WordPressを使ってウェブサイトを構築されている皆さん、2017年2月に155万サイト以上が改ざん被害にあったことを覚えていますでしょうか?

CYBER EYE

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先月、世界で155万サイト以上、日本国内においても多数のウェブサイト改ざんの被害が相次ぎました。

このターゲットとなってしまったのは、オープンソースで開発されているCMS(Content Management System)の1つであるWordPressです。

日本国内においても非常に多く使われています。

このWordPressが、その時の最新バージョンである4.7.2(現在は4.7.3)に更新されていれば被害は防ぐことができたわけですが、残念ながら最新バージョンにアップデートされていなかったサイトが多数あったようです。

自動更新機能の停止

個人的に作られているブログサイトなどを除き、企業などの事業者がWordPressで構築されたサイトを公開している場合、そのサイトはウェブ業者などによってカスタマイズされています。

そして、カスタマイズされたWordPressサイトにおいては表示や動作の問題が起きないよう、WordPressのアップデートを自動的に行ってくれる自動更新機能を停止させていることが多くあります。

つまり、カスタマイズしたWordPressサイトにおいて新しいバージョンを適用しても問題がないことを確認してから手動でアップデートを行うようにしてあることが多くあるのです。

この自動更新機能を停止させていることそのものは間違いではありません。

突然アップデートされ、表示や動作に問題が起きてしまうことを考えると、むしろ当然の対処法です。

攻撃はすぐに開始される

セキュリティの脆弱性を狙った攻撃は、脆弱性を修正した情報が公開された数日後程度くらいには開始されます。

実際には、48時間以内に攻撃コードが公開されてしまい、その後に攻撃が急増していくようです。

これを防ぐためには、すぐにテスト環境においてチェックを行い、問題がなければ早急に本番環境もアップデートをすることです。

また、WordPressの管理画面に長期間ログインしていないのであれば、リアルタイムで情報を入手するようにしてください。

これらに関してウェブ業者に任せている場合、アップデートに関することを含めた形でメンテナンス契約を見直してください。

セキュリティへの意識は非常に重要です。

Ads

この記事を書いた人

  • 業務コンサルタント高橋晋吾
  • 1968年生 愛知県名古屋市出身 会計・給与・販売購買在庫・税金系などの業務システムを製造・販売する某上場企業の出身で、会計・IT・WEBを中心とした業務改善などを行う業務コンサルタント
  • 中小企業庁『ミラサポ』登録専門家/あいち産業振興機構登録専門家/名古屋産業振興公社登録専門家
  • (Publisher:TRILOGYFORCE.COM)

この記事をシェアする

  • Facebookにシェア
  • はてなブックマークにシェア
  • LINEにシェア

関連記事

お問い合わせ

お悩み・問題・課題を今すぐご相談ください。お問い合わせはこちら

ページのトップへ戻る