iThemes Security Pro機能スポットライト–バージョン管理
公開: 2021-04-13Feature Spotlightの投稿では、iThemes Security Proの機能を強調し、その機能を開発した理由、その機能の対象者、およびその機能の使用方法について少し説明します。
今日は、WordPressやテーマやプラグインの更新を簡単に管理できる優れたツールであるバージョン管理について説明します。
バージョン管理を開発した理由
ソフトウェアを最新の状態に保つことは、セキュリティ戦略の重要な部分です。 更新は、バグ修正や新機能のためだけのものではありません。 アップデートには、重要なセキュリティパッチを含めることもできます。 そのパッチがないと、電話、コンピューター、サーバー、ルーター、またはWebサイトが攻撃に対して脆弱なままになります。
火曜日のパッチ
火曜日のパッチは、マイクロソフトが毎月第2火曜日にリリースする定期的なバグとセキュリティの修正を指す非公式の用語です。 マイクロソフトがそのような信頼できるリズムでセキュリティ修正をリリースするのは素晴らしいことです。 火曜日のパッチは、マイクロソフトがパッチを適用するセキュリティの脆弱性が公開される日でもあります。
水曜日を悪用する
火曜日のパッチに続く水曜日に、多くの攻撃者が、古くてパッチが適用されていないシステムで以前から知られている脆弱性を悪用するのを目にするのが一般的です。 したがって、火曜日のパッチに続く水曜日は、非公式にエクスプロイト水曜日として造られました。
ハッカーがパッチを適用した脆弱性を標的にするのはなぜですか?
ハッカーは、人々が更新しないことを知っているため、パッチが適用された脆弱性を標的にします(Webサイトのプラグインやテーマを含む)。 パッチが適用された日に脆弱性を公開することは業界標準です。 脆弱性が公開された後、その脆弱性は、ソフトウェアの古いバージョンとパッチが適用されていないバージョンの「既知の脆弱性」になります。 既知の脆弱性を持つソフトウェアは、ハッカーにとって簡単な標的です。
ハッカーは簡単な標的が好きで、既知の脆弱性を持つソフトウェアを持っていることは、WordPress Webサイト、サーバー、コンピューター、またはその他のインターネット接続デバイスに侵入するためのステップバイステップの指示をハッカーに渡すようなものです。
責任ある開示
ハッカーに攻撃のエクスプロイトを与える場合、なぜ脆弱性が開示されるのか疑問に思われるかもしれません。 そうですね、セキュリティ研究者が脆弱性を見つけてソフトウェア開発者に非公開で報告することは非常に一般的です。
責任ある開示により、研究者の最初のレポートは、ソフトウェアを所有する会社の開発者に非公開で作成されますが、パッチが利用可能になったら完全な詳細が公開されることに同意します。 重大なセキュリティの脆弱性については、より多くの人にパッチを適用する時間を与えるために、脆弱性の開示がわずかに遅れる場合があります。
セキュリティ研究者は、ソフトウェア開発者がレポートに応答するか、パッチを提供する期限を提供する場合があります。 この期限に間に合わない場合、研究者は、パッチを発行するように開発者に圧力をかける脆弱性を公開する可能性があります。
脆弱性を公開し、ゼロデイ攻撃(パッチがなく、実際に悪用されているタイプの脆弱性)を導入しているように見えると、逆効果に見える可能性があります。 しかし、それは、研究者が開発者に脆弱性にパッチを当てるように圧力をかけなければならない唯一の手段です。
ハッカーが脆弱性を発見した場合、彼らはエクスプロイトを静かに使用してエンドユーザー(これはあなたです)に損害を与える可能性がありますが、ソフトウェア開発者は脆弱性にパッチを適用しないままにしておくことに満足しています。
GoogleのProjectZeroには、脆弱性の開示に関して同様のガイドラインがあります。 脆弱性にパッチが適用されているかどうかに関係なく、90日後に脆弱性の完全な詳細を公開します。
時代遅れのプラグインとテーマは、WPの脆弱性の第1位です
開示されたすべてのWordPressの脆弱性を追跡することは困難であり、WordPressの脆弱性のまとめで追跡して共有し、そのリストをWebサイトにインストールしたプラグインやテーマのバージョンと比較します。 ただし、これはWordPressハッカーが既知の脆弱性を持つプラグインやテーマを標的にすることを阻止するものではありません。 既知の脆弱性を持つソフトウェアをサイトにインストールすると、ハッカーはWebサイトを乗っ取るために必要な青写真を得ることができます。
2018年の終わりに、ハッカーはWPGDPRコンプライアンスプラグインのエクスプロイトを積極的に利用していました。 エクスプロイトにより、許可されていないユーザー(Webサイトにログインしていないユーザー)がWPユーザー登録設定を変更し、デフォルトの新しいユーザーロールをサブスクライバーから管理者に変更することができました。 ありがたいことに、WP GDPRコンプライアンスプラグインの開発者は迅速に行動し、公開された翌日に脆弱性のパッチをリリースしました。
しかし、水曜日のエクスプロイトと同様に、パッチがリリースされていても、ハッカーはこの脆弱性を標的にしました。 WP GDPRコンプライアンスの脆弱性の開示者から数日および数週間で、WordPressWebサイトが脆弱性を悪用する攻撃者によってハッキングされたという報告が殺到しました。
パッチが利用可能であるが適用されていない脆弱なプラグインまたはテーマを持っていることは、ハッキングされたWordPressWebサイトの最大の原因です。 これはとてもフラストレーションがたまります!!!!! これは、ほとんどのWPハッキングが防止された可能性があることを意味します。
ウェブサイトをきれいにするために莫大なお金を費やしたすべての人々、サイトがダウンしている間に失った収入、そして顧客の信頼を失うことで失った将来の収入について考えるのは腹立たしいことです。 簡単なアップデートでその苦痛のすべてを防ぐことができたと知っているとき、それはそれをさらに動揺させます。
バージョン管理では、ユーザーが更新を管理しやすくし、既知の脆弱性を持つソフトウェアのバージョンを使用できないようにする必要がありました。
バージョン管理とは何ですか?
iThemes Security Proのバージョン管理機能を使用すると、WordPress、プラグイン、およびテーマを自動更新できます。さらに、バージョン管理には、古いソフトウェアを実行しているときにWebサイトを強化し、古いWebサイトをスキャンするオプションもあります。
WP自動更新とバージョン管理
私はあなたが考えていることを知っています:「WordPressには自動更新のオプションがありませんか?」 はい、WordPress 5.5に自動更新が追加されたおかげで、これは真実になりましたが、iThemes SecurityProの自動更新機能ははるかに堅牢です。 WPとiThemesSecurityProの自動更新を比較してみましょう。
まず、WordPressの自動更新の追加はWordPressの将来にとって素晴らしいことだと思います。 自動更新を採用しているWordPressコミュニティは、ハッキングされるWebサイトが少なくなることを意味します。 ハッキングされるWebサイトが少なくなると、WordPressが安全でないプラットフォームであるという誤った認識を持つ人々が少なくなります。
自動更新は、プラグインとテーマの開発者がより良いリリースをプッシュすることにもつながります。 お客様が自動更新に依存していることがわかっている場合は、最初のリリースで導入されたバグを修正するために、リリースに一連のフォローアップリリースが必要ないことを確認します。 これは、WordPressが他のプラットフォームと比較してより多くの手動メンテナンスを必要とするという認識を変えるのに役立ちます。
iThemes SecurityProバージョン管理がデフォルトのWordPress自動更新と比較してより高い柔軟性を提供する3つの方法は次のとおりです。
- 合理化されたプラグインとテーマの管理–バージョン管理設定からすべてのプラグインとテーマの更新を管理します。
- プラグインとテーマの更新にカスタム遅延期間を追加する– WordPressの自動更新では、更新をすぐに適用するオプションのみが提供されます。 更新スケジューラを使用すると、カスタム遅延を作成できます。 遅延は、メジャーリリース後に問題を修正するためにフォローアップリリースが必要になる傾向があるプラグインまたはテーマに適したオプションです。
- 既知の脆弱性を修正する更新のみを適用する–既知の脆弱性を修正する更新のみを適用します。 このオプションは、すべての更新を手動で実行したいが、セキュリティパッチをすぐに受け取りたい場合に最適です。
WordPressの自動更新
WordPressには、プラグインとテーマの自動更新にオンまたはオフの2つのオプションがあります。 WordPressプラグインページでプラグインの自動更新を有効にします。
テーマの自動更新オプションは、テーマの詳細ページに隠されています。
バージョン管理の自動更新
バージョン管理の更新スケジューラには、自動更新を無効にする、すぐに更新する、または更新を好きなだけ遅らせるオプションがあります。 さらに、バージョン管理設定でプラグインとテーマの両方の更新スケジュールを構成できます。
さて、設定に飛び乗って、さまざまなバージョン管理オプションを詳しく見てみましょう。
iThemes SecurityProでバージョン管理を使用する方法
バージョン管理の使用を開始するには、セキュリティ設定のメインページでモジュールを有効にします。
次に、[設定の構成]ボタンをクリックして、設定を詳しく確認します。
- WordPressアップデート–最新のWordPressリリースを自動的にインストールします。
- プラグインの更新–最新のプラグインの更新を自動的にインストールします。 この設定を有効にすると、WordPressの自動更新プラグイン機能が無効になり、競合が防止されます。
- テーマの更新–最新のテーマの更新を自動的にインストールします。 この設定を有効にすると、WordPressの自動更新テーマ機能が無効になり、競合が防止されます。
- 古いソフトウェアを実行しているときにサイトを強化する–利用可能なアップデートが1か月間インストールされていない場合、サイトに保護を自動的に追加します。
- 2要素が有効になっていないすべてのユーザーに、再度ログインする前に自分の電子メールアドレスに送信されるログインコードを提供するように強制します。
- WPファイルエディタを無効にします(プラグインまたはテーマコードの編集をブロックします)。
- XML-RPC pingbackを無効にし、XML-RPC要求ごとに複数の認証試行をブロックします(どちらも、XML-RPCを完全にオフにすることなく、攻撃に対してより強力にします)。
- 古いWordPressサイトのスキャン–攻撃者がサーバーを危険にさらす可能性のある古いWordPressサイトのホスティングアカウントのスキャンを毎日実行します。 脆弱性のある単一の古いWordPressサイトでは、攻撃者が同じホスティングアカウント上の他のすべてのサイトを侵害する可能性があります。
- 脆弱性が修正された場合の自動更新–このオプションは、iThemes Security Proサイトスキャンと連携して機能し、既知のWordPress、プラグイン、およびテーマの脆弱性についてWebサイトをチェックし、利用可能な場合はパッチを適用します。
プラグインとテーマの更新
次に、プラグインとテーマの更新の構成について詳しく見ていきましょう。 始める前に、プラグインとテーマの更新設定を有効にすると、競合を防ぐためにWordPressの自動更新機能が無効になることを簡単に思い出してください。
プラグインとテーマの更新設定には、3つの選択肢があります。
- 空白/なし–設定を空白のままにすると、WordPressでプラグインとテーマの更新を管理できるようになります。
- カスタム–カスタムオプションを使用すると、好みに合わせて更新を正確にカスタマイズできます。 これについては、もう少し詳しく説明します。
- すべて–更新が利用可能になるとすぐに、すべてがすべてのプラグインまたはテーマを更新します。
次に、カスタムオプションを詳しく見てみましょう。
[カスタム]オプションを選択すると、プラグインとテーマの更新に3つの異なる選択肢が提供されます。
- 有効化–新しいリリースの直後に更新するプラグインを選択します。
- 無効–手動で更新するプラグインにはこのオプションを使用します。
- 遅延–遅延オプションを使用すると、リリースの更新を遅延させる日数を設定できます。 これは、メジャーリリース後に問題を修正するためにフォローアップリリースが必要になる傾向がある開発者にとっては良いオプションです。
ご覧のとおり、カスタム自動更新設定は、WordPressの自動更新オプションのオンまたはオフよりもはるかに柔軟性があります。
まとめ
パッチが利用可能であるが適用されていない脆弱なプラグインまたはテーマを持っていることは、ハッキングされたWordPressWebサイトの最大の原因です。 つまり、WordPressのハッキングの大部分は、更新するだけで防ぐことができます。
iThemes Security Proのバージョン管理機能を使用すると、スケジュールに従って自動更新を管理できます。 iThemes Security Proでは、すべての新しいアップデートがリリースされたらすぐにインストールするか、アップデートで脆弱性が修正された場合にのみインストールするかについて説明しています。
Michaelは毎週、WordPressの脆弱性レポートをまとめて、サイトを安全に保つのに役立てています。 iThemesのプロダクトマネージャーとして、彼は私たちがiThemes製品ラインナップを改善し続けるのを手伝ってくれます。 彼は巨大なオタクであり、新旧のすべての技術について学ぶのが大好きです。 マイケルが妻と娘と一緒に遊んだり、仕事をしていないときに音楽を読んだり聞いたりしているのを見つけることができます。
