借りているレンタルプロバイダから、WordpressのプラグインであるWP Super CacheとW3TC Total Cacheに致命的な脆弱性が見つかったので、使用している人は最新バージョン（対応版）にアップデートするようにという連絡が来た。該当プラグインによるキャッシュが有効な場合、第三者に任意のコードを実行される恐れがあるとのこと。

・WP Super Cache (version 1.2 以下は危険。version 1.3.x 以上はOK)
・W3 Total Cache (version 0.9.2.8 以下は危険。version 0.9.2.9 以上はOK)

幸いなことに、コンサデコンサのサイトではこのプラグインは使っていない。なので、全く関係ないのだが、ネット上ではあちらこちらのサーバーで話題になっていて、注意喚起が出されている。そこで経緯を調べてみた。経緯が簡単に分かるのは、こちらの記事かな。

• Update WP Super Cache and W3TC Immediately – Remote Code Execution Vulnerability Disclosed – SUCURI blog

WordPress forumsに、kisscsabyというユーザーが、最初に指摘したのが、ことの始まり。そのフォーラムのツリーは下記のもの。

• WP Super Cache – WordPress forums

途中から、WP Super Cacheの作者も参加して話が進み、即座にセキュリティホールにバッチが当てられた。

どういった脆弱性だったかは、以下のサイトにまとめられている。

• WP Caching plugin vulnerability debrief – Frank Goosens’ blog
• WordPress Caching Plugins Remote PHP Code Execution – Acunetix’s blog