(2025.11.10)
WordPressを運用しているので「独自ドメイン」を使用している。
「お名前ドットコム」からのメールで
セキュリティ診断「ネットde診断」が未設定であること、
対策がない場合にWebサイトが第三者に乗っ取られ、
「攻撃サイト」へ改ざんされる危険性が高まるという。
……自宅パソコンのセキュリティに不安があったし
WordPressのログイン画面でパスワードを変更するように求められてたし
今までにないことが起こっていて……不安にはなっていた。
ということで「ネットde診断」をやってみると……
「大至急対策」のレベルEだった……(滝汗)
ちなみにレベルはAからEまで。
……一番最悪なレベル……orz……
「至急対策が必要」
脆弱性が報告されているバージョンのソフトウェア(openbsd openssh)PoCを利用している
OpenSSHは、SSHプロトコルを実装したオープンソースのソフトウェア。
クライアントとサーバー間の通信を暗号化することで、
リモートでの安全な接続やファイル転送を可能にし、中間者攻撃などから保護する。
Unix/Linuxシステムに標準で搭載されており、
Windowsにもオプション機能として組み込まれている。
いろいろ調べてみると……気になるサイトを見つけた
「JVN iPedia 脆弱性対策情報データベース」
「マイクロソフトの複数の Microsoft Windows 製品における
リモートでコードを実行される脆弱性」
この一覧の中に
Microsoft Windows 11 version 21H2 for ARM64-based Systems
Microsoft Windows 11 version 21H2 for x64-based Systems がある。
「21H2」……またこれか……
前日に「21H2」から「25H2」にアップデートをしたばかり。
まだ反映されていないのか?
……もしかするとダメなのか……。
「すみやかに対処」
サポートの終了したソフトウェア(jQuery/1.12.4)を利用
「JVN iPedia 脆弱性対策情報データベース」
「jQuery におけるクロスサイトスクリプティングの脆弱性」
要するに……最新バージョンにアップデートをしなければならないらしい。
現在は2023年8月28日にリリースのバージョン3.7.1らしい。
1.12.4は2016年5月21日リリース、既にサポートは終了している。
さて……どうしたらいいのか……
プラグイン「jQuery Update」をインストールして有効化してみたけれど……。
「対策してください」
管理用パスワード認証ページへアクセス可能(WordPress)
二要素認証導入したほうがよさそうだ……
「対策してください」
既知の脆弱性が存在するWordPressプラグイン利用(Copyright Proof)
脆弱性が報告されているらしい。
これは最新のバージョンにアップデートすればいいのかなと思っていたけれど
停止していたので、この際使っていないプラグインは全て削除、
またバージョンがアップしていなかったプラグインに関しては、
同じようなプラグインをインストールし直した。
それによってPHPのバージョン「PHP7.0.33」から「PHP8.3.21」へ。
ネットでいろいろと調べWordPressのセキュリティを強化するプラグイン、
「Wordfence Security Firewall, Malware Scan, and Login Security」をインストール。
このプラグインを有効化、設定まで詳しく載っているサイトを参考に
二要素認証(2FA)の設定を行う。
Authenticatorアプリが必要だったので
「Google Authenticator」をスマホにインストール、Wordfenceと紐づけた。
それによってログイン画面で「ユーザー名」「パスワード」を入力、
「Google Authenticator」に表示される数字を入力すればログインできるようになった。
やれやれ……と思っていたら、こんな画面が出てきた
「Google Analyticsの設定ができていない」と。
えっ!何年か前に設定をしたはずなのに……
一体どうなっているの??
コメント