Tag Archive セキュリティ対策

ネオワーカーズサポートサイト > セキュリティ対策
前のページに戻る
一覧に戻る
メール

弊社へお見積りやご依頼時には、ご利用中のサーバーなどのログイン情報をお知らせいただく事がございます。

この時、メールで送付していただく事がほとんどですが、メールに直接記載する事はNGです。

  1. メール送信でログイン情報を直接記載するのが駄目な理由
    1. 盗聴のリスク
    2. 覗き見のリスク
  2. メールソフトの設定で対策する
  3. メールに直接記載しないで添付で送信しましょう。
  4. ログイン情報を記載したパスワード付ファイルの用意

メール送信でログイン情報を直接記載するのが駄目な理由

盗聴のリスク

例えばお客様から、弊社へメールを送信する時、お客様のPCから弊社のPCに直接メールが送信される訳ではございません。お客様のPC→お客様のメールサーバー→弊社のメールサーバー→弊社のPCと経由して送信されるのですが、単純にこの4つの機器を経由している訳ではきありません。インターネットの仕組み上、途中様々なサーバーを経由して情報が送受信されています。もし経由するサーバーの一つに悪意を持った管理者が居るサーバーやセキュリティの甘いサーバーを経由した時、送信途中の情報を抜き取られて(盗聴)しまうかもしれません。

送信する際に生データだと、送信される情報はメールに記載したママですので、容易に盗聴が出来てしまいます。メールソフトやメールサーバーには、これを防ぐ為に送受信する内容を暗号化する仕組みがありますので、メールソフトの設定時には、この暗号化で送受信する設定を利用しましょう。

 

覗き見のリスク

メールはパソコンや、スマートフォンなどで送受信を行いますが、メールを開いた時に誰かが後ろから見ているかもしれません。

バスや電車の中、カフェでノートPCでの仕事中、情報漏洩はそんな場面での覗き見から漏洩する事は少なくありません。

後ろの人が見て居なくても、カメラに録画されているかもしはれません。最近の監視カメラは安価なものでも、高解像度です。

どんな対策をしても100パーセント安全はありませんが、少なくともログイン情報をメールに直接記載しない事を習慣化する事で、リスクは大分減らせると思われます。

メールソフトの設定で対策する

メールソフトの送受信において、暗号化で送受信する設定はログイン情報のみならず、日々やり取りしている普通のメールの保護にも一役買います。例えば、お客様がインターネットを買い物したら、そこには個人情報が含まれています。この個人情報も、暗号化されていない情報だと、盗聴されて悪用されてしまうかもしれません。この機会に、メールソフトの認証方式の設定を見直してください。

以下のページをご覧いただき平文では無い認証方式の設定をしましょう。

 

メールの認証方式

 

どの認証方式を利用するかは、ご利用中のサーバーによって異なります。また設定方法しメールソフトによって異なります。ご利用中サーバーのサポートページなどで確認しましょう。

メールに直接記載しないで添付で送信しましょう。

 

少々面倒ですが、ログイン情報は次の手順でメールを送りましょう。

 

  1. 添付ファイルの用意
    ログイン情報を記載したパスワード付ファイルを用意します。
  2. 添付ファイルのメール送信
    1で用意したファイルを添付して送信
    ここで大事なのは、同じメールに解凍パスワード・文章を開く為のパスワードを記載しない事
  3. 別メールでパスワードを知らせる
    2とは別のメールで解凍パスワード・文章を開く為のパスワードを送ります。このパスワードは、直接記載でOK

ログイン情報を記載したパスワード付ファイルの用意

ログイン情報をメールで送るには、ファイルに記載して、そのファイル自体を開く為のパスワードを設定しましょう。

このパスワード付ファイルを用意する方法は以下をご覧ください。

 

パスワード付ファイルの用意

ログイン情報等の送付時の対策の関連記事

この記事には、以下の関連記事がございます。合わせてご覧ください。

前のページに戻る
一覧に戻る
ネオワーカーズサポートサイト > セキュリティ対策
前のページに戻る
一覧に戻る
セキュリティ

このページは、2024年04月24日に作成したページです。
このページに掲載している仕様・機能・操作手順は、現在リリースされているバージョンと異なる場合がございます。

弊社へお見積りやご依頼時には、ご利用中のサーバーなどのログイン情報をお知らせいただく事がございます。

また、それ以外にも原稿やロゴデータなどウェブサイト制作に必要な様々なデータをメールやオンラインストレージを利用してお送りいただく事になります。

その中には公開前の情報もあり、万が一第三者の手に渡ってしまい公開前にSNSで拡散されてしまうなど悪用されるリスクは極力避けるべきです。

この対策として弊社~お客様間のオンライン上でのデータのやり取りをする為に、そのデータはパスワード付ファイルとして送受信する事を推奨します。

  1. パスワード付ファイルの用意と送信
    1. 文章ファイルなど比較的軽いファイル
    2. 画像・デザインデータ・複数ファイルをまとめた圧縮ファイル
  2. パスワード付ファイルの用意と作成
    1. パスワードの決定
    2. 文章ファイルの場合
    3. 画像・デザインデータ・複数ファイルの場合

パスワード付ファイルの用意と送信

弊社~お客様間のオンライン上でのデータのやり取りをする場合は、以下の手順で送信してください。

 

文章ファイルなど比較的軽いファイル

  1. パスワード付ファイルの用意
    パスワード付ファイルを作成します。
  2. データ送信
    1で用意したファイルを、メール添付で送信しても構いません。この際、データの重要度が低いものは、ファイルを開く為のパスワードを記載して送信しても構わないと思います。
    ログイン情報など重要度の高いファイルは、このメールに記載せず別メールでパスワードを知らせてください。
  3. 重要度の高いファイルは別メールでパスワードを知らせる
    2とは別のメールで解凍パスワード・文章を開く為のパスワードを送ります。このパスワードは、直接記載でOK

 

画像・デザインデータ・複数ファイルをまとめた圧縮ファイル

  1. パスワード付ファイルの用意
    パスワード付ファイルを作成します。
  2. オンラインストレージにアップロード
    1で用意したファイルを、にアップロードします。この際、ダウンロードパスワードを設定してください。
    この時設定したパスワードと表示されるダウンロードURLは、必ずコピー&ペーストで、テキストファイルに保存しましょう。
  3. ダウンロードURLとダウンロードパスワードの送信
    2で取得した、ダウンロードURLとダウンロードパスワードをお知らせくださ。この際、データの重要度が低いものは、ファイルを開く為のパスワードを記載して送信しても構わないと思います。
    ログイン情報など重要度の高いファイルは、このメールに記載せず別メールでパスワードを知らせてください。
  4. 重要度の高いファイルは別メールでパスワードを知らせる
    2とは別のメールで解凍パスワード・文章を開く為のパスワードを送ります。このパスワードは、直接記載でOK

パスワード付ファイルの用意と作成

パスワードの決定

パスワードはローマ字の大文字小文字・数字・記号をランダムに並べた10桁以上の文字列である事が適切です。ここで使用するパスワードも、同じ規則で決定しましょう。またいつも同じパスワードを使いまわすことはやめましょう。この様なパスワードを自動生成して管理するソフトウェアがございますので、これを活用すると良いでしょう。

 

パスワードの決定について更に詳しく

文章ファイルの場合

単一の文章ファイルを送信する場合は、その文章ファイル自体のパスワード保護機能を使って、パスワードを設定すると良いでしょう。もし以下の様なパスワード保護機能が無い文章編集ソフトをご利用の場合は、単一でも画像・デザインデータ・複数ファイルの場合の方法で送信すると良いでしょう。

 

MicroSoft WordやExcelを利用

代表的なオフィス文書作成ソフトのMicroSoft WordやExcelには、保存の際にパスワードを設定する機能がございます。これを利用して、パスワード保護付きの文章ファイルを作成する事ができます。

 

WordやExcelにパスワードを設定する方法

 

※ パソコン工房NEXMAG 様のウェブサイトにリンクします。このリンクは2024年4月時点有効なリンクで、未来において削除される可能性がございます。

Adobe Acrobatを利用

PDFの開発元である、Adobe AcrobatではWordやExcelの他、テキスト形式のファイルからもPDFが作成できます。

.txtで作成したファイルをAdobe AcrobatでPDFを作成し、このPDFに対してパスワードを設定します。

※1 無償で使えるAcrobat Readerは、PDFの閲覧と印刷の機能が利用できるもので、作成は出来ません。

 

パスワードによる PDF の保護※2

 

※2 Adobeの公式サポートページにリンクします。このリンクは2024年4月時点有効なリンクで、未来において削除される可能性がございます。

 

 

画像・デザインデータ・複数ファイルの場合

比較的ファイルサイズが重い、画像・デザインデータや複数ファイルの場合は、ファイルアーカイバ(圧縮・解凍ソフト)を利用してパスワード付のZIP形式で保存したものを送信してください。

Windowsも、Macもファイルアーカイバは標準で利用できますが、Windowsの場合は、標準のファイルアーカイバでZIPファイルにパスワード設定する事は出来ません。ただ、無償利用できるファイルアーカイバがございますので、これを利用する事でパスワード付のZIPファイルを保存できます。Macのファイルアーカイバは、OS X Leopard以降であれば標準でパスワード設定する事が出来ますが、少々面倒です。

 

Windowsの場合

上記の通り、標準のファイルアーカイバでZIPファイルにパスワード設定する事は出来ません。以下のソフトウェアをインストールしてパスワード設定します。

 

7-Zip
7-Zipをダウンロード
7-ZipでZIPファイルにパスワード設定

 

※ どちらも7-Zipの日本語公式サイトにリンクします。このリンクは2024年4月時点有効なリンクで、未来において削除される可能性がございます。

 

 

Macの場合

Macでは、OS X Leopard以降であれば標準でパスワード設定する事が出来ます。但しパスワードなしでZIP圧縮する方法よりも、若干手間がああります。

 

MacでZIPファイルにパスワード設定

 

※ TCD様のウェブサイトにリンクします。このリンクは2024年4月時点有効なリンクで、未来において削除される可能性がございます。

パスワード付ファイルの用意の関連記事

この記事には、以下の関連記事がございます。合わせてご覧ください。

前のページに戻る
一覧に戻る
ネオワーカーズサポートサイト > セキュリティ対策
前のページに戻る
一覧に戻る
セキュリティ

このページは、2024年05月01日に作成したページです。
このページに掲載している仕様・機能・操作手順は、現在リリースされているバージョンと異なる場合がございます。

  1. パスワードの決定
    1. 予測しやすいパスワードがNGな理由
    2. パスワードの設定でやってはいけないこと
    3. 望ましいパスワード
    4. 面倒ならばパスワード生成ソフトを使う
  2. パスワード管理アプリを利用しましょう
    1. パスワード管理アプリが便利
  3. 代表的なパスワード管理アプリ
    1. パスワード管理アプリ
    2. ブラウザ標準やOS標準のパスワードマネージャー
    3. セキュリティソフトメーカーのパスワード管理機能アプリ

 

お客様のウェブサイトの運用に限らず、様々な場面でパスワードを入力する事が多いと思われます。

ウェブサイト運用でも次の様な場面でパスワード入力が必要です。

 

  • サーバーの設定をする為に、サーバー事業者が用意したサーバーコントロールパネルのログインID・パスワード
  • サーバーへのファイルアップロードする為のFTPのログインID・パスワード
  • テストサイトを外部の人が見れない様にする為に設定するBasic認証のログインID・パスワード
  • ウェブサイトを更新するシステムであるWordPressMovableTypeなどCMSのログインID・パスワード
  • GoogleアナリティクスGoogleサーチコンソールを利用する為に必要なGoogleアカウントのログインID・パスワード
  • Eメールを送受信する為にメールソフトに設定するメールアカウントのログインID・パスワード

 

これ以外にも、ウェブサイトによって様々な場面で、ログインID・パスワードが必要となります。

このページでは、そのパスワードについての安全に運用する為の決定方法・管理方法を説明します。

パスワードの決定

パスワードご自身で設定する場面も多いと思われます。そのパスワードの決定についてどんなパスワードが危険で、どんなパスワードが望ましいのかを説明致します。

 

予測しやすいパスワードがNGな理由

弊社のお客様の中にも、ウェブサイト不正侵入されて不正な操作を行われたなどの被害がございましたが、その原因の1位は予測しやすいパスワードを設定していた為です。そのパスワードが会社名+誕生日(例: kaisha1201)など予測しやすい上に、少ない文字数・少ない文字種(ローマ字小文字・数字など)で構成されたパスワードが設定されたログインシステムは、不正侵入者にとっては恰好の餌食です。

ブルートフォース攻撃

予測しやすいパスワードが何故危険なのか?何故簡単に見破られてしまうのか?それは、暗号解読の手法の一つであるブルートフォース攻撃(ブルートフォースアタック)に対して脆弱だからです。ブルートフォース攻撃は、「総当たり攻撃」や「力任せ攻撃」と言われており、例えば4ケタの数字だけのパスワードの場合、0000~9999まで1万通りの組み合わせを全て試すうちに、どこかで正しいパスワードで突破できてしまうという事になります。この中でもよく使われるのが、辞書攻撃と言われる良く使われるパスワードを辞書のように登録されたリストを使う方法です。

間違ったパスワードを複数回入力するとアカウントIDへのアクセスがロックされる様なシステムにも対応した手法が「リバースブルートフォース攻撃」でパスワードは固定にしてIDの組み合わせを総当たりする方法です。この場合、同一のIDに対して何度も別のパスワードを試す訳では無い為、ロックが掛かる事はありません。

またこれらは、人間の手で行うのではなく、自動化されたプログラム使って行われますので手間はかかりません。

 

 

 

 

パスワードの設定でやってはいけないこと

パスワードで使用する文字でNGなもの

パスワードを決定する際に、次の様な文字は使わない様にしましょう。

やってはいけないこと備考
自社や自分に関係する固有名詞を使う パスワードが自社名や自分の名前、ペットの名前、好きな車などをローマ字で表したものは予測しやすいので使用するのは止めましょう。ウェブサイトの運営会社名やサービス名を使うのは最も避けるべきですが、ペットの名前や好きな車の名前なども避けましょう。代表者のインスタやFaceBookから予測して、その固有名詞+総当たりされてしまう場合もあります。
実際に存在する英文や人名を使う 実際に使われる英単語や実在する人名やキャラクター名なども避けましょう。辞書攻撃でリストに入っている可能性が高いです。
誕生日など連続した数字を使う 1972年12月1日生まれだからと19721201など数字を連続した数字はNGです。総当たりで簡単に解読されてしまいます。

 

 

パスワードの設定や管理でNGな行為

パスワードを設定する際や、設定した後に次の様な行為は避けましょう。

やってはいけないこと備考
どのサービスでも同じパスワードを設定すること パスワードをどのログイン情報も、同じにしてしまう事は避けましょう。もしその中の一つからパスワードが流出した場合、それ以外の全てのログインを突破されてしまう危険性がございます。そのサイトやシステム毎に異なるパスワードを設定する様にしましょう。この場合、それぞれのパスワードを覚える事は出来ないのでパスワード管理アプリを利用しましょう。
決定したパスワードをメモに残してPCのそばに貼り付ける行為 お客様の元を訪れるとパスワードをPCの真横にメモ書きして貼り付けてある事がありますが、これは絶対にNGです。第三者が絶対にパスワードを盗まないという事はありません。社内の人間だけしか居ないから大丈夫という事もありません。
公共の場所でのログイン操作 不正侵入の原因で意外と多いのは、覗き見などのアナログな手段です。カフェなどでPCを使ってログインしてる様子が悪意の持った第三者に覗き見されている場合もあります。昨今は誰でもスマートフォンを持っているので、その様子を録画されているかもしれません。これを防ぐにはパスワード管理アプリを利用するのが有効です。パスワード管理アプリを使うと、パスワード自体は伏せられた状態でコピー&ペーストで入力できる為、覗き見されてもパスワード自体が見られる事は無いでしょう。
重要なものは、ネットカフェや職場など不特定多数の人が触れるPCでログインしない 不特定多数の人が触れるPCに万が一キーロガーと呼ばれるソフトウェアが仕掛けられていた場合、そのログイン情報が盗まれていまいます。キーロガーはキーボードの打刻履歴を記録するソフトで、その履歴が悪意のある第三者に盗まれる事になります。またコピペだから大丈夫という訳ではありません。クリップボードの内容を貼り付けされた時に、その内容を知らぬ間に記録して送信する様なマルウェアが仕掛けられている場合もあります。

 

 

 

望ましいパスワード

パスワードは以下の様なルールで決定するの良いでしょう。

 

次の様なパスワードが望ましい

アルファベットの大文字・小文字・数字・記号をランダムに並べたもので10文字以上

 

例: /t(wh\K2tYO~xpU

 

この様なパスワードは安全な反面覚える事は困難です。パスワード管理アプリに記録して管理・利用すると良いでしょう。

 

 

 

面倒ならばパスワード生成ソフトを使う

上記の様なパスワードを決定するのを自分で行うのは面倒です。パスワード管理アプリには、パスワード生成機能があるので、これを利用すると1クリックで安全なパスワードが生成できます。

パスワード管理アプリ Enpass でのパスワード生成
パスワード管理アプリ Enpass でのパスワード生成

パスワード生成サイトは要注意

パスワードを生成するサイトもありますが、あまりお勧めしません。何故ならそのサイト自体がパスワードを盗む目的の可能性もあるからです。

 

 

 

パスワード管理アプリを利用しましょう

上記の通り、パスワードはサイトやサービス毎に設定して、10文以上のランダムな文字列である事が推奨ですが、これを一つ一つ覚えておく事は困難でしょう。インターネット上のサービスでは、このパスワードを管理する為のツールがありますので、これを利用して複数のパスワードを管理すると良いでしょう。どれも、使い勝手が異なるのでご自身で使いやすいものを検討してみましょう。

 

パスワード管理アプリが便利

ほとんどのソフトがパスワード自動生成機能がある

ほとんどのパスワード管理アプリには、安全なパスワード生成をする為のパスワード自動生成機能がついておりワンクリックで、パスワードが生成できます。また、パスワードの危険度判定機能もあり、そのパスワードが安全かどうかを警告してくれる機能もあります。

 

異なるサイトやサービスのパスワードを一元管理できる

それぞれのウェブサイト、サービスで異なるパスワード設定する事が重要ですが、そうなるとその管理が大変です。パスワード管理アプリを使えば、その管理が容易になります。

 

異なる端末や場所で共用できる

PCや複数のスマートフォン間で、そのソフトに保存したログイン情報が共用できて、利用場所が違っても必要に応じてそのログイン情報を取り出す事ができます。

 

とは言っても100%流出しない保障は無い

残念ながら、パスワード管理アプリを使う事が安全とは言っても、それは100%ではありません。実際にクラウド上に保存されたデータをハッキングされて、そのソフトウェアを利用していたユーザーのログイン情報が全て流出してしまったという事案もあります。どのソフトも、利用規約にその場合の免責が記載されており、その保証は微々たるものです。特に、海外の開発元が多い為、日本の常識が通用しません。従って、どのパスワード管理アプリを利用するかは、そのソフトの評判や運営元の情報を調べた上で利用しましょう。

また、クラウド上に保存するソフトでは無く、ローカル上でのみ保存(又は保存を選択)できるものがより安全です。

 

 

 

代表的なパスワード管理アプリ

パスワード管理アプリ

パスワード管理に特化したアプリで、ブラウザ標準やOS標準のパスワードマネージャーやセキュリティソフトメーカーのパスワード管理機能アプリと比べて、その信頼性に若干の不安も残る反面、その使い勝手は良いものが多いです。

ブラウザ名異なるデバイスでのパスワード管理参考サイト
Keeper その使い勝手の良さから定評のある管理アプリです。パスワードに加えて、画像や動画などのファイルも安全に保管できます。体験版はありますが、使い続けるには、年額版・月額版を購入する必要があります。 公式サイト
Enpass Password Manager 無料でも十分な機能が使えるパスワード管理アプリで、幅広いOSに対応しています。指紋認証や「AES-256」方式の暗号化通信を採用しているためセキュリティは高く、オフラインでの利用も可能なのでクラウドに保存される不安も解消されます。 公式サイト

 

 

ブラウザ標準やOS標準のパスワードマネージャー

ブラウザやOSの標準機能としてパスワード管理アプリが利用できます。GoogleアカウントやAppleIDと紐づけされており、異なる端末間での利用も可能です。但し、ウェブサイトのログインに特化している為、少々使い勝手が悪いです。

ブラウザ名異なるデバイスでのパスワード管理参考サイト
Google パスワード マネージャー 同一Googleアカウントを利用しているAndroid端末やChromeブラウザで利用可能 パスワードを管理する
Firefox 同一Firefox アカウントを利用しているFirefoxブラウザで利用可能 Firefox のパスワードマネージャー
iCloud キーチェーン iphone、ipad、mac間で同一AppleIDを利用している端末間で利用可能 iCloud キーチェーンを設定する

 

 

セキュリティソフトメーカーのパスワード管理機能アプリ

セキュリティソフトメーカーが開発しているパスワード管理もあります。

セキュリティソフトメーカーというだけあって、そのセキュリティレベルは非常に高いと思われます。

ブラウザ名異なるデバイスでのパスワード管理参考サイト
ノートンパスワードマネージャー ノートンのセキュリティソフトを利用していれば利用可能 公式サイト
True Key マカフィーが提供するパスワード管理アプリ。無料版では15個まで保存可能。プレミアム版(有償)を利用すると無制限利用可能になります。 公式サイト
Trend Micro パスワードマネージャー 「ウイルスバスター」のトレンドマイクロ社が提供するパスワード管理アプリ。年額版・月額版(有償)を利用すると無制限のログイン情報を登録可能。無料版の場合はWindows版・Mac版は、無料版は5つまでのパスワードを登録可能。Android版・iOS版では、パスワードの無制限プランを30日間利用可能。 公式サイト

パスワードの決定とその管理の関連記事

この記事には、以下の関連記事がございます。合わせてご覧ください。

前のページに戻る
一覧に戻る
ネオワーカーズサポートサイト > セキュリティ対策
前のページに戻る
一覧に戻る
このページはMovableTypeご利用の方が対象です

このページは、2022年08月26日に作成したページです。
このページに掲載しているMovableTypeの仕様・機能・操作手順は、現在リリースされている最新バージョンのMovableTypeと異なる場合がございます。

このページに掲載している
MovableTypeのバージョン:
MovableType4.0以上

 

脆弱性の概要

 

コマンドインジェクションの脆弱性 (CWE-74) が存在します。Movable Type の XMLRPC API に、細工したメッセージを POST メソッドで送信することで、任意の Perl スクリプトを実行可能であり、これを通じて OS コマンドの実行も可能です。開発者によると、本脆弱性を悪用してもコマンドの引数に任意の値を与えて実行することはできないとのことです。

XMLRPC APIとは

XMLRPCとは、簡単に言うとXML形式のデータをHTTP通信でやり取りをする為のAPI(アプリケーション・プログラミング・インターフェイス ※)です。

※アプリケーション、ソフトウェアとプログラムを繋ぐ仕組み

Movable TypeのXML-RPC APIについて詳しくは、こちらをご覧ください。

対象となるMovableType

r.5202、6.8.6、Premium 1.52 以前のすべてのバージョン

  • Movable Type (Advanced) 7 r.4207 - r. 5202
  • Movable Type (Advanced) 6.0.0 - 6.8.6
  • Movable Type Premium (Advanced Edition) 1.0 - 1.52

この脆弱性は Movable Type 4.0 以降のすべてのバージョンに存在します。

MovableTypeバージョン毎の対策

MovableType7系ご利用の方

DBやコンテンツのバックアップを取った上で、Movable Type 7 r.5301にアップデートしてください。

Movable Type 7 r.5301は当セキュリティ問題のほか、多数の修正および機能改善を行っているそうです。

 

Movable Type 7 r.5301 リリースノート

MovableType6.5.x以降ご利用の方

DBやコンテンツのバックアップを取った上で、Movable Type 6.8.7 にアップデートしてください。

Movable Type 6.8.7は、 2022年 5月19日にリリースした Movable Type 6.8.6 向けパッチを含むセキュリティ問題の修正のみの対応しているそうです。

 

Movable Type 6.8.7 リリースノート

MovableType4以降~MovableType6.3.x以前ご利用の方

既にサポート終了しているバージョンの為、MovableTypeからアップデート版のリリースはありません。
次の方法で脆弱性の影響を回避、軽減することができるので対応を行なってください。

 

  1. mt-xmlrpc.cgi への外部からのアクセス制限を行う、IPアドレスでの制限や BASIC 認証などのアクセス制限を行う
  2. CGI/FCGI として利用している場合には mt-xmlrpc.cgi を削除する、もしくは実行できないようにする
  3. PSGI で実行している場合、Movable Type 6.2 以降と Movable Type Premium では、設定ファイル mt-config.cgi に RestrictedPSGIApp xmlrpc を設定する
  4. PSGI で実行している場合、Movable Type 6.1 以前では、設定ファイル mt-config.cgi に XMLRPCScript [ランダムで充分に長い文字列] を設定する

対策作業について

ご利用中のMovableTypeバージョンに該当する対策を実施してください。

 

保守契約をご利用のお客様または納品後3か月以内のお客様

ご利用中のMovableTypeが7又は6.5.x以降の場合

当社でアップデート作業を行います。(追加費用なし)

アップデート作業は、予めスケジュールを決定しテストサイトにて十分検証した上で、本番サイトを更新します。

これら一連の作業スケジュールについては、担当者よりお客様へご連絡いたします。

ご利用中のMovableTypeが6.3.x以前の場合

アップデートバージョンのMovableTypeに対する保守契約はございません。

納品後3か月以上のお客様で保守契約をご利用されていないお客様

ご利用中のMovableTypeに応じた対策をお客様で行ってください。

ご利用中のMovableTypeが7又は6.5.x以降の場合

お客様ご自身でアップデート作業を行ってください。また、テストサイトにて十分検証した上でアップデートしてください。万が一アップデートによりウェブサイトに不具合が発生しても当社ではその責を負う事は出来ません。予めご了承ください。

 

保守契約同様のアップデート作業を依頼する事も可能です。

保守契約同様のアップデート作業を弊社が行う事も可能ですが、別途費用が必要となります。お見積りをしますので、当社までお問合せください。 お見積り費用は、お客様のウェプサイトの事情によって変わりますので、こちらでの明示はしていません。(参考料金 : 5,5000円~)

ご利用中のMovableTypeが6.3.x以前の場合

これを機会に最新版のMovableTypeへアップグレードする事をお勧めしますが、予算の関係上難しい場合は上記の方法を対策してください。

この作業を弊社に依頼する事も可能ですが、別途費用が必要となります。お見積りをしますので、当社までお問合せください。 お見積り費用は、お客様のウェプサイトの事情によって変わりますので、こちらでの明示はしていません。

【重要】Movable type 4.0 以上(Advanced、Premium も含む)」における緊急性の高い脆弱性の関連記事

この記事には、以下の関連記事がございます。合わせてご覧ください。

前のページに戻る
一覧に戻る
ネオワーカーズサポートサイト > セキュリティ対策
前のページに戻る
一覧に戻る
Wordpress PHP アイキャッチ
このページはWordPressご利用の方が対象です

このページは、2023年04月03日に作成したページです。
このページに掲載しているWordPressの仕様・機能・操作手順は、現在リリースされている最新バージョンのWordPressと異なる場合がございます。

  1. WordPressバージョンとPHPバージョンの関係
    1. リリースされているWordpressが動作するPHPバージョンではない場合
      1. 推奨する対応
      2. 推奨するPHPバージョンではない場合
      3. PHPバージョンアップで想定される不具合
  2. あまりにも古いウェブサイトは、リニューアルを考える時
    1. リニューアルを考えた方が良いWordpressサイト
    2. PHPバージョンの先頭の番号が変わると不具合が出る可能性が大きい
  3. WordPressバージョンとPHPバージョンの対応表

WordPressバージョンとPHPバージョンの関係

リリースされるWordpressは、現在ご利用中のサーバーにインストールされているPHPが古いバージョンの場合、インストールできない場合があります。

現在利用中のサーバーにインストールされたPHPで、アップグレードできるWordpressバージョンは、WordPressバージョンとPHPバージョンの対応表をご確認ください。

 

リリースされているWordpressが動作するPHPバージョンではない場合

現在利用中のサーバーにインストールされているPHPが古い場合は、以下の様がメッセージが表示されてWordpressがアップデートできません。

その場合は、どのような対応をすべきか説明します。

更新しようとするWordpressは、利用中のPHPでは動作しないという表示
動作するPHPバージョンではない場合

 

推奨する対応

脆弱性が発覚していないWordpressバージョンをご利用するには緊急性はありませんが、いずれにせよこのメッセージが出ている場合、その状態でWordpressを使い続ける事は危険です。

この状態ですと、プラグインをアップデート出来ない(アップデート出来ても不具合が発生する可能性が高い)のでなるべく早めに対処する必要があります。

 

上位VerのPHPへ切り替えが可能な場合

サーバーによっては、使用できるPHPバージョンが選択できる機能がございます。

一番新しいPHPバージョンに切替をする事をお勧め致します。

例えば当社がお勧めしているXサーバーでは、FQDN毎に、PHPバージョンの切替が出来ます。

上位VerのPHPへ切り替えができない場合

利用中のサーバー事業者にPHPバージョンのアップグレードが出来ないかご相談ください。

アップグレードが出来ない場合は、別のサーバーへの乗り換えをご検討ください。

当社にご相談いただければ、最新のPHPバージョンに切替が可能で、お客様のウェブサイトに最適なサーバーをご提案致します。

 

サーバーへの乗り換えを相談する

 

 

 

推奨するPHPバージョンではない場合

最新のWordPressが動作しても、PHPが推奨バージョンよりも低い場合は、次の様に表示されます。

推奨するPHPバージョンではない場合

 

推奨バージョンよりも低いPHPバージョンであった場合でも、動作バージョンのWordPressはインストールできます。

但し、そのWordPressに合わせてアップグレードされた一部のプラグインが動作しない事がございます。

また、近い将来リリースされるWordPressバージョンで動作対象から外れる事が予測できますので、緊急ではありませんが最新のPHPバージョンへの切替(切替不可の場合は、サーバー乗り換え)を計画してください。

 

 

 

PHPバージョンアップで想定される不具合

WordPressは、PHPのバージョンとWordpressバージョン、プラグインバージョン、テーマファイルの4つの要素が密接に関係してきます。

例えばPHPバージョンアップでWodpress自体は対応しないという事はありませんが、利用しているプラグインが対応していない場合もあります。また、テーマファイルが対応しておらず修正が必要となる場合がございます。

 

 

 

あまりにも古いウェブサイトは、リニューアルを考える時

wordpress自体もPHPも古いバージョンのまま利用している場合は、ウェブサイトのリニューアルをお考えください。wordpress、PHP、プラグイン全てを新しくしてもWordpressに登録されている記事や固定ページ、それを出力する為のテーマファイルが対応しておらず各所に不具合が出る可能性が高いです。

リニューアルを考えた方が良いWordpressサイト

現在リリースされているWordpressの前世代の初期バージョンや前世代より前のバージョンは、リニューアルを考えた方が良いと思われます。

 

例えば現在リリースされているバージョンが6.5の場合、5.3以上は大丈夫です。5.0~5.2はそろそろリニューアルを考える時期でしょう。
4系以下はリニューアル必須と思われます。

 

リニューアルを相談する

PHPバージョンの先頭の番号が変わると不具合が出る可能性が大きい

PHPに限らずWordpressも、プラグインも、その他のプログラム言語・ソフトウェアなどもメジャーバージョンアップとマイナーバージョンアップという概念があります。何がメジャーで何がマイナーかはそのプログラム言語・ソフトウェアによって異なります。例えば、Wordpressの場合は、6.2~6.3の様なドット区切りの1番目・2番目が上がる場合は、メジャーバージョンアップで6.2.1~6.2.2のドット区切りの3番目の数字が上がる場合をマイナーバージョンアップと言います。対してPHPは数字の一個目の変更がメジャーバージョンアップ、2個目がマイナーバージョンアップ、3個目はセキュリティバージョンアップとされています。PHPのメジャーバージョンアップでは、新機能の追加や処理速度の向上など機能自体に大幅な変更されます。PHPのメジャーバージョンアップはある程度異なるバージョンとの互換性も考慮されていますが、機能向上やセキュリティ面での向上を目的に命令の削除や仕様が変更される事が多く、旧バージョンで開発したPHPアプリケーションが正常に動作しないことがあります。

WordPressもプラグインもPHPを使ったPHPアプリケーションであり、その出力処理を指定しているテーマファイルもPHPで組まれています。その為、PHPのメジャーバージョンアップをすると、ウェブサイトの色々な部分でPHPエラーが出てしまい全く機能しない部分や、不具合が発生してしまう場合があります。

 

当社では、この様にPHPのメジャーバージョンアップをテストサイト上で検証し、動作検証と不具合の解消を行うサービスを行っていますので、ぜひご利用ください。

 

WordPressサイトのPHPバージョンアップ

WordPressバージョンとPHPバージョンの対応表

 

WordPress
バージョン		動作する
PHPバージョン		推奨される
PHPバージョン		WordPress
リリース日
4.0 5.2.4 ~ 5.6 5.6以上 2014年9月4日
4.4~4.6 5.2.4 ~ 7.0 5.6以上 4.4 - 2015年12月8日
4.5 - 2016年4月12日
4.6 - 2016年8月16日
4.7 ~ 4.8 5.2.4 ~ 7.1 7.0以上 4.7 - 2016年12月6日
4.8 - 2017年6月8日
4.9.0~4.9.4 5.2.4 ~ 7.2 7.0以上 4.9 - 2017年11月15日
4.9.5 ~ 4.9.x 5.2.4 ~ 7.2 7.2以上 4.9.5 - 2018年4月3日
5.0 ~ 5.1 5.2.4 ~ 7.3 7.3以上 5.0 - 2018年12月6日
5.1 - 2019年2月21日
5.2 5.6.2 ~ 7.3 7.3以上 5.2 - 2019年3月7日
5.3 ~ 5.4 5.6.2 ~ 7.3 7.3以上 5.3 - 2019年11月12日
5.4 - 2020年3月31日
5.5 5.6.2 ~ 7.4 7.4以上 5.5 - 2020年8月11日
5.6 5.6.2 ~ 8.0 7.4以上 5.6 - 2020年12月8日
5.7 ~ 5.8 5.6.2 ~ 8.0 7.4以上 5.7 - 2021年3月9日
5.8 - 2021年7月20日
5.9 5.6.2 ~ 8.1 7.4以上 5.9 - 2020年12月8日
6.0 ~ 6.2 5.6.2 ~ 8.1 7.4以上 6.0 - 2022年5月24日
6.1 - 2022年11月1日
6.2 - 2023年3月29日
6.3 7.0 ~ 8.2 7.4以上 2023年8月29日
6.4 ~ 6.5 7.0 ~ 8.3 7.4以上 6.4 - 2023年11月7日
6.5 - 2024年3月26日

WordPressのPHPバージョン動作環境の関連記事

この記事には、以下の関連記事がございます。合わせてご覧ください。

前のページに戻る
一覧に戻る
ネオワーカーズサポートサイト > セキュリティ対策
前のページに戻る
一覧に戻る
認証

公開前の動作確認URLにアクセスしたら表示される認証

 

サイトの開発中や、制作完了時などに、その制作物をお客様に確認していただく為に、テストサーバーや本番環境にアップロードしたURLをご確認していただきます。

その際に、そのURLをクリックすると、IDとパスワード入力を求められ正しいID・パスワードを入力しないとアクセスできない事があります。

 

その場合は、事前にBasic認証情報をお知らせしますので、お知らせした情報でログインしてください。

 

Basic認証とは

BASIC認証とはサーバー上の機能で、設定をすれば特定のディレクトリに対してパスワードロックをかけることができます。

BASIC認証でロックをしたコンテンツはIDとパスワードが合致しなければ閲覧することができないため、公開前のサイトや特定の人だけに見せたいサイトなどに使用します

ベーシック認証

 

ログイン方法

ブラウザによって、ログイン画面のデザインに違いはありますが、ログイン方法は同じです。

お知らせしたBasic認証情報に記載のユーザーID、パスワードをコピーして、入力欄にペーストしてログインください。

必ず、コピー&ペーストで入力

必ず、コピー&ペーストで入力してください。

コピー&ペーストを使う事で、入力ミスによるログインエラーを防ぐ他、キーロガー対策(入力した文字を監視するスパイウェア)にもなります。

 

ログインできない場合

ベーシツク認証エラー

ログインに失敗すると上の画像の様な、エラー画面が出て先に進む事が出来ません

コピー&ペーストで入力しているのに、エラー画面となる場合は次の原因が考えられます。

  • ユーザーIDとパスワードが逆。又は両方ともユーザーID
  • ユーザーID、パスワードの前又は後ろに半角スペースが入っている

Basic認証のログイン方法の関連記事

この記事には、以下の関連記事がございます。合わせてご覧ください。

前のページに戻る
一覧に戻る
ネオワーカーズサポートサイト > セキュリティ対策
前のページに戻る
一覧に戻る
常時SSL化設定代行

常時SSL化をお勧めする訳

従来のHTTP通信は、訪問者に送信するデータを平文(暗号化されていない状態)のまま送信します。この方式では盗聴・盗聴からのデータ改竄、悪意のあるサイトへの誘導、ウェブサイトのなりすましなどの被害の糸口となります。

昨今はより生活におけるインターネットの依存度が高くなった影響で、運営側・訪問者双方に対する被害も急増しており、手口も巧妙になって来ております。

SSLは、サーバーと訪問者間の通信を暗号化し、サーバーの正当性を証明する事で、より安全な通信を実現します。SSL証明書をご利用中のサーバーにインストールする事で、常時SSL化ウェブサイトとして運営する事ができます。

SSL証明書について詳しくはこちら

 

常時SSL化によって、全ての被害を防ぐ事は出来ませんが、ウェブサイトの脆弱性対策として有効です。未だSSL化されていないウェブサイトを運営されているお客様がおりましたら、是非常時SSLをご検討ください。

 

SSLを導入されていないお客様向けに、常時SSL化設定代行サービスをご用意しております。ぜひご検討ください。

常時SSL化設定代行サービスについて

 

常時SSL化とは

ウェブサイトの一部コンテンツだけに、SSLを導入するのではなくサイト全体にSSLを導入する事です。

数年前まで、SSL証明書を導入するウェブサイトは問い合わせフォームや、アンケートフォームなどフォームを設置したサイトの限られたコンテンツのみに導入するのが、通常でした。

ウェブサイト全体にSSLを導入するサイトは、ECサイトやグループウェアなどサイト全体がセキュアである必要があるウェブサイトくらいでしたが、昨今はどんなサイトでも、サイトのどのページでもSSL通信すべきという傾向にあります。

 

今やウェブサイトに常時SSL化は欠かせない。その訳は?

常時SSL化がウェブサイトの標準となったのは、2018年7月に公開されたGoogleのブラウザ「Chrome68」がきっかけです。既に世界シェア一位の座にあるブラウザの、このバージョンでは全てのHTTP通信(SSL暗号化されていない)ウェブサイトに対し、「保護されていない通信」と表示される様になりました。

他のブラウザもこれに倣い、SSLで無いウェブサイトに対してアドレスバーに何らかの警告を出す様になりました。

 

各ブラウザの警告
google chromeの場合 クローム 非SSL FireFoxの場合 firefox 非SSL MicroSoft Edgeの場合 edge 非SSL

 

SEO対策への影響

常時SSL化が普及したきっかけは、常時SSL化にすればSEO対策になるという噂が流れた事も原因かと思われます。

確かにgoogleは、HTTPS対応したウェブページを優遇するというコメントを出しています。

(参考)開発者向けのブログでのコメント

但し、これはインターネット全体を安全にする為の、グーグルからの飴であり単なる基準の一つに過ぎません。

常時SSL化のススメの関連記事

この記事には、以下の関連記事がございます。合わせてご覧ください。

前のページに戻る
一覧に戻る

カテゴリー

All Rights Reserved Neoworkers

HTML Snippets Powered By : XYZScripts.com