大量のWordPressサイトがクラックされた要因とは

2014年末から2015年初頭にかけ、世界中のWordPressサイトがクラックされ、改ざんされたそうです。

「そうです」としか言えないのは、弊社が制作したサイトでは確認できなかったからです。
なので、この事について自分が知るのは随分後になってからでした。

要因はサードパーティ製プログラムの「脆弱性」

WordPressと言うブログシステムはPHPで書かれており、よほど注意しないと様々なセキュリティリスクを抱えることになります。
しかしWordPressの開発コミュニティは巨大な割にフットワークも軽く、WordPress本体に脆弱性が見つかったとしても即座に修正されてきています。
今回もWordPress本体ではなく、あるスライダーのプラグインが持つセキュリティホールが要因だったようです。

危険なのは訳も分からずカスタマイズすること

WordPress本体に見つかった脆弱性は、長らく放置されません。
プラグインなどで拡張を行わない素のWordPressが改ざんされたと言うことはあまり聴きません。
(ただ、サーバ由来のセキュリティホールによって、同じレンタルサーバの別なユーザによって被害に遭ってしまったと言う話は聴きます。この件は今回は除外します。)

今回クラックに遭ったサイトの多くは、以下のような特徴を持っていたようです。

  • 見栄えのするテーマを購入し、そのまま使用
  • テーマに含まれる派手な動きのスライダープラグインを使用
  • インストールした先のサーバは、特にWordPressに特化したセキュリティ強化を行っていない
  • 使用しない機能までもFTPでアップロードしてしまっている

「それって、珍しくないんじゃ無いの?」
そうお思いの方も大勢おられるでしょう。

そう、今ある大多数のWordPressサイトは上記のような状態にあります。

多くの人が購入しているテーマやプラグインは要注意

多く流通しているテーマやプラグインは、一つの脆弱性が知られると一斉に攻撃される運命にあります。
2000年前後に、Windowsマシンがコンピューターウィルスの攻撃対象として一斉に狙われた背景と一緒です。
幅広く流通している物は、攻撃者にとっては格好の獲物なのです。
今回狙われたのは、世界的に有名なテーマ販売サイトで販売された物でした。
自分には、多く流通している物の導入を避ける習性があります。
そういった物の「狙われやすさ」が怖いからなのです。

管理画面でカスタマイズ出来るテーマやプラグインは要注意

最近のテーマやプラグインの中には、インストールすると管理画面にファイルのアップローダが現れたり、フォームの窓が現れてDBに読み書きを行う物があります。
この機能は一歩間違えるとトロイの木馬になります。
WordPress本体以外にファイルをアップロード出来るスクリプトがあると言うことは、WordPress開発コミュニティの監視を逃れたバックドア(になり得る物)が存在していると言うことです。
いくら本体側でセキュリティに気を遣っても、脆弱性のある別なプログラムが身内にいたのでは、手の施しようがありません。
又、管理画面からDBに読み書き出来るように作られたスクリプトも、セキュリティホールとなる可能性を持ちます。
DBへ読み書きが出来ればユーザーだって任意に作れてしまいますので、結果的に管理者権限を奪われ、なすすべも無くサイトは改ざんされてしまいます。
WordPressのテーマやプラグインを作ったことがあれば、このあたりの機能を実装することが容易で、しかもセキュリティ面を考慮するのが大変なのかが解るはずです。
テーマやプラグインを作ったことが無い人は、仕事でWordPressに手を出す事は止めた方が身のためだと思います。

クラックされにくいWordPressのサイト作成ポリシーとは

様々なノウハウがありますが、今回は話題をサードパーティ製プログラムに絞って、お話ししましょう。
自分が重要だと痛感しているのは、過剰に管理画面に機能を付け足すテーマやプラグインをインストールし過ぎないようにすることです。
更にそれらを選定する際には、出来るだけ多くの人が使っている物を選ばない事です。
別な似たような物を探してみて、そちらを試す事も有効だと思います。
(主流になれずメンテナンスされなくなり、消えていくこともありますが)
テンプレートを弄ることで済むのであれば、それに越したこともありません。
原則としてファイルのアップロードはFTPから行い、DBにアクセスしたいのならsql文を書いてphpMyAdminあたりから適用する癖を付けたい所です。(シェルからでも良いですが)
そして頻繁に変更しない箇所なら、昔ながらのテンプレートファイル編集で変更を行うのです。
管理画面からの変更で作成してしまったサイトでも、サイトの形が出来てからテーマディレクトリの中にある管理画面関連のファイルを、削除又は待避させてしまう事も有効です。

サーバの選定も重要です。
海外から管理画面へのアクセスを禁止しているサーバもあります。
wp-login.phpに対してログイン試行回数を制限しているサーバもあります。

最後に、売り物のWordPressテーマ詰め合わせが、地下ルートで出回っていると耳にしたことがあります。
・・こんな物、もう何が仕込まれているか解ったものでは無いですよね。

Adobe CS2の非正規使用について思うこと

アドビ川のほとりで生まれ、PostScriptを目玉技術として生まれた会社、それがAdobeです。

今やAdobeのソフトウェアは、デジタルコンテンツを作り出して生きている人間にとっては生命線とも言える重要な物です。
元々アナログな作業をデジタルに置き換えるべくして生まれたAdobeのソフトウェア群は、必ずしも簡単に成果物を得られるような物ではなく、そのかわり得られる成果物には、その業界に認められる正規性を与えます。

しかし出来る事が多いのでライトユーザーにも好まれ、結果的に非正規ユーザーが多いのもAdobeソフトウェア群の特徴です。
昔からAdobeはクラッカー達の格好の標的にされてきました。

そんなAdobeがアクティベーション(ライセンス認証)サーバーの終了を根拠に、あるバージョンのソフトウェア群をアクティベーション無しで使えるよう、取り計らったことがありました。
時は2013年。

ちょっと盛り上がりすぎなんじゃないの?と思えるGoogleトレンドの曲線です。
何を意味しているのでしょうか?

Adobeはこのタイミングでソフトウェア群であるクリエイティブ・スイーツ(CS)の2番目のバージョンCS2を、事実上誰にでも使える物としました。
(驚くことにダウンロードページには、シリアル番号が併記されています。)
ただしダウンロードページには、
「技術的な問題が発生したため、Acrobat 7を含め、CS2製品のライセンス認証サーバーを無効にしました。これらの製品はリリースから7年以上経過しており、最新のオペレーティングシステムでは実行できないことが多いため、現在ではサポートされていません。

サポートされていない、古いソフトウェアの使用を停止することを強くお勧めします。ダウンロードの一環として提供されるシリアル番号は、CS2またはAcrobat 7を合法的に購入し、これらの製品を引き続き使用しなければならない場合にのみご利用ください。
とあります。
最後の文章に注目です。
繰り返して言う必要も無いとは思いますが、合法的に購入した人々に向けた限定のサービスです。

AdobeはこのタイミングでCS2を非正規に入手し、使用し始めたユーザーも厳密に取り締まるつもりではないようです。
このときに非正規ユーザーとなった人々サイドも、「CS2ならAdobeもうるさく言わないし、なんとなく使っていいみたい」という感じで安心して(?)使っている節があります。

さて、Adobeがうるさく言わないことも事実ではありますが、買っていないのにCS2を使うユーザーはあくまでも非正規ユーザーです。
声高にCS2ユーザーであることを周囲にアピールすべきでは無いでしょう。
モラルの欠如を露呈します。

正規にCS2を買って、いまだにそれを使い続けているユーザーもいるとは思いますが、大多数が非正規ユーザーとなった今、それと同一視される危険性も高く、たとえ正規ユーザーでもCS2ユーザーであるというアピールは自殺行為です。

僕ですか?
僕はCS1を買った後は5.5までバージョンアップせずに使い続け、今はサブスクリプションで最新バージョンを使い続けています。
5.5を買ったときはしばらくそのバージョンを使い続けるつもりだったのですが、なんだかんだでサブスクリプションに移行してしまいました。
不本意ではありましたがこうなってみますと、自分の周囲が全て最新バージョンと言う環境はファイルの受け渡しトラブルが少なく、実に良い物だと気づかされました。

Adobe Photoshop Elements 12 Editor
カテゴリ: 写真
現在の価格: ¥7,800

サイト作成者から見るWordPressユーザーの変化

wordpress

自分が初めてWordPressに触れたのは、札幌に来てまだ間もない2007年。
企業のウェブサイトを作るのにうってつけのシステムだと判断して、そこから様々なサイトを作成して納品して来ました。
最初の頃は日本語の資料も少なく、エラーと戦いながらノウハウを収集する日々が続きました。

この頃の日本においては普通の人がブログを書くのに独自ドメインを使うと言う事も少なく、自分でブログサービスを構築できるのが本来のWordPressの良さとは言え、こと日本においてはブログユーザーにおいての認知度は低かったと言えます。
そんなWordPressですが、最近は日本のブログユーザーにも使われる率も高くなってきました。


世界的に見て、人々によるWordPressに対する関心の向上は留まるところ知りません。
GoogleTrendで見ても顕著です。

この裏に、どんな変化があったというのでしょうか。
一つには、ブログユーザーのITリテラシーが向上し、より自由度の高いブログシステムが求められて来たと言う事があります。
もう一つはWordPressが、SEOやアフィリエイトに強いサイト造りのツールとして認知され、この部分に関心がある人々に認知されてきた事が言えます。
サイトを運営すると言うことは、ある程度までのフェイズにおいてはどこかのサービスに依存した方が良くもありますが、ある程度仕組みを学習できたのなら特定のサービスに依存せず、自力で運営した方が良い事もあります。

「どこでブログを書こうか?」
こんな判断を下すタイミングで、既存のブログサービスと引き合いに出されるようになったのが、サーバーにインストールするタイプのWordPressです。
あるニュースサイトで、「ブログをやるならアメブロかWordPressの二択!」みたいな記事を見て、ひっくり返った事があります。
違いすぎるだろ!って感じです。
でも確かに、どちらかが何かの方面においては強い・・と言うことは言えます。
極端な2者ですが、目的を達成する上で選択しておいて間違いの無い組み合わせと言えます。
(自分が選ぶのは決まっていますが・・)
今まで別なサービスを使っていた人たちが、サーバーインストール型のWordPressに移るケースも多くなってきました。

ブログをWordPressに移行することは、中々良いことですよ。
思うままにブログを書きたい人々は、どこかの掌の上で踊るのでは無くインターネットの荒海に、自らの力で漕ぎ出していけば良いんですよ。
漕ぎ出して行けるんですよ!

WordPressの他にもブログエンジンと呼ばれる呼ばれる物はありますが、WordPressの良いところはLinuxのように巨大なコミュニティの割に強い自浄能力がある部分と言えます。
コアはあくまでもコンパクトにとどめ、機能を拡張したい場合は各自でプラグインを入れてやりたいことを広げていく・・これは素晴らしい判断です。

自分がWordPressのサイトを造り始めた最初の頃は、いかにWordPressで造られているように見えないようにサイトを仕上げるか腐心していた物ですが(怪しい物と思われていた節もあり)、今はWordPressでサイトを作ること自体が誇りと言えるようにもなりました。
WordPressは今後もブログエンジンのスタンダードとして、そして通常のサイトを陰で支えるCMSとして、立ち位置を強めながら進化し使われ続けることでしょう。
WordPressと7年付き合ってきた自分はそう思います。

Macintoshの常駐プロセスを調べて動作の遅い原因を探る

心なしかMacintoshの動きが遅い。
余分なプロセスに、CPUパワーとメモリが食われているのではないだろうか?
そう思うようになった。

実はMacintoshのOS(OSX)にもWindowsのタスクマネージャーのような、現在アクティブなプロセス一覧を表示させる仕組みがある。
アプリケーションフォルダ内のユーティリティの中に、「Activity Monitor(アクティビティモニタ).app」というアプリケーションがあるので、それを起動すればいい。

しかし!
何と言う関連アプリケーションが使うプロセスなのか、デフォルト状態では表示出来ないのだ。

(さらに…)

WordPressサイトが突然エラーで見れなくなったよ

いくつか書いているBlogのうちの一つが、アクセスするとエラーコードを吐くようになっていたのに、さっき気づいた。
僕が作るサイトはほとんどがWordPressなのだが、こんなエラーは初めて見る。

wp-settings.php on line 213

何なんでしょうね?少しワクワク。

コードから見てプラグインまわりが怪しいと判断。
コンフリクトを起こしていないか、まずはチェック。
方法は簡単、プラグインフォルダから一つ一つプラグインを除去して行き、どのプラグインが入っているときに症状が出るのかを確かめる。
(wp-adminもエラーで表示できないので、プラグイン管理もできない)

これをやったところ、プラグインを1個も入れていない時だけ、エラーが出ずに正しく表示される。

つまりは、1個でもプラグインを追加しちゃうともうダメって事。

「おかしい・・」
灰色の脳細胞で考える。

「自動アップデートに失敗してるのではないか?」
こんな推理で手動アップデートを試みる。
こちらも簡単、公式サイトからzipファイルをダウンロードし解凍。
FTPで地道に既存ファイルを上書きしていく。

「昔を思い出すなぁ・・」
そう、昔(いつの話だよ!)、WordPressのアップデートはこうやっていたのだ。
上書きしちゃいけないwp-content内の自分で追加したファイルと、弄っちゃいけないwp-config.php以外をすべて綺麗に上書きしちゃうのだ。

そうしたら何事も無くサイトは正常に表示。
プラグインてんこ盛りでも全然大丈夫。

皆さん、WordPressの自動アップデートは、失敗することがあるのでご注意ください。