マルウェアとは、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称で、コンピュータウイルスやワームなどがある。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

数日前、あるアメリカの企業が公開した『Hacked Website Report 2017』によると、2017年に最もマルウェア感染したウェブサイトには、よく使われるあるCMS（Content Management System / コンテンツマネージメントシステム）が使われていました。

マルウェア感染が最も多かったCMSとは

既にこの時点で気付かれた方も多いでしょう。

WordPress、Drupal、Movable Type、Joomla!、Magento、XOOPSなど、さまざまなCMSが存在していますが、2017年に最もマルウェア感染が多かったのは、WordPressを使って構築されたウェブサイトです。

その割合は、実に83%にも及んでいます。

これに続き、Joomla!の13.1%、Magentoの1.6%となっています。

現在、世界的なCMSのシェアは、

１．WordPress：60%

２．Joomla!：6.4%

３．Drupal：4.6%

４．Magento：2.5%

などとなっていますが、日本におけるCMSのシェアは、WordPressが84.5%という圧倒的な人気の高さとなっています。

さて、この圧倒的な人気を誇るWordPress、使われているサイトが多い分マルウェアに感染する率も高いわけですが、他のCMSに比べてバージョンアップがしっかりしているWordPressへの攻撃が何故ここまで高いのでしょうか？

それは、脆弱性を抱えたままの状態になっているWordPressサイトが多いのでしょう。

WordPressはデフォルト（初期値）でマイナーアップデートは自動で行われる設定になっていますが、メジャーアップデートは自動では行われない設定になっています。

これを長期に放置した場合、脆弱性の塊りのようなサイトになってしまうことにもなります。

『うちは業者に任せてあるから問題ない！』と高を括っている事業者の方、それらすべてが保守契約の中に含まれていますか？

自分勝手に、『そんなものは保守に入っていて当り前！』と思ってはいけませんし、保守契約をしていないのであれば当然それは行われません。

これらを念頭に置き、今一度自社（自店）のウェブサイトがどのような状況になっているかをチェックしてみることをお勧めします。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

WordPressを使ったウェブサイトで、マイナーアップデートの自動更新機能をオンにしている方（デフォルトはオン）は普段気にされないかもしれませんが、今回は気にする必要性があります。

※　デフォルトでの設定は、マイナーアップデートはオン、メジャーアップデートはオフです。

WordPressのバックグラウンド更新サポートにバグ（不具合）が出てしまいました。

WordPress4.9.3で見つかった嫌な不具合

WordPressは現在、4年程前のバージョン3.7からサポートされたマイナーアップデートの自動更新機能がデフォルトで備わっているため、通常であればバグ（不具合）修正やセキュリティメンテナンスを自動で更新してくれます。

しかし、昨日リリースされた『WordPress4.9.3』にて、自動バックグラウンド更新をサポートするサイトが自動的に更新されないというバグ（不具合）が出てしまいました。

それにより、管理画面にログインして『WordPress4.9.4』に手動で更新する作業が必要になります。

これを行わなかった場合はどうなるのか？

WordPress4.9.3のバージョンでストップしたまま、その後はバグ（不具合）修正もセキュリティメンテナンスも適用されないことになります。

これを放置しておくと脆弱性をつかれてしまう可能性も出てくることになりますので、今直ぐ『WordPress4.9.4』へ手動で更新した方が良いでしょう。

万が一のため、データベースなどのバックアップを予め行ってから実施されることをお忘れなく。

保守管理をウェブ制作業者さんにお任せされている方はウェブ制作業者さんにご確認を。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の昨日、WordPressの更新版であるWordPress4.9.1が公開されました。

今日はそのニュースをお伝えします。

WordPress3.7以降すべてのバージョンに影響

WordPressのニュースを見ると、以下のことが書かれています。

WordPress 4.9.1 is now available. This is a security and maintenance release for all versions since WordPress 3.7. We strongly encourage you to update your sites immediately.

（WordPress 4.9.1が利用可能になりました。これは、WordPress 3.7以降のすべてのバージョンのセキュリティおよびメンテナンスリリースです。すぐにサイトを更新することを強くお勧めします。）

WordPress versions 4.9 and earlier are affected by four security issues which could potentially be exploited as part of a multi-vector attack. As part of the core team’s ongoing commitment to security hardening, the following fixes have been implemented in 4.9.1:

（WordPress Ver.4.9以前は、マルチベクトル攻撃の一環として潜在的に悪用される可能性がある4つのセキュリティ問題の影響を受けます。セキュリティ強化に対するコアチームの継続的な取り組みの一環として、4.9.1に次の修正が実装されました。）

１．Use a properly generated hash for the newbloguser key instead of a determinate substring.

（確定された部分文字列の代わりに、正しく生成されたハッシュをnewbloguserキーに使用します。）

２．Add escaping to the language attributes used on html elements.

（html要素で使用される言語属性にエスケープを追加します。）

３．Ensure the attributes of enclosures are correctly escaped in RSS and Atom feeds.

（エンクロージャの属性がRSSフィードとAtomフィードで正しくエスケープされていることを確認してください。）

４．Remove the ability to upload JavaScript files for users who do not have the unfiltered_html capability.

（unfiltered_html機能を持たないユーザーのJavaScriptファイルをアップロードする機能を削除します。）

WordPressのデフォルトではメジャーアップデートは自動的には更新されません。

早めに今回のWordPress 4.9.1に更新をされることをお勧めします。