フリースペース

日常のニュースを思うままに発信します。

*

深刻な脆弱性が相次いで発見!WordPressはダメなプロダクツなのか?

      2015/07/16

ここ数日のうちに、「Wordpressに深刻な脆弱性を発見」というニュースを何度も目にしました。安全のためには、ただちに脆弱性に対応した最新版を使用してくださいとアナウンスされています。

しかし、最新版を使用した場合、いくつかのプラグインが対応しておらず、動かない可能性もあるので、最新版の使用を躊躇する人も多くいることでしょう。こんなに相次いで深刻な脆弱性が見つかるWordpressはダメなプロダクツなのでしょうか?

スポンサードリンク

WordPressの脆弱性

WordPressは、今ではMovable Typeを上回る世界中で大人気のCMSです。Wordpressが世の中に出た当初は、Movable Typeが全盛の時代で、WordPressがここまで流行るとは、私は想像もしていませんでした。

WordPressは、オープンソースとしてソースコードが公開されています。そのため、バグなどがあっても、Wordpressのコミュニティに参加している世界中の腕利きエンジニアがすぐに対応してくれるという長所を持っています。

その反面、ソースコードが公開されているため、悪意を持った人に読まれてしまうと、脆弱性を見つけられ、そこを攻撃することでホームページの改ざんやアカウントの乗っ取りなどが出来てしまう可能性を秘めています。

WordPressのバージョンアップは、こうした脆弱性との戦いの歴史でもあるのです。脆弱性が発見され、緊急アップデートのアナウンスが出て、また脆弱性が発見され、それに対応する。まさに、いたちごっこが延々と続いているのです。

WordPressはダメなプロダクツ?

こんなに脆弱性が発見されるWordpressは、ダメなプロダクツなのでしょうか?答えは、イイエです。こんなに脆弱性が発見されるのは、世界中で多くのユーザーに使用されていて、それを悪用したいと思う人も沢山いるためです。

スマートフォンのOSでもあるAndroidもオープンソースとして公開されているため、それを悪用しようとする人に対抗するため、アップデートを繰り返しています。一時期、オープンソースとしての公開を止めたこともあるほどです。

悪用したい人から脆弱性を発見されることで、被害を受ける可能性もありますが、プロダクツがより良いものに進化していると考えることもできます。WordPressは、まだまだ可能性を秘めた素晴らしいプロダクツなのです。

誰が悪用するの?

インターネットの世界では、自分の部屋にいながら、瞬時に外国にあるサイトを閲覧することができます。インターネットに接続さえしていれば、世界中のWordpressユーザーをターゲットにしたクローラーでサイトをチェックすることは容易なのです。

WordPressの脆弱性を狙っている人の目的は、個人情報やホームページの改ざん、アカウントの乗っ取りなどです。

WordPressでは、ECサイトなどとは異なり、それほど貴重な個人情報を得ることは難しいと思います。Wordpressには、ECサイトのようにするためのプラグインがありますので、それを使用している方は要注意です。

ホームページの改ざんは、単なる嫌がらせや愉快犯的側面が強く、自分の技術力を誇示したいという歪んだ開発者心理が原因の場合がほとんどです。

アカウントの乗っ取りは、管理画面にログインしているアカウントを乗っ取られ、ログインができなくなる状態にされてしまうことです。これが一番厄介だといえるでしょう。WP Google Authenticatorプラグインなどを使用して、管理画面を2段階認証にしておけば安心できます。

脆弱性をなくすことはできないの?

私の長いエンジニア人生の中で、不具合のないプロダクツというものを見たことがありません。どんなに優秀なエンジニアでも、人間ですから必ずミスをします。それがプロダクツ開発という現場では脆弱性につながる危険性を秘めているのです。

オープンソースのコミュニティでは、世界中から腕利きのエンジニアが集まっています。しかし、彼らの実力でも、ソースコードを書いた人の意図を読み取り間違いしてしまい、脆弱性のあるコードを書いてしまう可能性を秘めているのです。顔を合わせないで開発するオープンソースのプロダクツの難しい一面と言えるでしょう。

また脆弱性を狙う悪意を持った人も、優秀なエンジニアである場合がほとんどです。その優秀さで、常に新しい脆弱性を考え、実験し攻撃してくるのです。実際、攻撃があるまで予想すらしていなかったという脆弱性もあるほどです。優秀なエンジニア同士の熾烈ないたちごっこが、インターネット空間の中で、日々、展開されているのが現状なのです。

まとめ

私のようなPV数もまだまだなサイトであれば、脆弱性のアナウンスに敏感に反応してWordpressをアップデートするよりも、プラグインが動かなくなるデメリットの方が大きいので、あまりアップデートは考えていません。アカウントの乗っ取りだけが怖いので、そこには、厳重にプラグインで対策を講じ、そのプラグインに関係する脆弱性でなければスルーしています。

アクセスの多いブロガーの方も、アカウントの乗っ取りだけに注意していれば、それほど脅威に感じることはありません。Wordpressの脆弱性は、今後も、どんどん発見されるからです。これは、オープンソースの人気プロダクツの証でもあり宿命とも言えるものなのです。

脆弱性が発見され、即座にそれに対応するパッチが公開されているうちは、コミュニティが活発に活動している証拠なので、安心して使えると思っているくらいで良いと思います。

 - Wordpress

        

広告

広告

  フォロー、いいねをお願いします

follow us in feedly

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です


*

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  関連記事

By: Akira Ohgaki
STINGER5でアドセンスの位置を大幅に修正。クリック数が格段にアップする方法

私のブログは、スマートフォンからのアクセスが、デスクトップからのアクセスの倍以上 …

By: petter palander
WordPressのスマートフォン画面で「target=’_blank’」を取り除く関数を作ってみた

いや、ホント軽い気持ちで書いた記事だったんですけど、コメントまでいただいてしまっ …

By: Serge Kij
デザインも機能も秀逸。WordPressの有料テーマとGPLライセンスの関係

先日、同期ブログで親しくなった、しむ(コトバコ)さんと、以前からTwitterで …