アップデートと脆弱性
 
アップデートと脆弱性, Wed, Jun 21, 2023, 5:00 AM | Meetup
WordPress を安全に継続利用するためにアップデートは必要不可欠です。アップデートには脆弱性対する解決も含まれているためです。 ただ、「もしかしたらサイトが壊れてしまうかもしれない。」と考えてなかなかアップデートを恐れてしまう方がおられることも事実です。 今回のワークショップでは、安全なアップデートのための手順や手法などをお伝えしま
www.meetup.com
アップデートと脆弱性, Wed, Jun 21, 2023, 5:00 AM | Meetupwww.meetup.com

自己紹介

  • mgnの大串です。メガネと呼ばれています。

本日の趣旨説明

  • WordPressアップデートと脆弱性ということで、どうしたら安全にWordPressを利用し続けられるか。その内容をお届けします。

■WordPressの脆弱性とその対策について

脆弱性とアップデートの関係性

WordPressは脆弱なのか?
  • そんな事はありません
  • いや、そんな場合もあります。(アップデートをしているかどうか)
  • 多くの場合はプラグインの問題

脆弱性のニュース発表について
  • 脆弱性が発見され、開発者などに報告される
  • その対応がなされたバージョンが公開される
  • ニュースが発表される

WordPressに限った話ではない
  • ソフトウェアには脆弱性が生まれる可能性がある
  • その脆弱性を埋めながら進んでいく
  • たとえばPCのOSアップデートにも、スマートフォンのアップデートにも脆弱性への対応が含まれることがあります。
  • WordPressの報道が多く感じるのは、利用者が多いため。ニュースになりやすいため。多くのプラグインが公開されているため。

アップデートと同様にもしくはそれ以上にまずはパスワードを難しくする

  • ソフトウェアが乗っ取られるのは以下の2つから始まる可能性が高い
  • 脆弱性を突かれる
  • 認証を突破される
  • WordPressの場合の認証はログイン
  • まずはパスワードを難しくしましょう。
  • WordPressがdefaultで提案するパスワードと同等か、それ以上に難しくすることを推奨します
  • 24文字以上、大文字、小文字、数字、記号を含んだ、意味のない文字列


脆弱性はWordPressだけでなく、動作させるためのソフトウェア(ミドルウェア)にもあります

  • 以下のミドルウェアもバージョンアップが必要
  • PHP
  • MySQL
  • ApacheやNginxといったWebサーバー
  • LinuxなどのOS
  • 一般的な共有レンタルホスティングであれば、PHP以外は、常にメンテナンスされているはずです。
  • 通常、クラウドサーバやVPSサーバの場合、ミドルウェアのメンテナンスも利用者が行う必要があります。このケースは要注意です。
  • 共有レンタルホスティングであっても。PHPについてはサーバの管理画面からアップデートすることが必須
  • 2023-06-21現在のPHPのサポートについて
 
User-uploaded image: image.png


自分のWordPressの環境を確かめる方法

  • ツール → サイトヘルスより確認いただけます。
  • WordPress関連