WebRepairで最近取り扱いが多い改ざん事例は相変わらずWordPressですが、JoomlaやMovable Type、また独自CMSの改ざん復旧も行っています。
改ざん被害の直接の原因として多いのはやはり「アップデートをしていない」ことなのですが、その背景として最近多いのがVPSサーバーです。
VPSサーバーを使っているがアップデートできない
レンタルサーバーよりも自由度の高いVPSサーバーを採用したものの、このサーバー自体のアップデートができず、結果としてWebアプリケーションのアップデートができない、こんな事例が増えています。
最新のCMSやプラグインに対応しようとすると、例えばPHPの5.5以上などと縛りが出るわけですが、サーバー側でのPHPのアップデートができない。
それ故にCMSやプラグインのアップデートができず、放置されてしまう。
放置された脆弱性を起点として、改ざん被害にあう。
こういう流れです。
特にWeb制作会社様に多く、サーバー側の設定ミスからサーバー内の全Webサイトが改ざんされるといった被害もあります。
また個々の企業でVPSサーバーを採用している場合でも、なかなかアップデートができない、できる人がいないというケースがあります。
サーバーアップデートは必須です
昨今は様々なチュートリアルもネットで拾うことができ、VPSやクラウドの利用も広がっています。
確かにそうしたチュートリアルを見ながら「サーバーを構築してみる」ことはできるでしょう。
しかしながらサーバーはアプリケーションを動作させる大きなベースです。パッチも当てられない、アップデートもできなければ、サーバー自体に脆弱性が残されてしまうのはもちろん動作するアプリケーションも脆弱性を抱えたままになってしまいます。
テスト環境を必ず持つこと
自社でVPSなどを管理する場合、テスト環境を持つことは重要であり、必須です。
アップデートの結果アプリケーションが動作しなくなる場合もありますから、事前にアップデートの内容をきちんと把握するのはもちろん、テスト環境できちんとテストをしましょう。
このテスト環境を持っていないお客様が大変多いのですが、これは必須です。
いきなり本番環境でアップデートしようとすれば、確かにリスクがあり躊躇するのも分かります。
本番環境と同じ仕様のテスト環境を持ち、そこでアップデートのテストを行い、本番に挑みましょう。
被害後だとコストコントロールが難しくなります
改ざん被害等に遭ってから急きょアップデートとなる場合、アプリケーション側の不具合も発生することが多いですからその修正も必要になります。
コストは通常よりも膨らみます。
しかし集客などを考えると急ぎやらなければならないワークになってしまう。
タイミングやボリュームなど、コストコントロールがほぼできない状態になってしまいます。
事前にきちんとやっておけばコストは自社でコントロールできますが、それを許さない状況に必然的に追い込まれてしまうのです。
定期的かつ速やかなアップデートを適時実施するようにし、アプリケーションの修正、ないしリプレースに余裕を持って臨みましょう。
カテゴリ:Webサイト改ざん
タグ:VPS,アップデート,セキュリティ
【WordPress】コンテンツインジェクションの脆弱性で改ざん被害が多発中、4.7.0-4.7.1のバージョンは直ちにアップデートを!