- 2018年4月25日
- WordPress脆弱性情報
90万アクティブインストール。WordPress向け、セキュリティ対策プラグイン、iThemes Securityに情報漏えいの脆弱性。
突然ですが、WordPressのセキュリティ、どうしてますか?
さまざまなセキュリティ対策が語られていますが、結局重要なのは、
1.パスワードを強固にすること
2.本体とプラグインを最新版にアップデートすること
の2つが本質であることは変わりません。また、欲を言えば、管理画面へのアクセスにはベーシック認証を書けたり、IP制限をかければ尚良です。
ただ、1.はともかく、2.は嫌がる管理者も多いのは事実。
カスタマイズした部分に不具合が出たり、サイトが止まってしまったりと、アップデートにはとにかくリスクがついて回ります。
それなら「今すぐ」には不具合が出ない、アップデートを先送って、多少のセキュリティリスクには目をつぶろう……
そんなふうに考えてもおかしくありません。
そんな管理者の心理にダイレクトで届くのが、WordPressのセキュリティプラグインです。
有名なものが幾つかありますが、その一つが今回のiThemes securityです。
以下、iThemesセキュリティの宣伝文句。
ITHEMES SECURITYは#1のWORDPRESSセキュリティプラグインです
iThemes Security(旧Better WP Security)は、WordPressサイトを安全に保護する30以上の方法を提供します。平均して、毎日30,000の新しいウェブサイトがハッキングされています。WordPressサイトは、プラグインの脆弱性、弱いパスワード、古いソフトウェアのため攻撃の対象になりやすい。
ほとんどのWordPressの管理者は、彼らが脆弱であることを知らないが、iThemes SecurityはWordPressのロックを解除し、共通の穴を修正し、自動化された攻撃を停止し、ユーザーの資格情報を強化する。経験豊富なユーザーのための高度な機能により、WordPressセキュリティプラグインはWordPressの強化に役立ちます。
Googleの拙い日本語訳はともかく、このようなセキュリティソフトが提供する「安心感」は管理者にとって重要なものなのでしょう。
しかし、そうは言っても所詮はプラグイン。
脆弱性はいたるところあります。しかも、「セキュリティプラグイン」本体に。
WordPress 用 iThemes Security プラグインには、ログファイルからの情報漏えいに関する脆弱性が存在します。
iThemes Security 6.9.1 未満において、この脆弱性が出ていますが、ベンダより正式な対策が公開されています。要するにアップデートしてください、というわけです。
やはり、ある程度の規模になったら、専門の会社に運用は任せるべきかもしれませんね。