webサイトは毎日攻撃されている

グリコの商品
しばらくお店の棚で見受けませんね…


公式サイトから。
もう棚が他のメーカーに取られちゃってるね

ユニ・チャームも同じく
基幹システムのトラブルで
出荷が滞っているそうです。

この二つの例は、基幹システム用の
既存ソフトウェアをカスタマイズするときに

経営側と現場側の意向が中途半端に
反映されていたりしたんじゃないかなあ?
(詳しいことは分かりませんが)

一方で、「ニコニコ動画」は
サイバー攻撃を受けて停止
これも全面復旧はまだ先とのことで

いやあ〜コンピュータの
ソフトウェアって
本当に怖いですね〜

そんなソフトウェアで
僕のブログも
あなたのwebサイトも
動いているわけです。

その中でもシェアが多いのが
wordpressというソフトウェア

僕のブログもそうですし
工務店のwebサイトも
感覚的には7〜8割ぐらい
wordpressかなあ?

僕もwebサイトの制作を
依頼された際は
特に指定がなければ
wordpressでやります。

シェアが多いということは
情報も多い
ということで
制作がやりやすいのですが

情報が多いということは
悪意の対象にもなりやすくて

大量の脆弱性が発見されていて
その情報も共有されています。

脆弱性というのは
本来、存在しないはずの
セキュリティの穴があるということ

住宅で言ったら
玄関の鍵が実は何を突っ込んでも
開くようになっていたとか

鍵が閉まったように見えて
実は閉まっていないとか

壁だと思っていたところに
実は穴が開いていて
こっそり侵入可能だとか

そんな感じのヤバいやつです。

その脆弱性を検証するツールで
自分のブログを検証してみました。

検証ツールであると同時に
すなわち攻撃箇所を発見するツール
にもなるわけです。

WPSCanというツール

GitHub - wpscanteam/wpscan: WPScan WordPress security scanner. Written for security professionals and blog maintainers to test the security of their WordPress websites. Contact us via contact@wpscan.com
WPScan WordPress security scanner. Written for security professionals and blog maintainers to test the security of their...

例えば、wordpressの
初期値として用意されていた
admin
という管理者アカウントに対して

パスワードを次々に投げつけて
突破を図る総当たり攻撃なんかも
可能です。

僕のサイトは一定には対処をしているので
ひとまずヤバいところは見つかりませんでしたが
余談を許しませんね。

うちなんか狙われること
ないよ! 

みなさんおっしゃいますが
そんなことはありません。

数日前に設置したばかりの
wordpressのサイトも
早速攻撃を受けているのを
確認しました。

最低限のことは
対処してあったので
被害は受けていませんが

要するに
あなたのサイトも
必ず標的になっている

ということが言いたいわけです。

なお、攻撃されて
ズタズタになった後で
なんとかしてくれ、と頼まれても
どうにもできない
ことがあるので

(脅しておいて申し訳ないけど)
攻撃されたwordpressの
復旧作業は

顧問契約中のものだけを
対象とさせていただくことにしました。

それで
顧客の囲い込みをはかる、のではなくて

バックアップをきちんとしてあって
ソフトウェアの更新もちゃんとしておいて
という準備が必要なので

過去に制作させていただいたけど
現在、管理を引き受けていないものや

まして自分で作っていないものは
なんの準備もしていないわけで

そのあたりまでお助けするのは
難易度が高すぎるのです。
申し訳ないけど、ご理解くださいね。

脆弱性の調査
(というか攻撃)だけなら
やってみてもいいよ…