セキュリティ脆弱性の報告
Topics
私たちはセキュリティの問題を未然に防ぐために積極的に努めていますが、セキュリティの問題が決して起きないとは考えていません。
セキュリティの問題を公開する前に、責任を持って非公開でベンダー (この場合は WordPress コア開発チーム) に開示することが標準的な方法です。これにより、修正が準備され、脆弱性による被害が最小限に抑えられます。
「セキュリティ」の問題とは ?
セキュリティの問題とは、WordPress インストールのセキュリティに影響を与える一種のバグです。
具体的には、WordPress のコアコードにバグを発見し、そのバグを利用して、WordPress が稼働しているサイトに本来アクセスできないはずのアクセスが可能であると判断した場合に報告するものです。
あなたのサイトが「ハッキング」されることは、セキュリティの問題ではありません。セキュリティの問題は、攻撃者がどのようにして侵入し、サイトをハッキングしたかを把握することです。攻撃に関する詳細をお持ちの場合は、私たちにご連絡ください。そうでない場合は、サポートフォーラムがそのような問題を報告する最も適切な場所です。
パスワードを忘れたり、サイトにアクセスできなくなったりすることは、セキュリティの問題ではありません。WordPress コードのバグによってアクセスできなくなった場合は、セキュリティの問題かもしれません。
一般的に、セキュリティの問題は複雑な問題です。セキュリティの問題を報告したいのであれば、それはすばらしいことです ! あなたの考えは正しいでしょう。ただし、報告する内容が本当にセキュリティの問題であるかどうかを確認してください。あなたが報告しようとしている専門家はとても忙しく、通常はセキュリティ以外の問題には対応しません。
セキュリティ報告システムはサポート用ではありません。一般的な問題をそこに送らないでください。
セキュリティの問題はどこに報告すればよいですか ?
- WordPress.com でホストされているサイトのセキュリティの問題を報告する場合は、Automattic HackerOne ページでレポートを提出してください。報告しようとしている問題が WordPress.com のもので、セキュリティの問題ではない場合は、サポートフォーラムを利用してください。
- セキュリティの問題ではなく、セルフホストの WordPress.org サイトに問題がある場合は、WordPress.org のサポートフォーラムを利用してください。
- WordPress プラグインのセキュリティ問題については、プラグインのセキュリティ問題の報告にある情報を参照してください。
- WordPress のセルフホストバージョンに関するセキュリティの問題については、WordPress HackerOne ページでレポートを提出し、できる限り詳細を記載してください。脆弱性が
trunk
またはベータ/RC リリースにのみ存在する場合でも、コア Trac ではなく常に HackerOne を使用してください。これらを本番環境で実行しているサイトがいくつかあるためです。
どのような場合でも、バグの修正が正式に公開されるまでは、その詳細を他の人と共有してはいけません。
著作権侵害、名誉毀損、その他の法的な問題はどこに報告すればよいですか ?
WordPress.org はサイトをホストしていません。WordPress.org は、誰でもダウンロードして使用できる公開ソフトウェアを提供しています。組織である WordPress.org は、誰がどのようにソフトウェアを使用するかを管理できません。言い換えれば、WordPress.org は、コメント、投稿、サイト、その他のものを削除する権限を持っていません。
WordPress に連絡しようとするのではなく、whois lookup を実行して特定のサイトの運営者やホストを追跡し、それらの組織に侵害を報告してください。
それでも組織を特定できない場合は、Plagiarism Today による以下の記事が役に立つかもしれません:
ハッキングされました。何をすればいいでしょうか ?
やるべきこと:
- すべてのユーザー、特に管理者と編集者のパスワードを変更してください。
- FTP でファイルをアップロードしている場合は、FTP パスワードを変更してください。
- WordPress の最新バージョンを再インストールしてください。
- すべてのプラグインとテーマが最新であることを確認してください。
- セキュリティキーを更新してください。
- FAQ サイトがハッキングされましたを参照してください。
一部のユーザーがフィルタリングされていない HTML を投稿できるのはなぜですか ?
管理者または編集者権限を持つユーザーは、投稿タイトル、投稿コンテンツ、コメントにフィルタリングされていない HTML を公開し、メディアライブラリに HTML ファイルをアップロードできます。WordPress は結局のところ投稿ツールであり、人々はコミュニケーションに必要なあらゆるマークアップを含めることができる必要があります。より低い権限を持つユーザー (投稿者と寄稿者) は、フィルタリングされていないコンテンツを投稿したり、HTML ファイルをアップロードできません。
WordPress に対してセキュリティテストを実行する場合は、すべてのコンテンツがフィルタリングされるように、より低い権限のユーザーを使用してください。管理者や編集者がコンテンツに XSS を入れたり、Cookie を盗んだりすることを心配する場合、すべての Cookie は HTTP のみの配信にマークされ、管理者ページで使用される特権 Cookie と、一般向けページで使用される非特権 Cookie に分けられていることに注意してください。管理ダッシュボード内で、コンテンツがフィルタリングされずに表示されることはありません。
WordPress のマルチサイトでは、(サイト管理者を含む) 他のすべてのユーザーは信頼できないとみなされ、特権管理者のみがフィルタリングされていない HTML を公開できます。
管理者を含むすべてのユーザーに対してフィルタリングされていない HTML を無効にするには、wp-config.php
に define( 'DISALLOW_UNFILTERED_HTML', true );
を追加します。
なぜユーザー名やユーザー ID の漏洩はセキュリティの問題ではないのですか ?
WordPress プロジェクトは、ユーザー名やユーザー ID を個人情報または安全な情報とはみなしません。ユーザー名はオンライン ID の一部です。これは、あなたが誰であるかを確認することではなく、識別するためのものです。検証はパスワードの仕事です。
一般的に、人々はユーザー名が秘密であるとは考えず、しばしばオープンに共有します。さらに、Google や Facebook などの多くの主要なオンライン企業は、ユーザー名を廃止し、常に自由に共有されるメールアドレスを採用しています。WordPress もこの方法に移行し、バージョン4.5以降では、ユーザーはメールアドレスまたはユーザー名でログインできるようになりました。
WordPress は公開された識別子を隠そうとするのではなく、ユーザーインターフェイスと教育の両方を通じてユーザーに強力なパスワードを選択することを促そうとしています。
これを信じているオープンソースプロジェクトは WordPress だけではありません。Drupal でも同じことについて同様の議論があります。
特定のファイルを直接ロードするときにパスが開示されるのはなぜですか ?
これはサーバー設定の問題です。本番サイトでは決して display_errors
を有効にしないでください。
なぜ「パスワードリセット」メールが届いたのですか ?
「誰かが次のサイトとユーザー名のパスワードのリセットを要求しました」というメールを受け取った場合、これは誰かがあなたのサイトのパスワードリセットページにアクセスしたことを意味します。パスワードを紛失した人がアクセスできるようにするには、全員に公開する必要があるため、誰でもこのページにアクセスできます。パスワードをリセットできるのは、メールを読むことができる人だけです。メールアカウントが侵害されていない場合は、このメールを無視してもかまいません。
最終更新日: