Tag Archive 脆弱性

Wordpress
このページはWordPress+All in One SEOご利用の方が対象です

このページは、2022年01月11日に作成したページです。
このページに掲載しているAll in One SEOの仕様・機能・操作手順は、現在リリースされている最新バージョンのAll in One SEOと異なる場合がございます。

このページに掲載している
All in One SEOのバージョン:
All in One SEO4.1.5.2以下

「All in One SEO」は、SEO対策として有効なMETA情報の登録等が容易に行える為、当社のお客様にも必ずと言ってよい程、導入させていただいております。

この「All in One SEO」に脆弱性が発覚致しました。WordPressをご利用のお客様で、「All in One SEO 4.1.5.2以下」を導入しているWebサイトをご利用のお客様はアップデートしてください。

※WordPress保守契約をご利用のお客様または納品後3か月以内のお客様は既に当社で対応済です。

 

脆弱性の概要

サイバーセキュリティ企業のSucuriは、「All in One SEO」に2件の脆弱性が報告されており、このプラグインを利用中のWebサイトが影響を受ける恐れがあるとして注意を促しました。

これらの脆弱性を放置すると、攻撃者によってWebサイトの乗っ取りやデータベースに記録された情報の悪用の危険があると注意喚起しています。

 

 

以下2件の脆弱性が報告されています

認証されたユーザーによる特権昇格の脆弱性(バージョン4.0.0から4.1.5.2に影響)

All in One SEOがWordPressのREST APIにアクセスする際の権限チェックに関連する脆弱性です。悪用されると、攻撃者はWordPressの構成ファイルを書き換え、結果的にWebサイトを乗っ取ってアカウントの特権を管理者に昇格できる可能性があります。

 

 

認証されたユーザーによるSQLインジェクションの脆弱性(バージョン4.1.3.1から4.1.5.2に影響)

特定のエンドポイントに対するSQLインジェクション攻撃が可能な脆弱性です。対象のエンドポイントは権限の低いアカウントからアクセスできるようにはなっていないものの、前述の特権昇格の脆弱性と組み合わせることによって攻撃に利用することが可能となります。これによって、攻撃者はデータベースからユーザーの資格情報や管理者情報などの機密データを取得できる可能性があるといいます。

 

 

いずれの脆弱性も、悪用するには攻撃者がWebサイトに対する何らかのアカウントを持っている必要がありますが、アカウントの権限は「購読者(Subscriber)」と同等の低レベルのもので十分とのことです。

 

 

アップデート対応について

 

 

WordPress保守契約をご利用のお客様、共用サーバマネージドプランご利用のお客様、または納品後3か月以内のお客様

既に当社にて対応済です。

 

 

納品後3か月以上のお客様でWordPress保守契約をご利用されていないお客様

お客様ご自身でアップデートしてください。

なお「All in One SEO」は、Webサイトの表示や動作には直接関係のないプラグインですので、アップデートによる不具合は出難いと思われます。従って、検証せずアップデートしても問題ありません。

コーディング

サイトで利用中の各アプリケーションの脆弱性をついてサーバーへの不正侵入が発覚した場合は、速やかに以下の対処を行う必要があります。

サーバーへの不正侵入は、その目的は様々ですが多くは、お客様のサイトに訪れた訪問者に対するウイルスの拡散です。

お客様のウェブサイトを踏み台にして、第三者へのウイルス被害を拡散される事を防止する為に、出来るだけ早く対策を取る必要があります。

不正アクセスが発覚した時の対処

  1. 可能な限りパスワード関係を変更する

    FTPやCMSのログインパスワードなど、サーバーのコントロールパネルや、CMSの管理画面から変更できるログインパスワード関係を全て変更してください。

    ただしDBのパスワードは、変更してしまうとサイト自体が表示できなくなってしまいますので変更しないでください。

    簡単に予測出来てしまう様なパスワードにはしないでください。12文字以上で、記号・大文字・数字を1つ以上混ぜたパスワードを設定してください。

    また、異なるサービスのパスワードを全て同じものを設定しないでください。変更したパスワードは、パスワード管理ソフトなどを使って記録しておくことをお勧めします。

  2. データベースをバックアップ

    データベースを利用しているサイトは、データベースを全てバックアップします。

  3. サーバーのデータをバックアップ

    サーバー上のデータをバックアップします。

    但し、バックアップしたデータをクリックしないでください。

    見覚えのあるファイルでも、改ざんされファイルを開く事で、ウイルス感染してしまう場合があります。

    バックアップしたデータは、USBメモリなど隔離できる記憶装置に保存してください。バックアップが完了したら、セキュリティソフトのスキャン機能を実行した上で、保存した記憶装置を作業PCから抜いてください。

    ここでバックアップしたデータは、再度アップロードする為ではありません。後に原因究明の必要がある場合の為です。

  4. サーバー上のデータを全て削除

    サーバー上のデータを全て削除します。

    見覚えのあるファイルでもウイルスをダウンロードさせるスクリプトが埋め込まれている等、不正な記述に書き換わっている可能性があります。その場合、お客様のWEBページがウイルスの感染源となり、被害を拡散させる事になります。
    実際に書き換えが行われたコンテンツの調査は困難である為、これらのデータは諦めるしかありません。

     

    隠しファイルの表示

    ファイル名やディレクトリ名の先頭に「.(ドット)」が付いていると隠しファイルとして隠される為、表示されていない場合があります。FTPソフトの設定で隠しファイルも表示する設定にしてください。

     

    削除できないファイルがある場合

    サーバーの所有権を変更され、削除できないファイルが存在する場合は、ご利用中のサーバー会社に依頼してください。

  5. 再度FTPパスワードの変更

    サーバー上のデータを全て削除したら、念の為再度FTPパスワードを変更してください。

    複数のアカウントを設定している場合は、全てのアカウントのFTPパスワードを変更します。

  6. メンテナンス中用HTMLのアップロード

    サイトを再開出来る段階まで、ウェブサイトはメンテナンス中とする必要があります。

    何もファイルが無い状態ですと、NotFoundになってしまう為、訪問者に不信感を与え検索ロボットも閉鎖されたサイトと判断してしまいます。

    メンテナンス中用のHTMLを自力で用意できない場合は、弊社までお問合せください。メンテナンス中用のHTMLファイルを提供します。(無償)

  7. 社内PC環境のセキュリティチェック

    ご利用の社内PC環境にて、下記のようなセキュリティ(ウイルス)対策を実施し、ウイルスに感染していないことを確認してください。

    • セキュリティ対策ソフトを利用し、ウイルス定義ファイルを最新の状態に更新しウイルススキャンする。
    • Windows UpdateなどOSを最新の状態へアップデートする。
    • 利用中のFTPソフトなどを最新版にアップデートする
  8. サイトの復旧

    以下の各作業は、弊社で代行して行う事も出来ますが、有償作業となります。弊社にお見積り依頼の上、ご依頼ください。

    ※但し、弊社に依頼されても完全に元通りの状態にする訳ではございませんのでご了承ください。

     

    定期的なバックアップがある場合

    不正アクセス発覚より前のバックアップがある場合は、そのバックアップをウイルススキャンした上でサーバーにアップロードします。

    使用するバックアップデータは、不正アクセスされた日よりも前のものをバックアップする必要があります。発覚後にバックアップしたサーバーデータのファイルから改ざん日を推測して、それよりも前のデータで復旧してください。

    またバックアップ以降の更新に関しては、再度更新して対応する必要があります。

     

    定期的なバックアップをしていない場合

    3でバックアップしたデータは、既に改ざんされている可能性がある為、再度アップロードしてしまう事は避けてください。

    確実に問題ない事を確認できる場合のみ、自己責任で再アップロードしてください。

    また、サイトの構造によってはバックアップが無くても復旧できるケースもございますので、弊社までご相談ください。

     

    当社納品時のデータが残っている場合

    納品時にお渡ししている「納品後の各種修正対応について」に記載の通り、納品後1年間は納品データを弊社にて保存しております。

    有償作業となりますが、納品時の状態になら戻す事が可能です。

このページはMovableTypeご利用の方が対象です

このページは、2021年11月18日に作成したページです。
このページに掲載しているMovableTypeの仕様・機能・操作手順は、現在リリースされている最新バージョンのMovableTypeと異なる場合がございます。

このページに掲載している
MovableTypeのバージョン:
MovableType4.0.x以降

「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性が発見されました。

XMLRPC API には、OS コマンド・インジェクションの脆弱性が存在し遠隔の第三者によって、任意の OS コマンドを実行される可能性があります。

悪質な攻撃が観測されており、見知らぬ PHP ファイルなどを設置されたり .htaccess を書き換えられてサイトの閲覧に影響が出るなどの被害が確認されています。

「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について(JVN#41119755)

 

XMLRPC APIとは

XMLRPCとは、簡単に言うとXML形式のデータをHTTP通信でやり取りをする為のAPI(アプリケーション・プログラミング・インターフェイス ※)です。

※アプリケーション、ソフトウェアとプログラムを繋ぐ仕組み

Movable TypeのXML-RPC APIについて詳しくは、こちらをご覧ください。

対象となるMovableType

Movable Type 4.0 以上(Advanced、Premium も含む)が対象

 

 

MovableTypeバージョン毎の対策

MovableType7系ご利用の方

DBやコンテンツのバックアップを取った上で、Movable Type 7 r.5003にアップデートしてください。

MovableType6.5.x以降ご利用の方

DBやコンテンツのバックアップを取った上で、Movable Type 6.8.3 にアップデートしてください。

MovableType4以降~MovableType6.3.x以前ご利用の方

既にサポート終了しているバージョンの為、MovableTypeからアップデート版のリリースはありません。
次の方法で脆弱性の影響を回避、軽減することができるので対応を行なってください。

  1. mt-xmlrpc.cgi への外部からのアクセス制限を行う、IPアドレスでの制限や BASIC 認証などのアクセス制限を行う
  2. CGI/FCGI として利用している場合には mt-xmlrpc.cgi を削除する、もしくは実行できないようにする
  3. PSGI で実行している場合、Movable Type 6.2 以降と Movable Type Premium では、設定ファイル mt-config.cgi に RestrictedPSGIApp xmlrpc を設定する
  4. PSGI で実行している場合、Movable Type 6.1 以前では、設定ファイル mt-config.cgi に XMLRPCScript [ランダムで充分に長い文字列] を設定する

対策作業について

ご利用中のMovableTypeバージョンに該当する対策を実施してください。

 

保守契約をご利用のお客様または納品後3か月以内のお客様

 

ご利用中のMovableTypeが7又は6.5.x以降の場合

当社でアップデート作業を行います。(追加費用なし)

 

ご利用中のMovableTypeが6.3.x以前の場合

暫定処置として、アップデートがすぐに行えない場合の対処方法を当社で行います。(追加費用なし)

最新版のMovableTypeにアップデートする場合

保守契約をご利用のお客様でも最新版MovableTypeのアップデートを行いたい場合は、別途費用となります。

ライセンス費用+アップデート費用の他、アップデートにより不具合が発生した場合は、その修正費用が必要となります。

 

納品後3か月以上のお客様で保守契約をご利用されていないお客様

ご利用中のMovableTypeに応じた対策をお客様で行ってください。

当社が代行して行う事も出来ますが、別途費用が必要となります。
※費用はお客様毎によって異なりますので、見積依頼をしてください。

 

不正アクセス・不正改ざんされてしまった場合

もし不正アクセス・不正改ざんされてしまった場合の対処方法はこちらをご覧ください。

WordPress
このページはWordPressご利用の方が対象です

このページは、2021年09月10日に作成したページです。
このページに掲載しているWordPressの仕様・機能・操作手順は、現在リリースされている最新バージョンのWordPressと異なる場合がございます。

WordPressバージョンとPHPバージョンの関係

リリースされるWordpressは、現在ご利用中のサーバーにインストールされているPHPが古いバージョンの場合、インストールできない場合があります。

現在利用中のサーバーにインストールされたPHPで、アップグレードできるWordpressバージョンは、WordPressバージョンとPHPバージョンの対応表をご確認ください。

 

動作するPHPバージョンではない場合

WordPressの更新をした際に、現在ご利用中のサーバーにインストールされているPHPが古い為、特定バージョン以上のWordpressにアップグレードできない場合は、インストールされているPHPで動作するWordPressバージョンまでは、アップグレードされますが、次の様に表示されます。

動作するPHPバージョンではない場合

 

推奨する対応

脆弱性が発覚していないWordpressバージョンをご利用する分には、特に問題はございませんが脆弱性が発覚したWordpressバージョンを使い続ける事は危険です。

使用しているWordPressに脆弱性が発覚しているか確認するには、JVN iPediaのサイトで確認してください。

使用しているWordPressに脆弱性が発覚している場合は、最新のWordpressバージョンを利用する為に、サーバー側の対応が必要となります。

 

上位VerのPHPへ切り替えが可能な場合

サーバーによっては、使用できるPHPバージョンが選択できる機能がございます。

一番新しいPHPバージョンに切替をする事をお勧め致します。

 

上位VerのPHPへ切り替えができない場合

利用中のサーバー事業者にPHPバージョンのアップグレードが出来ないかご相談ください。

アップグレードが出来ない場合は、別のサーバーへの乗り換えをご検討ください。

 

 

推奨するPHPバージョンではない場合

最新のWordPressが動作しても、PHPが推奨バージョンよりも低い場合は、次の様に表示されます。

推奨するPHPバージョンではない場合

 

推奨バージョンよりも低いPHPバージョンであった場合でも、動作バージョンのWordPressはインストールできます。

但し、そのWordPressに合わせてアップグレードされた一部のプラグインが動作しない事がございます。

また、近い将来リリースされるWordPressバージョンで動作対象から外れる事が予測できますので、緊急ではありませんが最新のPHPバージョンへの切替(切替不可の場合は、サーバー乗り換え)を計画してください。

 

 

WordPressバージョンとPHPバージョンの対応表

WordPress
バージョン
動作する
PHPバージョン
推奨される
PHPバージョン
WordPress
リリース日
4.0 5.2.4 ~ 5.6 5.6以上 2014年9月4日
4.4~4.6 5.2.4 ~ 7.0 5.6以上 4.4 - 2015年12月8日
4.5 - 2016年4月12日
4.6 - 2016年8月16日
4.7 ~ 4.8 5.2.4 ~ 7.1 7.0以上 4.7 - 2016年12月6日
4.8 - 2017年6月8日
4.9.0~4.9.4 5.2.4 ~ 7.2 7.0以上 4.9 - 2017年11月15日
4.9.5 ~ 4.9.x 5.2.4 ~ 7.2 7.2以上 4.9.5 - 2018年4月3日
5.0 ~ 5.1 5.2.4 ~ 7.3 7.3以上 5.0 - 2018年12月6日
5.1 - 2019年2月21日
5.2 5.6.2 ~ 7.3 7.3以上 5.2 - 2019年3月7日
5.3 ~ 5.4 5.6.2 ~ 7.3 7.3以上 5.3 - 2019年11月12日
5.4 - 2020年3月31日
5.5 5.6.2 ~ 7.4 7.4以上 5.5 - 2020年8月11日
5.6 5.6.2 ~ 8.0 7.4以上 5.6 - 2020年12月8日
5.7 ~ 5.8 5.6.2 ~ 8.0 7.4以上 5.7 - 2021年3月9日
5.8 - 2021年7月20日

welcart
このページはWelcartご利用の方が対象です

このページは、2021年08月04日に作成したページです。
このページに掲載しているWelcartの仕様・機能・操作手順は、現在リリースされている最新バージョンのWelcartと異なる場合がございます。

このページに掲載している
Welcartのバージョン:
Welcart2.2.7以下

Welcart 2.2.7までの全てのバージョンに於いて脆弱性報告が発表されました。

Welcart 2.2.7までの全てのバージョンを使い続ける場合、受注データの漏洩の危険性のある重大な脆弱性が確認できました。既に修正を行い、7月31日にバージョン2.2.8をリリースしています。Welcartをご利用の方は直ちにアップグレードを行ってください。

保守契約ご利用中・開発中・納品後3か月以内のお客様

既にバージョン2.2.8へのアップデート対応済です。

アップデートにより、不具合が発生する場合で、サイト運用に重大な影響を与えるものは早急に修正対応致します。

それ以外の不具合は、追って修正スケジュールをお知らせ致します。

 

上記以外のお客様

出来る限り早急に、お客様ご自身でアップグレードしてください。

アップデートにより、不具合が発生する場合で、サイト運用に重大な影響を与える場合は、個別にご相談ください。

それ以外の不具合は、別途有償にて承ります。

 

テストサイトが用意されている場合は、テストサイトでまずアップグレードして検証

お客様によっては、テストサイトをご用意しています。※

※ お客様ご利用中のサーバーや、ご予算、納期等の事情によりテストサイトを用意していない場合もあります。

テストサイトのご用意があるお客様は、先ずはテストサイトをアップグレードし不具合が無いか検証してから、本番サイトをアップグレードしてください。

 

アップグレードの前には必ずバックアップを

 

万が一welcartのアップグレードにより、不具合が発生した場合でも、元の状態に戻せる様にこちらのデータをバックアップしてください。

上記ページの中でも、DBデータは必ずバックアップしてください。

 

対象バージョン

Welcart 2.2.7までの全てのバージョン

 

 

危険性

受注データおよび会員データの漏洩の危険性が高い

 

 

対処法

Welcart 2.2.8以降のバージョンにアップグレードします。

管理画面のプラグインの画面にて、「Welcart e-Commerce」に表示されている「更新」をクリックしてアップグレードを完了してください。

 

welcart
このページはWelcartご利用の方が対象です

このページは、2021年06月09日に作成したページです。
このページに掲載しているWelcartの仕様・機能・操作手順は、現在リリースされている最新バージョンのWelcartと異なる場合がございます。

このページに掲載している
Welcartのバージョン:
Welcart2.2.3以下

welcartの公式からwelcart 2.2.3以下でのクロスサイトスクリプティングの脆弱性報告が発表されました。 welcart 2.2.4よりも低いバージョン(2.2.3以下)を使い続ける場合、管理画面にて、JavaScriptが実行される危険性(クロスサイトスクリプティング)があります。お早めのアップグレード対応をお願いいたします。なお、保守管理をご利用の方・納品後3か月以内のお客様、現在開発中のお客様は、弊社の方でアップグレード済又はアップグレード予定です。

テストサイトが用意されている場合は、テストサイトでまずアップグレードして検証
お客様によっては、テストサイトをご用意しています。※ ※ お客様ご利用中のサーバーや、ご予算、納期等の事情によりテストサイトを用意していない場合もあります。 テストサイトのご用意があるお客様は、先ずはテストサイトをアップグレードし不具合が無いか検証してから、本番サイトをアップグレードしてください。  

アップグレードの前には必ずバックアップを

  万が一welcartのアップグレードにより、不具合が発生した場合でも、元の状態に戻せる様にこちらのデータをバックアップしてください。 上記ページの中でも、DBデータは必ずバックアップしてください。  

Welcart 2.2以降の主な修正

会員関連のセキュリティを強化

  • 会員のスパム登録に対処するため、会員の新規登録時に Google reCAPTCHA v3 の利用ができるようオプション機能を実装
  • 会員登録、パスワード変更時のパスワードポリシーを厳密にチェックおよびメッセージするよう仕様を改善
  • 会員ログインに対するブルートフォース攻撃に対処するため、連続ログイン失敗時のアクセス拒否機能を実装
 

不具合の修正と機能の改善

 
PayPal関連
  • 定期購入の自動受注で決済エラーになった後、再決済ができなかった不具合を修正
  • 継続課金会員情報画面の取引金額が通貨フォーマットされていなかった不具合を修正
  • PayPal を利用停止にすると、内容確認画面で JavaScript エラーが発生する不具合を修正
  • 複数配送先プラグイン利用時、複数配送先を指定した注文を PayPal で決済するとき、決済ができない不具合を修正
 
ブルートフォース対策関連
  • ブルートフォース対策オプション設定が更新できない不具合を修正
  • ブルートフォース対策でログインエラーチェック漏れがあった不具合を修正
 
ウィジェット関連
  • 「Welcart 最近の投稿」というウィジェットを利用した時、記事のタイトルが全て現在表示しているページのタイトルになってしまう不具合を修正
 
その他
  • 管理画面の商品リストで、商品コードまたは商品名順で並び替えをした時に、並び替えの解除が行えるよう仕様を改善
  • 最新のGoogle Analytics for WordPress by MonsterInsightsでコンバージョンが取れなくなった不具合を修正
  • 商品リストで在庫状態を指定して検索した時に、2ページ目に遷移すると検索条件が解除されてしまう不具合を修正
  • 基本設定「会員ポイント:付与する/付与しない」の表示を変更
  • 会員システムを利用しないにしている場合にお客様情報ページに会員規約説明文が表示されてしまう不具合を修正
  • PDF 出力時 PHP Notice エラーが表示される不具合を修正
  • 管理画面の設定項目のヒントが、タイトルをクリックしても表示されない不具合を修正
  • wc_templates用のテンプレートタグ(関数)を追加

CMS
このページはEC Cubeご利用の方が対象です

このページは、2021年05月12日に作成したページです。
このページに掲載しているEC Cubeの仕様・機能・操作手順は、現在リリースされている最新バージョンのEC Cubeと異なる場合がございます。

※ EC-CUBE 4.0.0~4.0.5

  EC-CUBE4系をご利用の一部サイトにおいて、クロスサイトスクリプティング(XSS)脆弱性の悪用によるクレジットカード情報の流出が確認されました。 該当バージョンのEC-CUBEをご利用のお客様は、出来る限りお早目に対処をお願いいたします。

EC-CUBEを利用した弊社制作中のサイトのお客様
EC-CUBEを利用して制作中のサイトの場合は、脆弱性対応版を適応した上で制作を進めます。  
EC-CUBEを利用した制作サイトで、納品後3か月以内の場合
無償で脆弱性対応版にアップデート致します。アップデートによる不具合確認・対応も無償対応致します。  
EC-CUBEを利用した制作サイトで、保守サポートをご利用しているお客様
無償で脆弱性対応版にアップデート致します。アップデートによる不具合確認・対応も無償対応致します。  
EC-CUBEクラウド版をご利用のお客様
EC-CUBEクラウドの自動アップデートをお待ちください。アップデートによる不具合確認は当社サポート範囲ではございません。お客様ご自身でご確認ください。また、アップデートによる不具合が発生した場合で、サポート期間外の場合は、別途見積となります。  
上記以外のお客様
以下の情報を参考に、お客様ご自身でご対応ください。 弊社が代行して行う事も可能ですが、アップデートによる不具合確認・対応含めて別途見積が必要となります。     本脆弱性は、既に複数サイトでの攻撃を確認しており、緊急度が非常に高い脆弱性でございます。 該当バージョンでサイトを運営されている場合は、緊急対応のためのHotfixパッチを公開しておりますので、内容をご確認のうえ早急にご対応をお願いいたします。  

脆弱性の詳細

クロスサイトスクリプティングの脆弱性

危険度:高 該当バージョン:EC-CUBE 4.0.0~4.0.5 詳細はこちら    

修正方法について

緊急対応のためのホットフィックスパッチを以下のページにて公開しております。 パッチファイルの適用または、差分の適用にて修正されます。 本脆弱性における攻撃は既に複数サイトで確認されています。早急に修正対応をお願いいたします。 詳細はこちら

常時SSL化設定代行

常時SSL化をお勧めする訳

従来のHTTP通信は、訪問者に送信するデータを平文(暗号化されていない状態)のまま送信します。この方式では盗聴・盗聴からのデータ改竄、悪意のあるサイトへの誘導、ウェブサイトのなりすましなどの被害の糸口となります。

昨今はより生活におけるインターネットの依存度が高くなった影響で、運営側・訪問者双方に対する被害も急増しており、手口も巧妙になって来ております。

SSLは、サーバーと訪問者間の通信を暗号化し、サーバーの正当性を証明する事で、より安全な通信を実現します。SSL証明書をご利用中のサーバーにインストールする事で、常時SSL化ウェブサイトとして運営する事ができます。

SSL証明書について詳しくはこちら

 

常時SSL化によって、全ての被害を防ぐ事は出来ませんが、ウェブサイトの脆弱性対策として有効です。未だSSL化されていないウェブサイトを運営されているお客様がおりましたら、是非常時SSLをご検討ください。

 

SSLを導入されていないお客様向けに、常時SSL化設定代行サービスをご用意しております。ぜひご検討ください。

 

常時SSL化とは

ウェブサイトの一部コンテンツだけに、SSLを導入するのではなくサイト全体にSSLを導入する事です。

数年前まで、SSL証明書を導入するウェブサイトは問い合わせフォームや、アンケートフォームなどフォームを設置したサイトの限られたコンテンツのみに導入するのが、通常でした。

ウェブサイト全体にSSLを導入するサイトは、ECサイトやグループウェアなどサイト全体がセキュアである必要があるウェブサイトくらいでしたが、昨今はどんなサイトでも、サイトのどのページでもSSL通信すべきという傾向にあります。

 

今やウェブサイトに常時SSL化は欠かせない。その訳は?

常時SSL化がウェブサイトの標準となったのは、2018年7月に公開されたGoogleのブラウザ「Chrome68」がきっかけです。既に世界シェア一位の座にあるブラウザの、このバージョンでは全てのHTTP通信(SSL暗号化されていない)ウェブサイトに対し、「保護されていない通信」と表示される様になりました。

他のブラウザもこれに倣い、SSLで無いウェブサイトに対してアドレスバーに何らかの警告を出す様になりました。

 

各ブラウザの警告
google chromeの場合 クローム 非SSL FireFoxの場合 firefox 非SSL MicroSoft Edgeの場合 edge 非SSL

 

SEO対策への影響

常時SSL化が普及したきっかけは、常時SSL化にすればSEO対策になるという噂が流れた事も原因かと思われます。

確かにgoogleは、HTTPS対応したウェブページを優遇するというコメントを出しています。

(参考)開発者向けのブログでのコメント

但し、これはインターネット全体を安全にする為の、グーグルからの飴であり単なる基準の一つに過ぎません。