深刻な脆弱性対策でWordPress4.7.2にアップデートは必須です

2017/02/07[公開]

 現在、WordPress4.7.0と4.7.1に深刻な脆弱性が見つかっているので、早急にバージョン4.7.2にアップデートしているか確認したほうがいいです。丸川オリンピック担当大臣のHPもやられたとニュースになっています。調べてみるとあまりに簡単すぎるハックなので、被害を受けたサイトが増え続けているとか。対策としては最新バージョン4.7.2にするしかないとのことです。

 ここのサイトはデフォルトテーマtwentyseventeenを使っているので、バージョン4.7以降であることが瞬時にばれてしまいます。あわてて自分のサイトを確認しましたら、とっくに4.7.2にしていたので安心しました。

スポンサー リンク

深刻な脆弱性が修正されます

 WordPress4.7から利用されるようになったREST API コンテンツエンドポイントに深刻な脆弱性あったようです。やり方さえ知っていれば、誰でも簡単に他人のWordPressに投稿ができてしまう状態だったようです。

IPAが今回の脆弱性について警告を出しています。WordPress の脆弱性対策について:IPA 独立行政法人 情報処理推進機構

一週間公表を控える措置が取られる事態

 今回の4.7.2バージョンアップは1/26に配信されました。公開時には、3件のセキュリティ問題に対応したと公表されましたが、その後一週間経ってから、4件目のセキュリティ問題への対応であるREST API の脆弱性が公表されました。

 あまりにも深刻すぎる問題のため、あえて公表を遅らせたそうです。ほとんどのサイトが自動更新でアップデートされると考えられる、一週間の猶予を取ったらしいです。こんな対応を取るということから、この脆弱性の深刻度がわかります。

 WordPress.orgの4.7.2セキュリティリリース(英語)ページには4件目の情報が出ています。この記事を書いている時点では、日本語ページでは最初の3件のままでした。WordPress 4.7.2 Security Release

4.7.2に自動更新される

 WordPress3.7以降のバージョンから、標準でWordPressのセキュリティメンテナンスのマイナーバージョンアップは、自動で更新される設定になっているはずです。今回の対象バージョンである4.7.0か4.7.1までアップデートされていれば、4.7.2へは自動アップデートされているサイトがほとんどでしょう。

 私の場合も、毎日のように管理画面をチェックする場合は、アップデート通知が出ているので自分でアップデートしましたが、4.7.0にして放置状態のサイトでも、今日確認したら4.7.2に自動更新されていました。バージョン4.5.1で放置していたサイトは、古いまま止まっていました。

自動更新について詳しくは、WordPress Codexをご覧ください。自動バックグラウンド更新の設定 – WordPress Codex 日本語版

アップデートされているか確認したほうが良いでしょう

 とはいえ、実際に怪しい投稿を勝手に載せられたサイトが、ここ数日たくさん発生したということは、自動アップデートを止めていたサイトがたくさんあるということでしょう。念のため、バージョンの確認はやっておくべきでしょう。管理画面に入ればダッシュボードの概要欄にバージョン情報が出ているので、すぐに確認できます。

キャッシュデータもクリアする

(追記) この記事を公開した後から、Google Serch Consoleからメールが来て「貴サイトが WordPress の古いバージョンである WordPress 4.7.0 or 4.7.1 を実行していることが判明しました。」 と言われてしまいました。すでに4.7.2にバージョンアップ済みなのにと思いましたが、キャッシュ系プラグインのキャッシュが古いままだったかもしれません。WordPress高速化のためにキャッシュ系プラグインを利用している場合は、一旦キャッシュデータをリセットしたほうがいいかもしれません。実害はなくても、へんなのを呼び寄せてしまうかもしれませんので。

スポンサー リンク

こちらの記事もどうぞ

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です