HTML
 Computer >> コンピューター >  >> プログラミング >> HTML

メルトダウンとスペクター攻撃が WordPress に与える影響

プロセッサに影響する新しいハードウェア バグが報告されています。 Intel、AMD、および ARM によって設計されたもの。これらのセキュリティ上の欠陥は、Google の Project Zero によって報告されました。そして、これまでに発見された中で最悪の CPU 攻撃バグの 1 つとして既に知られています。

メルトダウンとスペクター攻撃が WordPress に与える影響

スペクター メルトダウンの説明:

Meltdown および Spectre の脆弱性により、悪意のあるプログラムによる読み取りが可能になります。他のプログラムからのデータへのアクセスと同様に。最新のコンピューティング デバイスを使用するすべてのシステムが影響を受けます。あなたは WordPress サイトの所有者かもしれませんし、ウェブサイトの一般的な閲覧者かもしれません。この問題はあなたに害を及ぼす可能性があります。 たとえば、悪意のあるサイトにアクセスするブラウザ タブがあります。このタブは、ブラウザにインストールされているパスワード マネージャーのデータにアクセスできます。 または、他のタブからの Cookie でさえも。同様に、Web ホストでホストされている WordPress サイトがある場合。また、同じハードウェアを共有する複数のサイトがあります。あなたのサイトは、データ侵害の盗難の影響を受けやすくなっています。これは、共有されているか管理されているかに関係なく、ホストすることを意味します。あなたは悪い状況にいます.

メルトダウンとスペクター攻撃が WordPress に与える影響

Spectre と Meltdown はなぜ危険なのですか?

この特定の問題は、最新のコンピューティング デバイスを使用するすべての人に影響を与えます。あなたは WordPress サイトの所有者かもしれませんし、ウェブサイトの一般的な閲覧者かもしれません。この問題はあなたに害を及ぼす可能性があります。 たとえば、悪意のあるサイトにアクセスするブラウザ タブがあります。このタブは、ブラウザにインストールされているパスワード マネージャーのデータにアクセスできます .または、他のタブの Cookie からも。同様に、Web ホストでホストされている WordPress サイトがある場合。また、ホストには同じハードウェアを共有する複数のサイトがあります。あなたのサイトはデータ盗難の影響を受けやすいです。これは、共有または管理されたホスティングを使用しているかどうかに関係なく意味します.あなたは悪い状況にいます.

私はウェブサイトの所有者として影響を受けますか?

現在、メルトダウン セキュリティ バグの影響を受けています。データの盗難には、パスワード、SSL キー、およびその他の機密情報が含まれる可能性があります。

WordPress サイトの所有者として何をすべきですか?

WordPress サイトをホストする一般的な方法は 4 つあります。

共有ホスティング – GoDaddy、Bluehost、SiteGround など

共有ホスティングでは、他の多くのサイトと一緒に実行されている多くのサイトがあります。そして、サーバー上で非常に近接しています。これらのサーバーには、一定レベルの保護があります。あるサイトの安全を別のサイトから確保する。 サイト間のこの壁は、通常の運用では十分です。しかし、それは破られる可能性があります。 すべての Web サイト インスタンスが同じマシンで実行されています。この脆弱性により、悪意のあるサイトが他のサイトのデータにアクセスしようとする可能性があります。

この場合、Web ホストは Spectre Meltdown パッチの展開を担当します。ウェブホストにフォローアップする必要があります。そして、彼らがこれに対する計画を持っていることを確認してください。

メルトダウンとスペクター攻撃が WordPress に与える影響

マネージド WordPress ホスティング – WP Engine、Pantheon など

管理された WordPress ホスティングは、従来より優れたホスティングと見なされていました。共有ホスティングよりもさらに安全なオプションです。人気のあるマネージド WordPress ホスティング プロバイダーのほとんどは、大手クラウド プロバイダーでサイトをホストしています。これらのプロバイダーには、AWS、Digital Ocean、Google クラウドなどが含まれます。 管理されたホスティングにより、あるサイトが別のサイトに影響を与えるリスクが軽減されます。それは同じサーバー上の他のサイトです。 ただし、Spectre と Meltdown はハードウェアのバグであるため、このケースは異なります。専用コンテナでホストされていますか?複数のコンテナーが同じマシンで実行されている可能性があることを理解しておいてください。これにより、共有ホスティングでホストされているサイトと同じリスクにさらされます。

多くのクラウド プラットフォームは、基盤となるプラットフォームを既に修正しています。他の人も同じ計画を立てています。管理対象の Web ホストは、Meltdown または Spectre Meltdown パッチ用のソフトウェア パッチも適用する必要があります。自社のシステムに対してもこれを行う必要があります。

クラウド ホスティング – デジタル オーシャン、AWS など

私たちの何人かは、クラウド ホスティング プラットフォームから仮想サーバーを借りてサイトを運営しています。これらのクラウド プラットフォームでは、複数の顧客が物理サーバーを共有できます。顧客は独自のオペレーティング システムをインストールできます。そして、その上でスタック全体を管理します。 それらに完全な柔軟性を与えます。基盤となるサーバーは共通です。したがって、メルトダウンの脆弱性またはスペクターの脆弱性を悪用することが可能です。

主要なクラウド サービスは、プラットフォームに迅速にパッチを適用しています。ただし、独自の仮想サーバーを維持する責任はユーザーにあります。できるだけ早く OS を更新してください。

専用サーバー

個人所有および管理されているサーバーのホスティングは、一般的なオプションではありません。これは、複雑さとコストが原因です。ただし、そのような場合でも、このバグによるリスクは最小限です。ただし、OS を最新の状態に保つことをお勧めします。

自分のサイトが攻撃を受けているかどうかを知ることはできますか?

残念ながら、攻撃を受けているかどうかを知ることはまずありません。これらは、データの盗難につながる可能性のあるハードウェアのバグです。それも、従来のログ ファイルに痕跡を残さずに。 攻撃はオペレーティング システムに依存しません。また、ソフトウェア セキュリティの脆弱性に依存していません。 これらのバグは、パソコンのチップ、モバイル デバイス、およびクラウド システムで機能します。あなたとあなたの訪問者からデータを盗む可能性があります。ただし、それはホスティング プロバイダーのインフラストラクチャによって異なります。

どうすれば修正できますか?

残念ながら、現時点でできることはあまりありません。このバグは、ほぼすべての人に影響を与えます。オペレーティング システム ベンダーは、既に修正プログラムの展開を開始しています。 しかし、これらは一時しのぎのパッチであり、コストパフォーマンスに優れています。 Meltdown 攻撃または Meltdown Spectre パッチは、CPU パフォーマンスに 5 ~ 30% の影響を与えると想定されています。 一方、Spectre (および Spectre の亜種) はすぐには修正されません。 Intel や AMD などのチップ メーカーが対策を講じることを期待しています。これは、この種の将来の攻撃に対処するのに役立ちます。また、あらゆるタイプのチップ欠陥を防ぎます。

最近では、Intel プロセッサの設計上の欠陥と、Intel Spectre メルトダウンまたは Meltdown Intel と呼ばれるものについて、かなりの量の議論がありました。安全な Intel チップと AMD プロセッサにより、PC を保護できます。

誰に連絡すればよいですか?

主要なホスティング会社は、Spectre と Meltdown のパッチ、または Meltdown と Spectre のパッチの展開を既に開始しています。 サイトの所有者は、システムのステータスについてホスティング プロバイダに確認します。修正プログラムをまだ展開していない場合は、すぐに展開するよう依頼してください。 これらの修正がエンド ユーザーにとってどのような意味を持つかを確認してください。サイトのパフォーマンスに影響しますか?これらの効果はエンド ユーザーに表示されますか?

しかし、これらの Meltdown および Spectre 攻撃とは何ですか、または Spectre の脆弱性について説明されていますか?

メルトダウンとスペクター攻撃が WordPress に与える影響

Google Project Zero はバグを次のように明らかにしました:

メルトダウンとスペクター攻撃が WordPress に与える影響

上記のステートメントは、Meltdown または Spectre によるエクスプロイトを要約したものです。実際のところ、これらはサイド チャネルの脆弱性またはサイド チャネル攻撃の一例です。

Amazon、Google、AMD などの大手企業から 1 月に声明が発表されました。 最新のソフトウェア バージョンが安全であることをユーザーに保証します。 Apple のような他の多くの巨人は、まだコメントしていません。コンピューターでウイルス対策ソフトウェアを使用します。また、コンピュータに Spectre Meltdown チェッカーをインストールしてください。 Project Zero のニュースや最新情報については、Google のチーム ブログスポットでもご覧いただけます。

以下は、新たに発見された攻撃のリストです:

Meltdown-PK (Protection Key Bypass)

Meltdown-BR (Bounds Check Bypass)

Spectre-PHT-CA-OP

Spectre-PHT-SA-IP

Spectre-PHT-SA-OP

Spectre-BTB-SA-IP

Spectre-BTB-SA-OP

私たちの研究チームによって書かれたこのブログが、あなたの疑問のほとんどを明らかにすることを願っています. WordPress のセキュリティに関する詳細なガイドだけでなく、セキュリティの最新情報については、このスペースに注目してください。


  1. WordPress サイトで未使用の CSS を削除 (または延期) する方法

    WordPress で使用されていない CSS を削除しますか? ウェブサイトを高速化しますか? Web サイト最適化の主な目標は、不要なコードを削除することです。これにより、Web サイト ページの合計サイズが縮小され、ページの読み込み時間が短縮され、訪問者のユーザー エクスペリエンスが向上します。 Web サイトのページのサイズを大幅に削減できる領域の 1 つは、スタイリングです。ウェブサイトのスタイリングは、カスケーディング スタイル シートと呼ばれるルールベースの言語によって制御されます。カスケーディング スタイル シートは、HTML や Javascript と並ぶワールド ワイ

  2. メルトダウンとスペクター - パフォーマンスと安定性

    数日前、Microsoft が互換性のない特定のウイルス対策プログラムを当分の間ブラックリストに登録することを決定したため、ウイルス対策ソフトウェアがインストールされていなくても、2018 年 1 月の Windows 用の Meltdown パッチをインストールする方法を紹介しましたが、これはアンチウイルスを持っていない人にも影響することを説明する必要はありません.羊のメンタリティからのこのような急進的な逸脱は前代未聞だと思います. パッチがインストールされて実行されるようになったので (私はこれを 6 つのシステムでテストしました)、Microsoft が言ったことを実際に何もチェックせ