Home > Archives > 2017-02-10

2017-02-10

【WordPress】WordPress 4.7.0 ～ 4.7.1で脆弱性

2017-02-10 (金)
ブログ
WordPress

毎日ブログを更新していながらそのブログを動かしているソフトウェアについてはすっかり関心を持たなくなっている今日この頃です。
当ブログはWordPressというCMSで動いていますが、そのWordPressで脆弱性が見つかったそうです。

link >> WordPress の脆弱性対策について：IPA 独立行政法人情報処理推進機構
link >> WordPressの脆弱性突く攻撃が激増、6万以上のWebサイトで改ざん被害 – ITmedia エンタープライズ

以前にも1～2回あったように思いますが、今回はごく最近のバージョンでの脆弱性です。
Ver.4.7.0～4.7.1で発生しているようで、最新の4.7.2へのアップデートを至急行うよう注意喚起しています。

すでにこの脆弱性を利用して多数のウェブサイトが改ざんされたとの情報もあるので緊急度はかなり高いです。
また、攻撃に使われているIPアドレスも公開されているのでそちらもブロックしておいた方が良さそうです。

私は新バージョンの告知が出るとすぐにアップデートしています。
大きなサイトなどならいきなりアップデートせずに様子見で不具合の有る無しを見極めてからやったりするのかもしれませんが、個人ブログなのでそのへんはあまり気にしていません。

ただ、以前に1度、プラグインのアップデートで不具合を起こしてちょっとトラブったことがありますのでアップデート前にはバックアップをとるようにしています。
そして毎日のようにログインして確認しているので大丈夫かなと思っていたのですが、もう1つテスト用に作った環境があるのをスッカリ忘れていました。

現在運用しているのはさくらインターネットのレンタルサーバーのスタンダードコースなのですが、もう1つ同じスタンダードコースを契約しています。
2つも必要無いのですが、最初のスタンダードコースのサーバー機器が古くて読み込みが遅かったのであらためてスタンダードコースを契約して移動したという経緯があります。

現在はそのもう1つの方も機器の入れ替えをして快適になっていますが、そこへブログテーマやプラグインのテスト用にWordPressの環境を作っていました。
もう数年前のことでスッカリ忘れて放置状態でしたが、そちらのバージョンを確認すると3.3.2でした。

今回の脆弱性の対象ではありませんが、古いバージョンのものを使わずに放置しているのは非常にまずいので慌てて削除しました。
ここしばらくこういった出来事が無かったので油断していたことに冷や汗が出ます。

以前見ていたブログが削除されて無くなっていたりするのを見るととても残念に思いますが、管理側として見れば更新しなくなったブログやホームページをそのまま残しておくというのもリスクがあるとあらためて思いました。