Martian Invasion 1 / gianky
つい先日の話ですが、Reuters News(ロイター通信)の公式Twitterアカウントが乗っ取られ、数十件の偽ツイートが投稿されるという事件がありました。
この件の数日前に、Reuters Newsのブログプラットフォーム(WordPressを使用)が攻撃され、不正な記事が掲載されるという出来事があったばかりです。
どうやらこの事とTwitterアカウントの乗っ取りは関連しているらしく、セキュリティ企業のSophosは、Reuters Newsが旧バージョンのWordPressを使い続けていた事が原因だと伝えています。
当ブログでもWordPressを利用していますが、この記事を書いている時点(2012.08)でのWordPressの最新版は3.4.1となっています。
なお、Reuters Newsは3.1.1のままWordPressを利用しており、旧バージョンの脆弱性をつかれ、アカウントを乗っ取られたとのことです。
WordPressを旧バージョンのままで利用し続ける事の危険性
WEB上の様々なサービスは、例えどんなシステムであろうとも思いがけないセキュリティホールや脆弱性が存在し、完璧に安全なものは存在しません。
特にWordPressは世界的に人気がある上、ソースコードも公開されていますので、攻撃の対象になりやすいと言えます。
頻繁に行われるWordPressのバージョンアップは、もちろん新機能の実装の為でもありますが、脆弱性への対策としても重要なものです。最近は、サーバーによっては古いバージョンのWordPressを利用していると、バージョンアップを促すメールを送ってくるところもあります。
WordPressのバージョンアップはそのぐらい重要です。
放置されるWordPress
しかし、ざっとネット上を見て回っても旧バージョンのまま放置しているサイトは非常に多いです。
WordPressのバージョンアップの場合、最初はいきなり不具合が生じる事などもよくあるので、とりあえず一旦様子見をされる方は多いと思います。
いわゆる人柱待ち。
またプラグインを大量に導入していると、アップデートに伴い、必ずと言っていいほど動かなくなるものがあります。これも、一定の情報が出揃うまでバージョンアップをためらう原因の一つ。
しかしこのあたりはまだ、ちゃんと理解した上であえてアップデートしていない状態ですから、さほど問題はありません。落ち着いた頃に手掛けていけばいいだけです。
問題はホームページ制作会社にまかせている為、運営者が全くバージョンについて理解していないなどのケース。それっぽいサイトもよく見かけます。
サイト制作会社の案内を見ても、WordPressのバージョンアップは有料のところが多く、クライアントの自主性に任せているようです。それも放置の原因のひとつでしょう。
最新版に出来ない時の応急処置
なんらかの事情により、WordPressのバージョンアップが当面できないのであれば、最低限外部から現在どのバージョンを使っているのか見られないように処置しておく必要があります。
何の処置もしていないのであれば、WordPressを利用しているサイトのソースには
<meta name=”generator” content=”WordPress 3.1.1″ />
こんな表記が自動で挿入されます
外から見れば、いつのWordPressを使っているのか丸見えです。
少なくともこれは非表示にしておいた方がいいでしょう。
バージョン情報を消すのにはいくつかの方法があります。
・function.phpに追記
使用しているテーマのfunction.phpに以下を追記
remove_action('wp_head', 'wp_generator');
これでバージョン表記は非表示となります。
・プラグインを使う-Secure WordPress
ソースからバージョン情報を取り除いてくれるだけでなく、プラグインやテーマファイルを外部から覗けなくしてくれたり、その他色々と設定する事によってWordPressのセキュリティレベルを上げる事ができるプラグインです。
ちなみにこのブログでも導入しています。
プラグインに関しては、上記以外にも探せば他にもあるでしょう。
ただこれらはあくまで応急措置なので根本的な解決方法ではありません。
セキュリティを考えるのであれば、さっさとWordPressのバージョンを最新にしておくことが大事です。