構築が必要だったのに対し、現在では、パソコン用のウェブサイトを一つ作るだけで、自動的にスマホに対応したレイアウト表示になります。これは、実に画期的な技術です。
 
ここまで説明した後でなんですが、『WordPress』という言葉が耳慣れない方に簡単に少し説明いたします。
 
WordPressは、PHP言語というプログラムで構築されています。特別な技術や知識がなくても、簡単にブログやフォトギャラリーなどが更新・投稿でき、常にフレッシュな情報を社内で管理更新できるという簡便さから、全世界の1/4のサイトが、このWordPressで作られていると言われています。
 
しかし、このWordPress。
プログラムでできているため、定期的なバージョンアップが必要になります。 スマホのOSも同じですよね。セキュリティの強化をするために、常に最新バージョンにしておく必要があります。
 
世の中の悪名高きハッカーたちは、常にプログラムの脆弱性をついてきます。それに対し、プログラム提供側は、この脆弱性をカバーするような改修を余儀なくされます。現在では、 こんなハッカーたちとプログラム提供者との、イタチごっこが繰り広げられています。それを、きちんと理解しておくことが必要です。
 
常に、ウイルス感染のリスクにさらされている昨今、個々がセキュリティを強化しなければならない時代です。バージョンアップに気をつけて、 上手に運用していかなければなりません。
 
関連記事:
WordPressサイトの改ざん被害は150万件超に 「最悪級の脆弱性」
WordPress の脆弱性対策について

 

WordPress 4.7.0、4.7.1は注意が必要です

 

さて、長々とWordPressの説明に費やしてしまいましたが、ここからが本題です。

実は現在、WordPressにおいて深刻な問題が発生しています。

ある特定のバージョンにおいて強烈な脆弱性が認められ、そこを狙ったアタックが横行し、ウェブサイトの改ざんが発生しているのです。その被害は、150万件(サイト)と報道されています。IPA 独立行政法人 情報処理推進機構では、これらの危険性を説明し、ただちにバージョンアップを行うよう注意喚起しております。
こちら

それでは、誰がどのように危険なのか、要点を下記にお知らせいたします。必ず、WordPressでウェブサイトを構築しているお客様は、現在のご自身のバージョンを確認し、対処することが必要です。

<対象 WordPress バージョン>
WordPress 4.7.0、4.7.1
 
<影響>
脆弱性を突かれてサイトの改ざんが行われてしまう
 
<対処法>
4.7.2(2017/1/26リリース)へのバージョンアップ

 

サイトの改ざんとは?

 
それでは、ここで問題となっている『サイトの改ざん』についてご説明いたします。
 
ここでいうウェブサイトの改ざんとは、勝手に(他人に)悪意をもって改変されるということです。
 
突然、サイトに意味不明なテキストが書き込まれたり、サーバ内に意味不明なファイルがアップされます。すると、突然、貴社のウェブサイトが不完全な状態になったり、サイト閲覧者にウイルスを感染させたりします。最悪なのは、 そうなるとGoogle側からペナルティをうけ、一時的にウェブサイトが開かなくなることです。
 
ウィルス感染などを起こしたウェブサイトは、Google側に危険なサイトと判断されてしまうのです。その間、ウェブサイトが表示せず、自社の売上にも響くでしょう。
 
さらに困ったことに、Googleのペナルティは、サイトを正常な状態に戻すまで解禁されません。ここが一番大変な事態なのです。 小さな改ざんであれば、部分的に改修すれば問題は小さくてすみますが、大きく改ざんされた場合は、データを過去のバックアップに戻さなければならないケースもあります。
 
この場合、バックアップをとっていない方は、さらに深刻です。WordPressの場合、意図的にバックアップをとらない限りは、 過去のデータに戻ることはできません。常に新しいデーターベースで情報が書き換わるからです。ウィルス感染によるウェブサイトの改ざんから守るためにはバージョンアップ、そして万が一改ざんが起こってしまったことを想定し、バックアップをすること、この2つの対処法が重要です。一度こういうことが起こった時のサイト復旧には、数万~数十万かかります。ここは、とても重要なので必ず覚えておいて下さい。
 

 

現在のバージョンを確認

 
では、今すぐ何をすればいいのかをお伝えいたします。
 
まずは、WordPressでウェブサイトを構築している方は、ご自身のウェブサイトのバージョンを確認してください。通常、制作業者さんが管理しているので確認すると良いでしょう。メンテナンスも含めて契約されている方は業者さんがやってくれていると思いますが、念のために確認した方がいいかもしれません。また、ご自身で管理している場合は、管理画面のダッシュボードで確認できます。
 
その際、バージョンが4.7.0および4.7.1の方は、速やかに最新バージョンである4.7.2にグレードアップする必要があります。
 
管理を業者さんに任せている人は、業者さんに『自社のサイトのバージョンは大丈夫ですか?』と尋ねれば、 ちゃんとしている業者さんであればきちんと応えてくれるはずです。(逆に、WordPressで作っておきながら、答えられない業者さんは要注意です)
 
ちなみに、当社のお客様に関しましては、全サイトのバージョンをすでに確認し、該当バージョンのお客様はいない事を確認しています。
 
また、当社ではお客様ご自身でのバージョンアップは避けていただいております。まれに、バージョンアップにより微細な不具合が生じる場合があるからです。その場合、細かな不具合であれば、すぐ当社が対応できます。お客様ご自身が直すことは、ほぼ不可能です。 そういう意味においても、当社ではバージョンアップは有償で行わせていただいております。(1回につき、5,000円)
 
もしも、他社で制作されていて、業者さんが対応してくれない場合などがございましたら、当社にて対応出来る場合もございますのでお気軽にご相談ください。今回の『4.7.0および4.7.1の脆弱性』は深刻なものです。対応しない限り、 何度も何度もアタックされつづけます。

保守パックのすすめ

 
ちなみに当社では、日常的なWordPressのセキュリティを考えて、お得な定期的な保守パックサービスをご用意しています。今回のようなイレギュラーな深刻な問題が生じた時には、当社の判断で、速やかにバージョンアップとバックアップを遂行するサービスです。さらに、 パック料金になっているので料金もお得になっています。保守パックサービスに加入していないお客様は、この機会にご加入をご検討ください。

<保守パックに含まれるサービスと価格>
 
(1)ヘルプデスク(12ヶ月)
マニュアルに記載されている範囲内で無制限の電話サポート。
通常 @1,000円×12ヶ月=12,000円
 
(2)ヴァージョンアップ(3回分)
 
各種細かい不具合対応含む
通常 @5,000円×3回=15,000円
 
(3)バックアップ(6回分)
 
エクスポートでデータのバックアップ。
通常 @3,000円×6回分=18,000円
 
合計 45,000円 ⇒ パック料金 30,000円(15,000円お得!!)

 

セキュリティは自己責任

 
最後に、重要な事を述べさせていただきます。ここが最も重要な所ですので、必ずご一読下さい。

今回のバージョンアップを行うのも見送るのも、お客様の任意となります。

ただし、万が一、改ざんなどが起こった際の改修費用は、状況によって数万円~数十万になる可能性があります。たった1回のバージョンアップを見送っただけでも、ものすごいリスクが高まることをご認識いただければと思います。

ネット上のセキュリティは自己責任で行うことが重要です。常に、これらのリスクを下げるための努力を惜しむことなく、上手くインターネットと付き合っていきたいものです。

販売促進のネタ

2018

9/14

「Google Maps API」を使う場合はAPIキーが必須です   普段から大変お世話...

詳細を見る
詳細を見る

2018

9/06

先日の「販促のネタ」コラムにて、『常時SSL化の必要性』について書きました。   こちらの...

詳細を見る
詳細を見る

2018

9/05

印刷業界においても、数年前から価格破壊が起こり、ネット通販で格安印刷できるサービスが乱立しています。...

詳細を見る
詳細を見る

2018

8/21

中小企業にウェブサイトは必要不可欠   当社では、会社を立ち上げる(起業)際に必要な、販促...

詳細を見る
詳細を見る

2018

8/17

当社では、様々な紙媒体のデザイン制作・印刷を承っておりますが、ときどき、制作+印刷のみならず、その後...

詳細を見る
詳細を見る

2018

7/25

  『初めてパンフレットを作成するので、分からない』という方々からのご質問で、特に多いのが...

詳細を見る
詳細を見る

2018

6/25

  <目次> 1.Googleが『HTTPS』のサイトを良質と判断しています 2.そもそも...

詳細を見る
詳細を見る

2018

6/06

※以下、ブログ記事は、いかなる理由においても無料複製・転載を禁じます。   前回、『医療広...

詳細を見る
詳細を見る

2018

5/09

子どもがなりたい職業と親世代のギャップ   毎年、子どもの教育に携わる機関から、『子どもが...

詳細を見る
詳細を見る

2018

4/18

中小企業の倒産で一番多い原因は、販売不振   企業活動の中で、最も重要であり、かつ譲れない...

詳細を見る
詳細を見る

2018

3/12

※以下、ブログ記事は、いかなる理由においても無料複製・転載を禁じます。 今年(2018年)6月より医...

詳細を見る
詳細を見る

2018

3/09

2018年の幕開けから、あっという間に2ヶ月が過ぎ、そして3月に入りました….季節はすっ...

詳細を見る
詳細を見る

2018

1/18

※本コラムは、当社の顧客へのメールマガジンの内容を一部編集して公開しています。   横浜デ...

詳細を見る
詳細を見る

2017

12/20

20年間、脱下請け   最近、あるメディアで経営コンサルタントの浜口隆則さんという方を知り...

詳細を見る
詳細を見る

2017

10/31

週休3日制をはじめました   実は当社では、今年の8月の末より平日の金曜日をお休みにし、週...

詳細を見る
詳細を見る