このサイトの「ホームページ」
『PHPサイバーテロの技法──』 まずは攻撃方法を学ぶ : 亜細亜ノ蛾 で紹介した本を読んで、セキュリティの勉強中です。よくよく考えたら、このサイト上には放置してある Web アプリケーションが結構あります。MT の事ばかり情報を集めてきましたが、放置してある Web アプリケーションに脆弱性があった場合、いくらでも悪意のある攻撃を受ける可能性があります。──いままで目立った被害がないのは、単なる幸運と考えた方がいいですね。というか、現在進行形で情報を抜き取られている可能性も……。
ということで、このサイトの顔であるトップページからセキュリティ対策を施すことにしました。誰も(スパマ以外は)知らないと思いますが、このサイトの「ホームページ(入り口)」は XOOPS v2 で作られています。──まぁ、現在(数年前から)リニューアル中でたいした物は置いてませんが。
今日までトップページは XOOPS 2.0.7 で構築していました。──これって結構古いのかな、と XOOPS の日本公式サイトを見てみました。
XOOPS Cube日本サイト – Simple, Secure, Scalable
──ん? いつの間にか、XOOPS v2.x 系は「XOOPS Cube」という名称になっている? と思って XOOPS Cube日本サイト – ダウンロードを見てみると、
- XOOPS v2.0.x 系 : XOOPS v2
- XOOPS v2.1.x 系 : XOOPS Cube
という名称のようです。XOOPS v2 の最新バージョンは「XOOPS 2.0.16a JP」とのこと。──「XOOPS 2.0.7 < XOOPS 2.0.16a JP」なのが微妙に違和感がありますが、「7 < 16」ということですね。かなり古いバージョンで放置していたことが判りました。さっそく対策として、XOOPS をバージョンアップすることにしました。
──まさかこんなに苦労するとは思いもよらず……。