WordPressでブログやサイトを運営するということ

wordpress_management
先日、またもやWordpressが踏み台にされた大規模攻撃が伝えられています。

wordpressが踏み台にされ、あなたの知らないうちに攻撃参加

「踏み台にされた」とはどういうことか…
普通に運営しているWordpressが元々備えている機能を悪用され、管理者の知らないうちに攻撃に参加させられてしまっている状況をいいます。

今回は、16万2,000ものwordpressが管理者の知らぬ間に攻撃に参加させられていたようです。

WordPressの16万サイトが大規模攻撃の踏み台に、「Pingback」機能悪用 – ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1403/13/news036.html

知らなかったこととはいえ、自分のwordpressサイトが攻撃を行っていると知ったらどうですか?
被害者であるものの、加害者でもある複雑な状況。
個人運営のブログならまだしも、これが企業サイトで使用しているwordpressだったらどうでしょうか…

これは日本で起こっている身近なこと

wordpress_management1

こんな状況が遠くの国で起こっているのではなく、日本で起こっているんです。
それも、誰もが知っている有名な大学のサイトやIT企業として名高い会社、通販の超有名企業が、その名を連ねています。

えっ、あの会社も?! 踏み台にされて大規模攻撃に使われている多数のWordPressサイト!!
http://www.landerblue.co.jp/blog/?p=11338

記事にはどこのサイトが被害にあったのか、ドメインがすべて記載されています。
一部、有名サイトは名前が挙がっていたので、それを引用して紹介させて頂きます。

慶応大学SFC
早稲田
北大
奈良大
東大
京大など大学内のWordPress多数
サイバーエージェントの新卒サイト
日経チャンネル
クラウドワークス
アスキー
クリタ
ニッセン
JA筑波
ウェザーサービス
フリービッド

いかがでしょうか。
すべては知らないかもしれませんが、誰でも名前を聞いたことのあるところが並んでいます。

今までは、海外のどこかの国で起こっていた遠い遠いところの話しとして捉えられていたかもしれませんが、日本でもたくさん起こっているんです。
ましてや、上に出てくるような有名どころはわずかで、中小零細企業がCMSとしてホームページで利用しているwordpressが踏み台にされた例の方が圧倒的に多いようです。

記事には、今回の件に関わっているjpドメイン(.jp、co.jp、ac.jp、ne.jp等)がずらりと記載されています。また、jpドメインではない.netや.comドメインを利用しているwordpressサイトが関わっているかを調べる方法も記載されています。

ホームページでwordpressを設置しているなら、使っているか放置しているかは関係なく、一度チェックすることを強く強くお薦め致します。

攻撃は他にもたくさん行われている

今回のこの事例は、一つの乗っ取り行為ですが、他にも別の種類のたくさんの攻撃がwordpressをターゲットとして行われています。管理画面からハッキングしようとするブルートフォースアタックも常にあちこちで起こっています。

こういったことが日常に行われている中で、wordpressでブログを運営すること、CMSとして企業サイトで使用することは、ある程度の知識とそれを管理できるスキルが必要であることは言うまでもありません。

制作できるからと言っても

wordpress_management2

また、wordpressを使ったホームページを作れるからと言って、セキュリティ対策まできちんと提案して行ってくれる制作会社はあまり多くないような気がします。
(コストもかかってくるので見積り段階で負けてしまうことが多く、最初から提案していないことが多いのかもしれませんが…)

単に作って納品、終了。
「あとは勝手に更新してください。」

このパターンがほとんど何じゃないかと思います。
なんだかなあと思います。

つい最近、知人がいるレストランのホームページリニューアルの相談を受け、中を覗かせてもらいましたが、Wordpressのバージョンが3.5となっていました。(現在は3.8.1)
1年以上もアップデートされておらず放置されたまま。
いつハッキングされてもおかしくない状況です。

知人がアップデート未対応について制作した会社に問合せしたようですが、カスタマイズしているのでアップデートできないという返答がきたようです。見たところ、デザインカスタマイズだけのようにしけ見えないんですけどね。
というかアップデートできないようになるカスタマイズって…

wordpressでのブログ・サイト運営は容易ではない

無料で使える、自分で更新できるとは言え、Wordpressを使うということは自分自身である程度管理ができる状態でなければ、運営していくのは厳しいかと思います。

セキュリティ面の話しだけでも色々リスクがある上に、便利なプラグインもそれぞれで相性があったりして、ちょっとしたことで全ページが真っ白になったります。私も何度も経験しています(笑)

流行っているから、ライバル他社が入れているから、という理由で導入するのは危険です。
いずれ誰も触らなくなり放置され、今回の件のように踏み台にされたり、ハッキングされたりなる可能性が高いです。そうならないためにも、運用時のことを最初から検討し、先々まである程度想定しておくことが必要かと思います。

まとめ

wordpress_management3

便利なツールを便利に使用していくためには、なんでもない日常での管理が重要です。
データのバックアップであったり、バージョンのアップデートだったり、プラグインのアップデートあったり、セキュリティ対策であったりと何かの時に備えて日々対策していく。

このようなことが自分自身でやれるのであれば、それが一番です。
でも、そうでない場合は制作会社にサポートしてもらうのが良いと思います。
但し、そこには「信頼できる」というパートナーとしての制作会社であることが前提ですが…

口先だけでええことばっかり言ってくる会社ではなく、良いことも悪いことも言ってくれるパートーナートとなりえる制作会社という存在が欠かせなくなってきているように感じます。

うちは良いことも悪いことも言う会社ですw
ご相談はこちら(笑)

あれ、ちょっと前にも同じような記事書いてるなあ…(;^_^A

Post a comment

You may use the following HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">