あなたのサイトも狙われている「WordPressの脆弱性」について

先日、WordPressブロガーには、驚きのニュースが流れましたね。

内容は、WordPressの「REST API」に関する処理に、脆弱性が見つかった、というもの。すでに、IPA(情報処理推進機構)からも、注意喚起がなされています。

概要

WordPress.org が提供する WordPress は、オープンソースのCMS(コンテンツマネジメントシステム)です。
WordPress には、REST API の処理に起因する脆弱性が存在します。

本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上でコンテンツを改ざんされる可能性があります。

本脆弱性を悪用する攻撃コードが確認されていますので、対策済みのバージョンへのアップデートを大至急実施してください。

開発者は本脆弱性を 1 月 26 日に更新された「4.7.2」で修正しましたが、利用者の安全を確保するため、脆弱性の内容については 2 月 1 日まで公開を遅らせていたとのことです。今回のケースを教訓に、今後も最新版が公開された場合は早急にアップデートを実施してください。

2/7 更新
Sucuri 社によると、本脆弱性を悪用して多数のウェブサイトが改ざんされたとの情報がありますので、対策済みのバージョンへのアップデートを大至急実施してください。

引用元:IPA「WordPress の脆弱性対策について」

また、今朝の時点で「6万以上のサイトで被害」が出ているとの、報告も。

WordPressの脆弱性突く攻撃が激増、6万以上のWebサイトで改ざん被害

脆弱性情報が公開されてから48時間足らずの間に悪用コードが投稿され、脆弱性のあるサイトを探して攻撃を試す動きはインターネット全体に広がった。ハッキングされたWebサイトの数は6万6000以上にのぼり、現在も増え続けている。(一部略)この問題を悪用された場合、認証を受けないユーザーがWordPressサイトのコンテンツやページを改ざんできてしまう可能性が指摘されている。

引用元:ITmedia エンタープライズ「海外速報」

対策としては、WordPressのバージョンを、最新の「4.7.2」にする必要があります。

昨年度、「4.7」のメジャーアップデートが来てから、少し様子見していた方や、バージョンアップを忘れていた方は、早急に対応した方がいいですね。

ただ、エックスサーバー利用者には、朗報も!

僕もエックスサーバーにお世話になっているのですが、先日このような(↓)メールが届きました。

こういった、サーバ側で施策を打ってくれるところは、なかなかありません!さすが、エックスサーバーです。

ただ、こういった脆弱性情報は、公表されてから、意外と便乗して悪用する方が多いです。ですので、「最新版にしたから、ひと安心」とは思いつつも、しばらく最新情報を見守った方が良さそうです。

狐火兎
つい先日、メインブログで、セキュリティの記事「プロなら絶対使わない、本当は怖い「FTP」 知らずに使っていませんか?」を書いたばかりで、タイムリーなニュースでした。当ブログでも、更新情報がありましたら、告知しますね!