Column

企業サイトをWordPressで運営する上での脆弱性の発生への対応策 – 緊急編(予定を変更してお送りします)

2014.11.28

WEBサイト制作

企業サイトをWordPressで運営する上での脆弱性の発生への対応策 – 緊急編(予定を変更してお送りします)
前回は企業サイトをWordPressで運営する上での危険性と回避策 - part1(企業サイトじゃなくても大事ですよ) ということで、WordPress全般のセキュリティとWEB改ざんに対策できる方法をご案内いたしました。 今回は、WordPressの要であるデータベースを守るという観点から対策をご紹介できればと思っていましたが、緊急WordPress脆弱性情報が先週入りました。 予定を変更して、2014年11月21日に発表されたWordPress脆弱性に関してご案内できればと思います。

今回この記事を読んでいただきたい対象の方は前回と同じく

  • ■企業WEB担当者
  • ■WordPressブロガー
  • ■WordPress制作者
  • ■WEBサーバ管理者
  • ■今後WordPressを導入してサイトの運営を考えている方

WordPressを使用したサイトでの危険因子BEST3

  • ・WEBページの改ざん
    被害内容:自サイトから悪意のあるサイトへの誘導

  • ・DBの乗っ取り・不正操作
    被害内容:DBを乗っ取られてしまい、DB情報の流出

  • ・管理画面乗っ取り
    被害内容:管理画面に不正アクセスされ、管理情報の流出、不正投稿

  • ※この他にも様々な危険は潜んでいますので、上記危険項目のみ対策すれば必ず安全というわけではありません。

危険因子と戦うための方法DBの乗っ取り・不正操作編の予定でしたが今回は予定を変更してニュースとなったWordPress脆弱性に関して

2014年11月21日にWordPressに関する深刻なニュースが飛び交いました。
http://headlines.yahoo.co.jp/hl?a=20141121-00000010-zdn_ep-sci
YAHOO!ニュースでも取り上げらる位メジャーとなってしまう脆弱性が報告されアップデートが提供されました。
WordPressの脆弱性をついたXSS攻撃を受けるとの内容です。
今回は予定を変更してこのタイムリーなWordPressの脆弱性に関して解説、対策をお話しします。
この記事を読む前にバージョンアップを実施してくださいね。
それが、今回の脆弱性に対しての対策ですので!!
※現在のWordPressのバージョンが古い場合は、特にバージョンアップ後の不具合も考えられるので現ファイルのバックアップを取りデータベースのバックアップも取りに慎重にバージョンアップを実施してください。

  • ・XSS脆弱性とは?
  • ・解決策は?

・XSS脆弱性とは?
クロスサイトスクリプティング脆弱性とは?
<2014-12-05追記>
XSSの詳細はこちらのスライドが丁寧に解説されておりますのでご確認ください。
XSSに関して図解してくださってわかりやすく説明されているIPA 情報処理推進機構による2. クロスサイト・スクリプティングのページをご参照ください。

上記サイトの内容を読んでいただくと詳細・概要がわかると思いますが、簡単に説明させていただきます。 例えば、BLOGとかSNSにコメント機能なんてのありますよね。 
もしくはShopサイトで、レビュー機能なんてのもありますよね。
コメントやレビューはサイトを訪れた人は誰でも書き込みができます。そして、見ることができます。
XSS対策がされていない場合、コメント欄に 


          <script>alert('攻撃可能です うっしっし(;`ー´)o/ ̄ ̄ ̄ ̄~>゚))彡');</script>
と記述をされると”攻撃可能です うっしっし(;`ー´)o/ ̄ ̄ ̄ ̄~>゚))彡”と記述されたポップアップ表示されます。
これがどういう意味かというと、他人が書いたスクリプトプログラムを自身のサイトで実行されてしまうということです。      

      スクリーンショット 2014-11-28 11.04.33

スクリプト実行の何が危険なの?
スクリプトを利用することで、例えばリダイレクト(別のサイトへ飛ばす)させることもできます。
ということは、悪意満載のサイトへ簡単に誘導できてしまうということです。
怖いですね〜。
自分のサイトが、足がかりになってしまうということです。
目に見えてわかるリダイレクトは、まだわかりやすいですが、内部的に気づかないうちに情報が飛ばされている可能性もあります。
例えば、Shopサイトを利用する場合は、ログインや商品を購入する際に、IDやクレジットカード情報を含む個人情報入力しますよね?
悪意のあるスクリプトが埋め込まれたショップサイトでは、情報入力と同時に悪意あるサイトへ入力したパスワードを飛ばされるとか、クレジットカード情報を 飛ばされるとか、そんなことも可能になってしまうということです。
Googleでも予測変換とかありますよね?
Google検索しようとしたら、ちょうど思い描いたキーワードがでてくれたって感動したことはないでしょうか?あの機能もスクリプトによって実現しているんです。Googleには悪意がないですが(と思いますが)、これを悪意のある人間が悪意のあるスクリプトを動かしていたらと思うとぞっとしますよね。

XSSとは攻撃者により自分のサイトに悪意のあるスクリプトを埋め込まれてしまう攻撃のことです。
WEB改ざんといっても過言ではないですね。
XSS(クロスサイトスクリプティング)攻撃が可能な危険性、つまり脆弱性があるということです。
恐ろしいですね。


  • 今回は解決策から:

    以前の記事でも説明しましたがWordPressの最新版を”必ず”使うということです。

    WordPressのバージョンアップに関して http://www.security-next.com/054006こちらのサイトでありますように、
    3件のクロスサイトスクリプティングをはじめ、クロスサイトリクエストフォージェリ、 サービス拒否などあわせて8件の脆弱性を解消。さらに23件のバグを解消したほかセキュリティの強化などを実施

    とのことですので、早急にバージョンアップを実施しておきましょう。
    また、脆弱性が出た後は、未だ対応していないバージョンを狙った攻撃が急増します。
    脆弱性のニュースが出るということは、裏を返せば脆弱性をつく方法が公開されたということです。
    ※現在のWordPressのバージョンが古い場合は、特にバージョンアップ後の不具合も考えられるので現ファイルのバックアップを取りデータベースのバックアップも取りに慎重にバージョンアップを実施してください。
    http://wpdocs.sourceforge.jp/Version_4.0.1 WorpPressからのアップデートの内容と脆弱性に関する報告がありますので、上記サイトをご確認ください。


  • 予防:

    バージョンアップを自動アップデート対応しておく

    これは特に設定は必要ありませんが最新のWordPressを使用して、更新を実施した場合は自動アップデートされる機能が実装されました。
    アップデートが完了するとメールにてサイト管理者へ通知されます。
    WordPressをカスタマイズして使用している場合は、不具合との戦いとなってしまいますが、基本はこの設定を活かして運用するようにしましょう。
    リビジョンをとりながら運用することで取り返しがつかない不具合も戻しつつ、WordPress手動更新も可能なので、やはり、リビジョンバックアップ運用は 大切です。
    Gitでサイトをリビジョン管理しながら運用する環境は必須な時代がきているようです。



  • 対策:

    サイト全体をHTTPS(SSL)環境でサイトを運用する。

    HTTPSサイトにすることで、サーバ間つまりクロスサイト間、またはサーバとクライアント(ブラウザ)間での通信が暗号化することができます。
    SSLで運用することは、サイトを訪れた方を守ることもできますので導入を必須検討事項とするようにしましょう。
    暗号化されるということは、XSS攻撃による個人情報の抜き出しなども、困難となるため安全性が高くなります。

    <2014-12-05追記>
    打ち消した箇所は誤った内容でした。申し訳ございません。

    ログインする必要のあるWordPressではHTTPSでデータの暗号化を行うSSL通信を使うようにしましょう。
    Googleから発表された内容によるとSEOでも優位になるようです。
    弊社のサイトもSSL環境で運用するように変更しました。
    その時のSEOランキングの動向は以前のコラムでもまとめておりますので こちらのリンクよりご参照ください。
    これからのサイトはHTTPSが必須な時代が訪れております。
    SSLの概要に関してはこちらのサイトがわかりやすいですので詳しく理解されたい場合は こちらをご参照ください。
    個人情報を扱う(会員)サイト、ショップサイトなどのログイン、決済などの入力が必要なサイトではHTTPSで運用することは必須ですね。



    サーバプランを見直す(共用サーバの利用を避ける)

    レンタルサーバ(共用サーバ)では、独自ドメイン環境でSSL環境を使えないなどの制約があったりするので、サーバプラン選びも慎重に行うことが大事ですね。
    各サーバ会社様もモダンな開発環境やサーバ環境を提供されていますが、やはりレンタルサーバは同じ建物内に同居している状態となってしまうため、自身が気をつけていても他の住人の方のトラブルが引き金になってしまうことも考えられます。
    また様々なサーバ使用をしているため不具合などの可能性があるので、気軽にOSのアップデート、サーバソフトウェアのアップデートも実施できないのが現実だと思います。
    実際弊社でもメールサーバをレンタルサーバで使用していたのですが、他の共用サーバ内のユーザが迷惑メールを送り続けていた、 もしくは迷惑メール送信のための踏み台になっていたため、迷惑メールとは関係ないドメインなのにお客様のメールサーバで迷惑メール扱いされてしまったということもありました。
    弊社では、レンタルサーバより若干コストが上がってしまいますが、WEBの運用はVPS、専用サーバ、クラウドサーバへ移行することを推奨しております。
    もしサーバのリプレイスにご興味がある場合は弊社のサーバ構築のプランをご参照ください。




今回の脆弱性に関して

  • ・XSS脆弱性とは
    →XSS(クロスサイトスクリプティング)攻撃が可能な危険性つまり脆弱性があるということです。

  • ・解決策は?
    →WordPressを常に最新に保ちましょう。
    →WordPress自動更新機能を利用しましょう。バックアップもとりましょう。

WordPressの脆弱性に関してのまとめ


メジャーなCMSですので、やはり狙われる可能性が高く脆弱性の発見が多いですが、脆弱性が出た後の対応も早いですね。
そして大事なのは、脆弱性対策をご利用されている、WordPress環境に素早く適応させることが一番大切です。
WordPressはやはり最新版であり続けること、最新版に出来る環境にしておくこと、リビジョンをとりバックアップしていくこと は大原則です。
この原則を守ることで緊急時にも、素早く対応できることができますよね。
以上予定を変更して、緊急WordPress対応をお送りしました。

次回こそはWordPressのDBの乗っ取り・不正操作に関しての対策方法をご紹介できればと思います。

この記事を共有する

Recommended Post

この記事をご覧いただいた方に、さらに役立つ情報をお届けするためのおすすめ記事をご紹介します。
関連性の高い記事をピックアップしましたので、ぜひあわせてご覧ください!

×
オンライン打ち合わせも
対応可能です
お問い合わせ

Contact

ホームページ制作のご依頼・ご相談など
お気軽にお問い合わせください。

06-6809-5021
10:00~19:00土日祝を除く
メールでのお問い合わせ