WordPress ファイルマネージャーのセキュリティ上の脆弱性について

09.10.2020  - 投稿者  カテゴリー: ドメイン名

WordPressコミュニティで広く使用されている「File Manager」プラグインに「ゼロデイ」の脆弱性が最近発見されました。その結果今月までに何百万ものWordPressサイトが攻撃されています。

問題のプラグインについて – ファイルマネージャー (File Manager)

9月の初めに WordPressプラグインファイルマネージャーのバージョン6.4で脆弱性が発見され、広く悪用されました。このプラグインは、WordPressサイトにコンテンツを送信するFTP転送アプリケーションとして使用されます。この脆弱性は最初に開発に使用され、誤ってプロジェクトに追加されたファイルに起因します。

この脆弱性により、認証されていないユーザーがサイトでコマンドを実行し、サイトをコントロールできるようになる可能性があります。ですので、自分の情報を保護するための手順と、WordPressサイトを安全に保つための方法を確認していきましょう。

セキュリティ保護の行動を起こしましょう

この脆弱性に対応するために必要な手順は次のとおりです。

ファイルマネージャープラグインを使用しているかどうかを確認する

確認するためには、WordPress管理インターフェースの「プラグイン」セクションに移動します。

そうでない場合、影響はありません。

はいの場合は、このプラグインをすぐに利用可能な最新バージョンに更新してください。

プラグインの最新バージョン (6.9) はこの脆弱性は解決されています。更新はWordPress管理インターフェースの「プラグイン」タブに直接表示されます。プラグインの新しいバージョンがインストールされると、WordPressサイトは脆弱ではなくなります。

ただし WordPressの人気と利用可能な多くのプラグインにより、このタイプの脆弱性は一般的であり、最近ではさらに一般的になってきています。身を守るために、ベストプラクティスに従い、ウェブサイトのセキュリティ状況を定期的に確認するようにしましょう。

WordPressサイトを運営する上でのセキュリティ上のベストプラクティス

WordPressプラグインを導入する際は注意するようにしましょう

WordPressの利点の1つはほぼ無制限で使用できるプラグインにありますが、こういったプラグインにはリスクがないわけではありません。

使用するプラグインについては、各プラグインの最新バージョンを使用していることを確認し、開発者のウェブサイトをチェックして、プラグインが最近攻撃されていないことを確認してください。

1.定期的に更新されるプラグインを選択

不要なプラグインでWordPressサイトを過負荷にしないようにしましょう。不要なプラグインはセキュリティやウェブサイトのパフォーマンス、SEO的にも悪影響になります。使用しないプラグインは自由に削除してください。

2. シンプルホスティングインスタンスでスナップショットを有効化

スナップショットを使用すると、インスタンス上のファイルの以前の状態を保存できます。ウェブサイトの構成を間違えた場合に前の状態に戻す必要がある場合に役立ちます。

Gandiのシンプルホスティング管理ページからスナップショットを無料でアクティブ化できます。(スナップショットについてのドキュメンテーション : https://docs.gandi.net/en/simple_hosting/common_operations/snapshots.html (英文))

スナップショットはサイトと同じ場所に保存されます。このため、バックアップをオフサイトに保存することを含む、完全なバックアップ戦略に置き換えることはできませんのでご注意ください。

3. シンプルホスティングのインスタンス全体を定期的にバックアップ

ホスティングソリューションが何であれ、データの完全なバックアップを別の場所に保管する必要があります。ウェブサイトの場合、デスクトップなどにローカルコピーがあると便利で、バックアップを2つの要素で構成する必要があります。

データベース

WordPressの場合はMySQLデータベースになります。バックアップを取るにはデータベースを完全にエクスポートすることをお勧めします。シンプルホスティングインスタンスのMySQLデータベースを管理するPhpMyAdminインターフェイスを介して実行できます。シンプルホスティングインスタンスの管理タブからPhpMyAdminにアクセスすることができます。

エクスポートにより、デフォルトで「localhost.sql」という名前のファイルが作成され、コンピューターに保存できます。また、このエクスポートを毎日自動化することもできます。

MySQLデータベースの自動エクスポートについて

https://docs.gandi.net/en/simple_hosting/common_operations/anacron.html#exporting-a-mysql-database

例えば、FileZillaを使用して sFTPに接続することにより、すべてのウェブサイトデータを定期的にコピーすることを検討してください。

sFTPを介してシンプルホスティングインスタンスに接続する方法の詳細について

https://docs.gandi.net/en/simple_hosting/connection/sftp.html

4.使用するツールのセキュリティに関するニュースを定期的に確認

ユーザーがセキュリティの問題に関するコミュニケーションを常に把握できるようにするために、主要なソフトウェア開発者のほとんどは、独自の情報発信チャネルを持っています。いくつかのツールがサイトと顧客のツールに不可欠になった場合、潜在的な問題について迅速に警告を受けることが重要です。

WordPressの場合 : https://wordpress.org/news/category/security/

TwitterやFacebookでもフォローして、セキュリティインシデントについて最新情報を確認することができます。

参考リンク :