wordpress 4.7.0、4.7.1の深刻な脆弱性

wordpress 4.7.0、4.7.1に深刻な脆弱性があることがわかり、ここんところ、ネット上が大騒ぎ。

wordpress.orgは、1月26日に4.7.2に自動でおこなってくれるマイナーアップデートをしたが、深刻な脆弱性に関しても同時にFIXしていた。しかしながら、脆弱性が深刻なことから、アップデートが行き渡るまで、発表を控えていた。1週間ほどたった2/2のブログで、その脆弱性を公開した。

今回の脆弱性は、特定の配列のPOSTをすると、アクセス権がなくても投稿内容の書き換えが可能になるというもの。原因は、4.7.0からデフォルトでインストールされるようになったWordPress REST API。

発表を1週間ほど送らせたものの、自動アップデートをオンにしていないサイトなどで、投稿の書き換えの被害が報告されている。

このあたりの経緯が、ネットメディアで報告されている。


【対策】

wordpressを4.7.2にアップデートする。

【診断】

サイトがすでに攻撃されているかどうかを調べるには、簡易的ないくつかの方法がある。

(方法1)検索する

1つめの方法は、攻撃者は愉快犯なので、書き換えては「Hacked by なになに」のメッセージを残していく。
なので、「Hacked by」または「Hacked」で検索してさがす。

(方法2)更新日をチェックする

二つ目の方法は、wordpress 4.7.0は、2016年12月6日に公開されたので、それ以降に更新された投稿を探してチェックする。現実的には、2/2に深刻な脆弱性があることが発表されて以降、攻撃が目立つようになったので、その頃以降に更新された投稿をチェックすればいい。

しかし、wordpressの管理画面では投稿日は表示されるが、更新日は表示されない。

この場合、管理画面で更新日を表示できるプラグイン「Codepress Admin Columns」を使用すると表示させることだけはできる。ただ、ソートはできないので、目視しなくてはいけないのは手間。

[サイト内関連記事]

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です