Home > パソコン > 【WordPress】古いVerのWordPress XML-RPCの脆弱性

【WordPress】古いVerのWordPress XML-RPCの脆弱性

WordPressロゴ

今日は、珍しくレンタルサーバーを借りているさくらインターネットからメールが来ました。
『【重要】不正アクセスの危険性および対策について』という題名のメールでしたが、内容は簡潔に不正アクセスに気をつけて下さい的なものでした。

最近、なりすまし事件などもありましたのでそれに関連しての利用者への注意喚起と思われます。
いつもなら、サラッと目を通しておしまいなのですが、気になる部分がありました。

 以下のプログラムについては不正アクセスの踏み台にされているケースが
特に増加しておりますので、ご注意くださいますようお願いいたします。

 ▼ WordPress(本体、プラグイン等)
   例)
   ・XML-RPCの脆弱性
     http://jvndb.jvn.jp/ja/contents/2010/JVNDB-2010-004301.html
   ・timthumb.phpの脆弱性
     http://www.jpcert.or.jp/wr/2011/wr113001.html#3


思いっきりWordPressが例に挙がっていました。

いまさら言うのもなんですが、当サイトもWordPressを使って運営しています。
ちょっとシャレにならないかもしれないと思いつつ、掲載されているHPを見てみました。

 link >>  JVNDB-2010-004301 – JVN iPedia – 脆弱性対策情報データベース


WordPressのxmlrpc.phpにおけるアクセス制限を回避される脆弱性があるそうです。
ただし、該当するのがWordPress3.03未満ということです。

調べてみると、Ver3.0が2010年の6月リリースなのでその頃からVerUPしていないと危険ということでしょうか。
2年ちょっと前といった頃かと思います。

WordPress Codex 日本語版の3.03のページに記述がありますので、3.03で修正されたようです。

 link >>  Version 3.0.3 – WordPress Codex 日本語版


ローカルで動かすソフトウェアではなくサーバーで動いているソフトウェアなのがやっかいです。
こまめにブログを更新しつつ、バージョンアップがあればすぐに実行したりしてサイトをきちんと管理されている方なら被害は受けにくいと思います。

ですが、ブログやHPというと始めたはいいが途中で飽きたり面倒になったりして放置されていたりすることも珍しくありません。
前述のように問題があるのはほんの2年前のバージョンです。

常に更新していれば2年は長いかもしれませんが、忘れてほったらかしにしていたりすると2年なんてあっという間ではないでしょうか。
たとえ更新していようがしていまいが、アクセス数が多かろうが少なかろうが悪用されれば大なり小なり被害を被ることになりかねません。


当サイトのWordPressは現時点で最新のVerにしてあります。
とはいえ、多少不安にもなりますので、念のため投稿設定を確認してみると・・・。

リモート投稿のXML-RPC投稿プロトコルが有効になっていました。
そういえば、以前に何か試そうと思って使ったような気がしなくもないです。

もう、このへんの曖昧なやり方から危険ですね。
ひとまずチェックを外して機能をオフにしておきました。

『誰でも「犯人」にされる恐れ』などという記事も決して初めて聞く内容というわけでもありません。
以前から目にはしていますが、あまり実感がなかったのが正直なところです。

 link >>  誰でも「犯人」にされる恐れ ウイルス感染でPCを完全遠隔操作  – ITmedia ニュース


ただ、実際に誤認逮捕などということがあったことを思うと遠い世界の話というわけでもなくなります。
誤認逮捕で個人情報が出てしまえば『間違えました。』『いや、わかればいいんですよ。hahaha』では済まない人がほとんどだと思います。

すっかり電子の要塞と化した自室を見つつ、ある日加害者になる危険を考えるとセキュリティもセキュリティソフトまかせなだけではなく自分でももう少ししっかり考えないといけないと思いました。

コメント:0

コメントフォーム
入力情報を記憶させますか?

※日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

トラックバック:0

このエントリーのトラックバックURL
http://kimagureman.net/archives/19910/trackback
Listed below are links to weblogs that reference
【WordPress】古いVerのWordPress XML-RPCの脆弱性 from Kimagureman! Studio ~趣味全開! 気まぐれ更新日記~

Home > パソコン > 【WordPress】古いVerのWordPress XML-RPCの脆弱性

ショップ Links
伊賀屋人形店
リンク
Blog Parts
にほんブログ村 ゲームブログ 艦隊これくしょんへ
にほんブログ村 コレクションブログへ
霜月はるかのFrostMoonCafe+
霜月はるかのFrostMoonCafe+
わぷー
ja.wordpress.org 公式キャラクター『わぷー』
ブログを見に来てくれた人たち
フィード

Return to page top

back to top