はじめまして。
私は今、職場で自社ホームページの運営を兼任しているます。
そうは言っても、ホームページを作れる技術者ではなく、以前の担当が退職したため先月、私にその役割が回ってきました。
ホームページには、ワードプレスというシステムが導入されているそうで、管理画面に入っていろいろと調べたところ、本体とプラグインのアップデートアラートが沢山立っていました。
アップデートしないとセキュリティ上問題なのは理解しているのですが、よくセキュリティの問題で耳にするのが、クロスサイトスクリプティングや、SQLインジェクションです。
でも、この攻撃は、WEBサイト内にユーザーが入力できるフォームがある場合にされるのであって、入力フォームがない場合は問題ないと思うのですが、理解は正しいでしょうか?
もちろん、問い合わせフォームはありますが、これは外部のSalesforceの入力フォームを使用しています。
どなたかご教示いただけますと幸いです。
よろしくお願い致します。
No.2ベストアンサー
- 回答日時:
No.1です。
「お礼」への返信です。遅くなり申し訳ありません。入力フォームがない場合ということですが、外部から明示的な入力フォームが見えない場合でも、WordPressやプラグインには管理画面などがあります。管理画面は、管理者がログインしている場合しか見えませんが、それは、ログイン中の管理者が攻撃を受けた場合、クロスサイトスクリプティングの被害を受けることを意味します。なので、管理者はこまめにWordPressからログアウトしておくと、クロスサイトスクリプティング等の被害にあいにくくなります。
また、管理画面でなくても、URLのパラメータ(クエリ文字列)を受けとる部分や、クッキー経由で攻撃を受ける場合等もあります。
現実的に脆弱性の影響を受けるか受けないかはケースバイケースなのですが、その判断も難しいので、脆弱性が報告された場合は該当のソフトウェアを更新するのが安全です。
htokumaruさま
2回に渡り、ご丁寧な回答ありがとうございました。是非、参考にさせていただき、今後のセキュリティ対策に努めたいと思います。ありがとうございました。
No.1
- 回答日時:
まず、『入力フォームがない場合は問題ない』というのは誤解です。
クロスサイトスクリプティングについて、入力フォームが問題となるのは、クロスサイトスクリプティングの脆弱性の発生源の一つが入力フォームである、ということです。この場合、クロスサイトスクリプティングの発生源としてワードプレス本体あるいはプラグインに脆弱性があるという場合は、それらソフトのどこかに脆弱性があるわけですから、あなたが作った部分に入力フォームがあるかないかは関係ありません。脆弱性の該当箇所がプラグインである場合は、当該プラグインを完全に削除すれば、脆弱性の影響は受けなくなります。
ということで、入力フォームがなくても脆弱性の影響は受けます。
htokumaruさま
わかりやすい、ご回答感謝いたします。
クロスサイトスクリプティングの解説をネットなどで調べますと、どれもメールフォームや、掲示板、ブログのコメント投稿欄などの入力フォームからの被害が例として書かれていましたので、プログラム内に脆弱性があっても入力項目がなければ問題がないものと捉えていました。質問をして本当によかったです。
ただ一点、ここでまた疑問なのですが、XSSの脆弱性があった場合、入力フォームから悪意のあるスクリプトを埋め込まれるというのは容易に想像がつくのですが、入力フォームが無い場合は、クラッカーはどこからスクリプトを埋め込むのでしょうか?
素人判断では、WordPressのログインアカウントが漏えいして管理画面からが想像つきやすいのですが、これは可能な限り厳重な管理をすればある程度防衛できるかと思います。
管理画面以外からのスクリプト埋め込みも、どこかの侵入経路をつかって、されてしまうのでしょうか?
もし、そうでしたら代表的なものだけでも、ご教示いただけますと幸いです。
宜しくお願い致します。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・人生のプチ美学を教えてください!!
- ・10秒目をつむったら…
- ・あなたの習慣について教えてください!!
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・【大喜利】【投稿~9/18】 おとぎ話『桃太郎』の知られざるエピソード
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
Windowsでimebroker hidden win...
-
タブが削除できない
-
IPアドレスによる住所特定につ...
-
不正ログインされました。対応...
-
古いWindows 7 PCをNASにしても...
-
ダウンロードしたアプリケーシ...
-
暗号??
-
個人情報 防ぎたい パソコンに...
-
ハッカーってどうやってなるん...
-
ログインの継続?
-
SELECT * FROM 生徒名簿 WHERE ...
-
書き込みしようとすると「不正...
-
グローバルID(GUID?)をたださら...
-
家のセキュリティのため、何を...
-
中古DVDを読み込んだだけでマル...
-
前にファイル共有ソフトで暗証...
-
windows11 サービスにSecurity ...
-
iPhoneを使いTor経由でIPとブラ...
-
ホワイトハッカー
-
ホワイトハッカー
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
ワードで、グレーの部分しか入...
-
ワード2003で文書の一部を保護
-
WEB上で入力できるシフト表
-
ホームページビルダーで価格.c...
-
ユーザーフォームの連続表示に...
-
Roboform7で勝手にページ移動さ...
-
エクセルVBAユーザーフォーム
-
“フォーム”とは何でしょうか。
-
エクセルVBA 作業後に選択範囲...
-
エクセルで条件をつけて図形を...
-
別のフォームで記述している関...
-
Sub Auto_Open() 実行されない
-
ACCESSで別DBにあるクエリを...
-
VBAでのユーザフォームの表示有...
-
ascW関数の結果がおかしい
-
メフィスト賞の応募歴は無しだ...
-
エクセルでの6ヶ月平均の出し方
-
Excel VBA 選択範囲の罫線色の...
-
家電量販店で購入した新品ゲー...
-
円の中に等間隔に線を引くには
おすすめ情報