このところアレルギー鼻炎(いわゆる花粉症)が酷く記事を書けずにいました。
皆さんは、花粉症大丈夫でしょうか。
さて、IT関係のニュースでホームページが改竄されてイスラム国の旗になっているというものがありました。「府中アスレティックFC」(東京都府中市)の公式ホームページから始まり、他のホームページでも複数確認されているようです。
狙われたホームページは、当サイト同様wordpressというCMSで作られていて、そのwordpressのプラグインソフトである「Fancybox for WordPress」の脆弱性を狙った行為であるという事が書かれていました。
この「Fancybox for WordPress」は写真などを拡大して表示をしてくれるソフトです。
このヴァージョンが「3.0.2」以下だった場合には更新するように呼びかけています。
wordpressの場合には、比較的簡単に管理画面でプラグインの更新があるかどうか確認ができるはずですが、あえてこの更新をしていないのはどういう事なのでしょうか。
企業がwordpressをホームページ用のCMSとして使用するケースは多く、IT業者に一部PHPで改良を加えるような形で作ってもらっている。もちろん、管理画面もwordpressの基本形を使い、プラグインなどもそのまま使える。
個人趣味でwordpressを使用している人と違い、どういう仕組みになっているのか?wordpressを動かす環境など、システム的な事は記事を書いている本人も分かっていない事が多い。そうなると、プラグインの更新等が必然的に誰も作業せず放置されるのです。
更新すると言っても、クリックするだけなんですけどねぇ。
企業や団体は、お金を出して作るまでは良いが、結局は維持管理が出来ていない。
ここが一番の問題ではないでしょうか。
ホームページは作ったら終わりではない。
そこからがスタートみたいなものです。
wordpressの安全性を高めるには、不必要なプラグインをインストールしない。
wordpressのファイル、パーミッション(属性)を厳しくする。
などのやり方があると思います。
個人でサーバーを管理している人は、ログのチェックを怠らずに、安全に管理して欲しいと思います。