基礎知識 2023.02.07
【2023年1月】WordPressのセキュリティ情報やお役立ち情報
目次
Wordfenceが2022年のWordPressセキュリティレポートを公開
米国時間1月24日、Wordfenceが2022年を振り返るセキュリティレポートを公開しました。
このレポートによると、2022年初頭においては「クレデンシャルスタッフィング攻撃」、通称「パスワードリスト型攻撃」が最も多かったとのことです。
この攻撃は、盗み取ったアカウント情報を用いてWordアプリケーションシステムなどに大規模な自動ログインリクエストを行う攻撃です。
ユーザー名やメールアドレスと、それらに対応するパスワードをまとめたリストを用いて攻撃するものです。
リストさえあれば最も簡単な攻撃の部類の一つでもあることからWordPressにおける不正アクセス被害の中でも最も一般的なものでありました。
しかし、そうした攻撃が多数行われる中でユーザー認知が進み、多要素認証等の対策が広がり、ピーク時よりは減少傾向にあるようです。
WordPressに関する脆弱性情報に関する情報やマルウェア被害に関する情報も多数まとめられています。
全編英語のレポートですが、ぜひ翻訳ツールなどを駆使してでも読んでいてだきたい内容です。
レポートの中ではWordPressの定期的なアップデートの重要性についても書かれており、WordPressサイトを運営する上では改めて意識しておきたいものです。
ただし、定期的なアップデートだけではゼロデイ攻撃を防ぐことは難しいのですが、WordfenceのWeb Application Firewall(WAF)を利用することでそれも防ぐことが可能です。
攻撃被害に遭った人は口を揃えて「自分のサイトがやられるなんて」と言います。
2023年も安全にサイトを運営できるように、メンテナンスを怠らないようにしていきましょう。
1月度WordPress脆弱性報告
2022年12月末〜2023年1月に発見された脆弱性のうち、影響が大きいと見られるものを紹介致します。
米Sucuri社および独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)より、WordPressプラグインに関する脆弱性報告が多数挙げられました。
ご自身のサイトで利用しているプラグインはないか、脆弱性が含まれるバージョンを利用していないか、ご確認ください。
対象となるプラグインの中でも影響度が比較的大きなものを以下の表に抜粋します。
SQLインジェクションの脆弱性が報告された 「LearnPress」はeラーニングサイトを構築する上で人気があるプラグインです。
eラーニングサイトは特性上、学習者の個人情報を持ちやすく、脆弱性を放置することで個人情報漏洩のリスクが生じます。
早急なバージョンアップを推奨します。
重要度こそ低いものの、セキュリティプラグインの一つである「SiteGround Security」でも脆弱性報告が上がりました。
このように、セキュリティ対策で導入したはずのプラグインでありながらも、メンテナンスをしていないとそこから攻撃被害を受けてしまう可能性があります。
セキュリティプラグインを入れていても、油断は禁物です。
プラグイン名 | 重要度 | 対象バージョン | 脆弱性内容 |
---|---|---|---|
LearnPress | 高 | 4.2.0未満 | SQLインジェクションの脆弱性 |
ExactMetrics – Google Analytics Dashboard for WordPress | 中 | 7.12.1未満 | クロスサイトスクリプティング(XSS)の脆弱性 |
Enable Media Replace | 中 | 4.0.2未満 | 任意のファイルアップロードの脆弱性 |
Spectra – WordPress Gutenberg Blocks | 中 | 2.3.2未満 | クロスサイトスクリプティング(XSS)の脆弱性 |
GiveWP – 寄付プラグインと資金集めのプラットフォーム | 中 | 2.24.1未満 | SQLインジェクションの脆弱性 |
Better Font Awesome | 中 | 2.0.4未満 | クロスサイトスクリプティング(XSS)の脆弱性 |
SiteGround Security | 低 | 1.3.1未満 | SQLインジェクションの脆弱性 |
2022年のWordPressのメジャーリリースを振り返る動画が公開されました
2022年1月にWordPress のバージョン5.9がリリースされてから1年が経ち、現在は次の最新メジャーリリースである バージョン6.2の開発が進んでいます。
そんな中、Automattic社が支援するWordPressコントリビューターのアン・マッカーシーによって、バージョン5.9から次の6.2までの大きな変更点を紹介する動画が公開されました。
5.9〜6.2では、ブロックエディタを中心にアップデートが進められてきました。
この1年間でのブロックエディタの進歩が、視覚的にまとめられています。
現在の開発では、「わかりやすく簡単に」という目標の下に、より使い易いエディタとなるようにユーザビリティの向上に注力しているようです。
クラシックエディタのサポートが延長されるというニュースもあり、今後もクラシックエディタを使い続けようという方は多くいるかもしれませんが、
ぜひブロックエディタを導入してみてはいかがでしょうか。
参考:
New Video Explores Site Building Progress from WordPress 5.9 to 6.2
Contact Form 7 をブロックエディタ化するプラグインが登場
Contact Form 7というWordPressプラグインをご存知でしょうか。
2023年1月現在で500万人超の有効インストール数を誇る超人気プラグインの一つで、WordPressサイトで手軽にお問い合わせフォームを導入することができます。
このContact Form 7ですが、フォームのエディタ画面はクラシックエディタ風の作りとなっています。
普段ブロックエディタを使用している方には扱いにくいかもしれません。
そうした中で、Contct Form 7をブロックエディタ化するアドオンプラグインが開発されたようです。
CF7 Blocksというプラグインで、このプラグインを導入することでContact Form 7をブロックエディタ化することができます。
それだけではありません。
あらかじめデザインされたさまざまなテンプレートからデザインを選択してフォームを作ることもでき、フォーム導入がより簡単になりました。
まだ作成されて間もないアドオンプラグインですが、この後の発展に注目です。
今年、WordPressが20周年を迎えます
2023年、WordPressは20周年を迎えます。
WordPressは2003年5月27日にリリースされてから今日まで、日々進歩を続けてきました。
この記念日に向けて記念日公式サイトが作成されています。
また、創業者たちがSNSで当時を振り返る場面も見られました。
It's so cool that because it all happened online, you can pinpoint the exact moment and comment (and permalink it!) that kicked off @mikelittlezed1 and I connecting. I'm so lucky Mike left that comment! The butterfly effect: https://t.co/Oe83DMQfpo https://t.co/WjzqJbN3yK
— Matt Mullenweg (@photomatt) January 25, 2023
過去20年間、さまざまな技術、システムが生まれては消えていく中でもWordPressは繁栄を続けてきましたが、
30年、50年とこの先も末永く続くシステムであり続けて欲しいですね。
WordPressの保守・セキュリティ対策なら『wp.support』 無料の資料DLはこちら
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!