WordPressの脆弱性

ぜいじゃくせい

WordPressはいつのまにかブログ・システムの代表のようなものになってしまった。

もともとその昔ブログと呼ばれるものが世に出回り始めた頃には”MovableType”と呼ばれるシステムが主流で、私も古いブログはそれで書いてた。WPはその勝手に起きたマイブームに飽き始めていた頃に出てきていたが、使いにくくてイマイチだったように記憶している。

それが今ではMTはすっかりシェアを奪われ、見る影もないとはこのこと。

 

で、使う人が多いとどうしてもそこを狙う輩がでてくるもので、PCで言うところのWindowsと同じように、最近では始終狙われるようになってしまった。

何を狙うのか、それはPCのウィルスと同じように「弱いところを突く」ということで複雑なプログラムを組んでいるとどうしても出てきてしまう弱いところを見つけてはその弱いところから入り込んで悪さをしようとする

 

たとえばこんな弱いところがある

ここが詳しい

 

たとえばこんなの

あれ?俺使ってるけど?!と思って見たら対策済みのバージョンになってた。

 

メジャーな対策

本体、プラグインともに更新を怠らない

管理画面の上に出てくる更新件数、すごい数になってませんか?

 

使ってないプラグインは消す

訪問してくれる人に向けても、余計なものは削っておいたほうがサイトが軽くなるかもしれません

※ただし削除する時は慎重に!

 

本体バージョンを4.9.4から5.1.1にあげました

5にすると管理画面が使いにくくなりそうで、敬遠してたんですが壊されたら意味がないので更新することにしました。

以下は複数ドメイン/複数サイト利用の「マルチサイト」環境下におけるバージョンアップの作業内容です。

 

5系へのバージョンアップ手順

特に難しいことはない、と思ってた私が馬鹿でした

 

①バージョンアップ開始。このあとFTPでデータを転送する画面になるんですが、そこでつまづきました。

②いろいろ確認した結果、wp-config.phpに全角文字が入っていたことが発覚。たぶんコピペのミスだろう。

よくこれでいままで使えてたな・・・・。

 

③気を取り直して続き。あとはいわれるがまま進めるだけ。

 

④クソなGutenberg(新入力システム)は勿論無効。

⑤マルチサイトは更新後、全サイトにデータを伝播させる必要があるので「サイトネットワークのアップグレード」作業が必要

これでおわり。

 

最後に注意

最新版にアップデートしたからと言って、100%安全とは言えません。

・むしろあらたな問題(ウィークポイント)が発生する場合もある

・新たな問題に気づくのが攻撃者だったら誰にも防ぐことはできない

 

よってどれだけ防御をしてもだめなときはだめ。これは逃げようがない。

だからといって弱いところを丸出しにした状態で放置するのはよくないです。少しでも問題を減らしておくのも運用者の義務なのです!

「WordPressの脆弱性」への1件のフィードバック

コメントは停止中です。