福井県のweb制作は有限会社ハートブレーン
14.04.07

旧バージョンのwordpressは危険

現在、wordpressのバージョンは、正式なものは3.8.1。
ベータ版は既に3.9が出ているようです。
流れが早すぎて追いつけてない……。

と、自分がおばさんであることを言い訳にして、更新のタイミングが遅れがちだった時期もありました。
プラグインの対応状況(某ギャラリー系プラグインが対応してなくて、わざわざダウングレードしたことも)や
バグとか仕様も怖かったので。

しかしそれって、割と危険なことだった模様。

wordpressをずっと旧バージョンのまま更新しないでおくと
主にセキュリティ面において、重大な欠陥が出てくるようです。
ものすごく意訳してしまえば

ウィルス「あっ、これ昔のやつじゃん。まだこんなの使ってんのかよ。よし、レベルアップした今の俺様なら、いろんなイタズラできるぞ〜」

その結果
例えば3.0.3だと、特定の人にしか見れないようにサイトにアクセス制限をかけたのに、それが勝手に無効にされたり。
3.3以前のバージョンだと、悪意あるユーザーが勝手に侵入して、おかしな仕掛けをしてサイトが書き換えられたり真っ白になったり。

他にも、勝手に管理者を増やされて、その人の好きなようにサイトを改ざんされたり
wordpressを設置してあるサーバーに負荷をかけてアクセス不能にしたり
大量にスパムメールを送信したことにされていたり
不正アクセスした上で殺害予告などの悪意ある書き込みを行い、管理者が逮捕された、なんてことも。

個人的に一番恐ろしいと思ったのが
アカウントを乗っ取られ、運の悪いことにそのアカウントがwordpressとTwitterを連動させていたので
数十件の偽ツイートを流されたロイター通信の被害でしょうか。
しかも内容がシリア問題の件とか。さすがに笑えない……。

ちなみに、前述の「3.3以前のバージョンだと勝手に侵入されておかしな仕掛けをされる」という件ですが
悪意あるユーザーの脳みそというのは、むしろ私たちより優秀な上、日々進化していくので
3.6.1でも同じ現象が起こったようです。
寄りによって、オバマ氏のサイトにアクセスしたら、クリントン氏のサイトに飛ぶように転送。
同じ党内の人間同士で仕掛ける意図は、時事問題に微妙に疎い上に偏ってるらしいNには到底わかりませんが
起こってはいけない事象なのは確かです。

<参考にさせていただいたサイト様>

WordPressやMovable Typeの古いバージョンを利用しているウェブサイトへの注意喚起(IPA 独立行政法人情報処理推進機構様)

知らなければ乗っ取られる!古いバージョンのWordPressの危険性と対策(ノート100YEN.com様)

WordPressのアップデート放置はこんなに危険! いっしょにセキュリティ意識もアップデート(LAYER8様)

ちなみに、ハートブレーンでは、基本的にアップデートは無償でいたします。
しかし、使用しているサーバーにより、wordpressの設置に使っているPHPのバージョン自体が古くて、更新ができない場合も多々あります。
その場合は、当該サーバーとの交渉、もしくはサーバー移転(こちらのパターンが多いです)作業が必要になりますので
別途料金をいただく場合もあります。


インターネットがありません / h_okumura

【ハートブレーン】https://blog.heart-kokoro.net/

【ハートブレーン】https://heartbrain.net
最後までご覧いただき、ありがとうございました。
よろしければ、SNSでのシェアやランキングなど、応援よろしくお願いします。


Webサイト・CGIランキング

メールでのお問合せ・お見積りはコチラ
TOP