WordPressを使ってウェブサイトを構築されている皆さん、2017年2月に155万サイト以上が改ざん被害にあったことを覚えていますでしょうか?
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
先月、世界で155万サイト以上、日本国内においても多数のウェブサイト改ざんの被害が相次ぎました。
このターゲットとなってしまったのは、オープンソースで開発されているCMS(Content Management System)の1つであるWordPressです。
日本国内においても非常に多く使われています。
このWordPressが、その時の最新バージョンである4.7.2(現在は4.7.3)に更新されていれば被害は防ぐことができたわけですが、残念ながら最新バージョンにアップデートされていなかったサイトが多数あったようです。
自動更新機能の停止
個人的に作られているブログサイトなどを除き、企業などの事業者がWordPressで構築されたサイトを公開している場合、そのサイトはウェブ業者などによってカスタマイズされています。
そして、カスタマイズされたWordPressサイトにおいては表示や動作の問題が起きないよう、WordPressのアップデートを自動的に行ってくれる自動更新機能を停止させていることが多くあります。
つまり、カスタマイズしたWordPressサイトにおいて新しいバージョンを適用しても問題がないことを確認してから手動でアップデートを行うようにしてあることが多くあるのです。
この自動更新機能を停止させていることそのものは間違いではありません。
突然アップデートされ、表示や動作に問題が起きてしまうことを考えると、むしろ当然の対処法です。
攻撃はすぐに開始される
セキュリティの脆弱性を狙った攻撃は、脆弱性を修正した情報が公開された数日後程度くらいには開始されます。
実際には、48時間以内に攻撃コードが公開されてしまい、その後に攻撃が急増していくようです。
これを防ぐためには、すぐにテスト環境においてチェックを行い、問題がなければ早急に本番環境もアップデートをすることです。
また、WordPressの管理画面に長期間ログインしていないのであれば、リアルタイムで情報を入手するようにしてください。
これらに関してウェブ業者に任せている場合、アップデートに関することを含めた形でメンテナンス契約を見直してください。
セキュリティへの意識は非常に重要です。
