あなたのWordPressウェブサイトは安全ですか? WordPress Webサイトは脆弱ですか?

公開: 2017-03-09

20年から30年前、強盗は誰かの現金や貴重品を盗むために侵入して侵入することに限定されていました。 今日のいたずらメーカーや強盗は、ハッカーの形をとります。 個人的な利益または政治的な理由でソフトウェアの脆弱性を見つけて悪用する人。

始める前に、この記事がWPセキュリティの核心に入るのではなく、WordPressの脆弱性の原因について説明していることを知っておく必要があります。 それがあなたが探しているものではない場合は、「WordPressセキュリティの強化–WordPressサイトを保護するための完全なガイド」を読むことをお勧めします。 ただし、過去のWPの脆弱性の性質を理解することは、Webサイトのセキュリティプロトコルを確実にする方法についての優れた洞察を提供することを述べなければなりません。

なぜ人々はウェブサイトやデータセンターに侵入するのですか? クライアント情報、電子メールID、クレジットカード番号などを保持するWebサイトに侵入することは、銀行強盗よりも収益性が高くなります。 あなたがかなり成功したウェブサイトを運営しているなら、あなたのウェブサイトの情報にアクセスするための数千とは言わないまでも数百の試みがすでに行われていると私は確信しています。

ごく最近、AshleyMadison.comがハッキングされ、3700万人のユーザーの詳細が盗まれました。 ハッカーはウェブサイトの閉鎖を要求しましたが、失敗すると、性的空想を含む盗まれたユーザーの情報の詳細が公開されます。 これにより、情報にアクセスするだけでハッカーが引き起こす可能性のある破壊の種類を味わうことができます。

Webセキュリティは非常に重要なトピックであり、ユーザーの個人情報を収集するためにポップアップするWebサイトの数を考えると、ますます関連性が高まっています。

Webの65%がコンテンツ管理システムとしてWordPressを使用しているため、今日はWordPressのセキュリティと、過去にWPサイトがどのように標的にされたりハッキングされたりしたかについて説明します。

なぜ優れたセキュリティ慣行に投資するのですか?

  • あなたはそれを安全に保つために機密の個人情報であなたを信頼するあなたの顧客とクライアントに負っています。
  • あなたのサイトはハッキングされます–あなたはお金を失います。
  • あなたのサイトがハッキングされる–あなたの検索エンジンのランキングは地獄へのほぼ片道の旅をします。

WordPress Webサイトは、数十万とまではいかなくても、数千人によってハッキングされています。 すべてのWebサイトが、過去にハッキングされたという事実を報告しているわけではありません。 ご想像のとおり、これは彼らのブランドを強く支持するものではありません。

WordPressのセキュリティに関するこの記事の必要性に光を当てたいと思います。

ある調査によると、Sandro Gucci(Enable Securityの創設者)が共有しています。

  • 最も人気のあるWordPressインストールの73.2%は、無料の自動ツールを使用して検出できる脆弱性に対して脆弱です。
  • WordPress 3.6.1にアップグレードされたのは7,814のWebサイト(18.55%)のみで、これはテストが実施されたときのWPの最新バージョンでした。
  • 13,034のWebサイト(30.95%)は、脆弱なバージョンのWordPressバージョン3.6をまだ実行していました。 WordPress 3.6には、当時5つの既知の脆弱性がありました。

そして、もしあなたが不思議に思っているのなら、これはダークウェブのどこかにある小さな未知のウェブサイトの不公平な一般化された特徴であり、あなたは間違っているでしょう。 統計は、Alexaのトップ100万のWebサイトにある約42,000のWordPressWebサイトの調査に基づいて作成されました。 これは、おそらくWeb上で最も訪問されたWebサイトにとって、膨大な数の脆弱なWebサイトです。 これらのWebサイトは、訪問者とサブスクライバーに関する膨大な量の情報を収集します。

2013年9月の統計は真実でしたが、それ以降はそれほど逸脱していないと思います。逸脱したとしても、ここに表示されている統計は、WordPressを悩ませているセキュリティ問題の規模を示しています。

WordPressが危険にさらされる可能性があることを証明する証拠がもっと必要な場合。 Netcraftによる研究を紹介します。

  • 2014年2月には、フィッシングサイトのプラットフォームとして機能していた12,000のWordPressブログがありました。
  • Webホスト型マルウェアを配布するためにNetcraftによってブロックされたすべてのマルウェアURLの8%以上は、WordPressブログでした。

Automatticwordpress.comで実行されたブログは1つもないことを指摘しておく必要があります。 これは、WordPressでさえ、注意して使用しないと、WPセキュリティに関するある程度の知識が脆弱になる可能性があることを非常に明確に示しているはずです。 これのもう1つの理由は、wordpress.comでホストされているすべてのブログが、WordPressの更新がリリースされるとほぼ同時に更新されるという事実に関連している可能性があります。 それ以来、自動WordPressアップデートがWPバージョン3.7で導入され、ゼロデイエクスプロイトからWebサイトを保護していることに注意してください。

そしてその後も、WordPressを悩ませてきた多くのセキュリティ問題がありました。 プラットフォームのさまざまなバージョンにおけるWordPressの脆弱性のリストを確認してください。

現在、これを防ぐためにできることは何もありません。ほとんどの場合、新しい脆弱性が発見されます。 明らかに、コアWPチームはセキュリティを非常に真剣に受け止めており、WordPressをはるかに安全にしています。

しかし、他のすべての人気のあるソフトウェアと同様に、脆弱性を悪用することは、より多くの人々がそれらを使い始めると、より有益になります。

私を信用しませんか? どういうわけかWordPressが突然すべての脆弱性から解放されると信じているなら、このグラフをチェックしてください!

ワードプレス-脆弱性-何年にもわたって

脆弱性の数は2007年と2014年の高値から時間の経過とともに減少しましたが、WordPressの人気の高まりによる収益性の向上を考えると、新しい脆弱性とエクスプロイトを発見するインセンティブは永遠に高まっています。

WordPressは箱から出してすぐに安全かもしれませんが、非常に多くのプラグイン/テーマとカスタムコードを追加した後、脆弱性の数は急いで増え始めます。

そうは言っても、WordPressに小さな変更を加えて、より安全にすることができます。 まず、WordPressのセキュリティを完全に理解する必要があります。これは、セキュリティの失敗の原因を理解するのに非常に役立ちます。

驚かれるかもしれませんが、セキュリティ違反が発生した場合にWPコアプラットフォームに障害が発生することはめったにありません。 WPに追加したものが、ハッカーが悪用する可能性のある脆弱性を作成する可能性がはるかに高くなります。

WordPressサイトはどのように侵害されていますか?

完全なセキュリティを確保することの難しさは、そのようなことはありません。

WordPressが完全に安全であると仮定すると、Apache、FTPクライアント、MySQL、およびサーバー上で実行される心配する必要のあるソフトウェアがまだあります。 あなたのウェブサイトはその最も弱いリンクと同じくらい安全です。 これには、ホストのソフトウェア、Webサイトが動作するテーマ、プラグインの品質が含まれます。

私もあなたに指摘できるより最近の統計があればいいのにと思いますが、WpWhiteSecurityのブログにインフォグラフィックとして提示されたこの研究は、WordPress Webサイトがどのようにハッキングされ、何が脆弱になるのかについて多くの洞察を提供します。

この調査は、2012年にハッキングされた17万のWebサイトの情報に基づいて実施されました。ハッキングの数が前年(2012年)から18%増加したのは、脆弱性の数が同じ割合で増加しなかったことです。 しかし、WordPressおよびWordPressベースの製品の使用が増えるため、脆弱性がわずかに増加しただけでも、はるかに多くのWebサイトに影響を及ぼします。

  • ハッキングされたWordPressの41%は、ホスティングプラットフォームのセキュリティの脆弱性によってハッキングされました。
  • 29%は、使用していたWordPressテーマのセキュリティ問題によってハッキングされました。
  • 22%は、使用していたWordPressプラグインのセキュリティ問題によってハッキングされました。
  • パスワードが弱いため、8%がハッキングされました。
  • 上記のことから、ハッキングされたWordPressサイトの51%以上が、使用していたWordPressテーマまたはプラグインの脆弱性を介してハッキングされたと結論付けることができます。

ハッキングの圧倒的多数は、プラグイン、テーマの形でソフトウェアをインストールした結果、およびWebホスティングサービスプロバイダーがサーバー側のセキュリティを適切に強化できなかったために発生しました。

ホスティング、テーマ、プラグインに関してセキュリティの観点からあなたが持っている良いオプションを説明する前に、あなたのウェブサイトを保護するための対策について議論することに意味はありません。 そして、WPのセキュリティを強化するための特定のセキュリティ対策を推奨する前に、Webサイトに適したサードパーティのソフトウェアと安全なホスティングを見つける方法について確実に説明します。

結論

WordPress Webサイトは、コンテンツ管理システムのコアコードのエラーが原因で脆弱になることはめったにありません。 しかし、ウェブサイトはコンテンツ管理システムだけに基づいて運営されているわけではなく、ウェブ上でCMSをホストするウェブホスト、それを凝ったものにするテーマ、必要な機能を追加するプラグインが必要です。 WordPressのインストールにサードパーティのソフトウェアの複数のレイヤーを追加すると、正しく行われなかった場合に、セキュリティが少し多孔質になり始めます。

WordPressコア、プラグインとテーマ、およびWebホストは、WordPressサイトを実行し続けるために通信する必要があります。 この相互作用には欠陥がある場合があり、Webサイトが脆弱になります。

確かに8%のWebサイトはパスワードが弱いために侵害されている可能性がありますが、不適切に記述されたプラグイン/テーマまたは古いソフトウェアで実行されているWebホストを追加することが、すべてのWordPressWebサイトの大部分の主な原因であることを示唆する圧倒的な量の証拠がありますハッキングまたはシャットダウン。

WP Securityシリーズの次の投稿の一部として、WordPressの脆弱性の原因についてある程度明確にしたので、WordPressのセキュリティを強化するために必要な手順について説明します。

WordPressサイトがハッキングによって侵害されたり、DDOS攻撃の犠牲になったりしたことがある場合は、詳細を共有してください。 それが私たちの力の範囲内にある場合、Aigarsまたは私は問題を解決しようとします。 乾杯