深刻な脆弱性対策でWordPress4.7.2にアップデートは必須です

2017/02/07[公開]

 現在、WordPress4.7.0と4.7.1に深刻な脆弱性が見つかっているので、早急にバージョン4.7.2にアップデートしているか確認したほうがいいです。丸川オリンピック担当大臣のHPもやられたとニュースになっています。調べてみるとあまりに簡単すぎるハックなので、被害を受けたサイトが増え続けているとか。対策としては最新バージョン4.7.2にするしかないとのことです。

 ここのサイトはデフォルトテーマtwentyseventeenを使っているので、バージョン4.7以降であることが瞬時にばれてしまいます。あわてて自分のサイトを確認しましたら、とっくに4.7.2にしていたので安心しました。

このページの目次

スポンサー リンク

深刻な脆弱性が修正されます

 WordPress4.7から利用されるようになったREST API コンテンツエンドポイントに深刻な脆弱性あったようです。やり方さえ知っていれば、誰でも簡単に他人のWordPressに投稿ができてしまう状態だったようです。

IPAが今回の脆弱性について警告を出しています。

一週間公表を控える措置が取られる事態

 今回の4.7.2バージョンアップは1/26に配信されました。公開時には、3件のセキュリティ問題に対応したと公表されましたが、その後一週間経ってから、4件目のセキュリティ問題への対応であるREST API の脆弱性が公表されました。

 あまりにも深刻すぎる問題のため、あえて公表を遅らせたそうです。ほとんどのサイトが自動更新でアップデートされると考えられる、一週間の猶予を取ったらしいです。こんな対応を取るということから、この脆弱性の深刻度がわかります。

 WordPress.orgの4.7.2セキュリティリリース(英語)ページには4件目の情報が出ています。この記事を書いている時点では、日本語ページでは最初の3件のままでした。

4.7.2に自動更新される

 WordPress3.7以降のバージョンから、標準でWordPressのセキュリティメンテナンスのマイナーバージョンアップは、自動で更新される設定になっているはずです。今回の対象バージョンである4.7.0か4.7.1までアップデートされていれば、4.7.2へは自動アップデートされているサイトがほとんどでしょう。

 私の場合も、毎日のように管理画面をチェックする場合は、アップデート通知が出ているので自分でアップデートしましたが、4.7.0にして放置状態のサイトでも、今日確認したら4.7.2に自動更新されていました。バージョン4.5.1で放置していたサイトは、古いまま止まっていました。

自動更新について詳しくは、WordPress Codexをご覧ください。

アップデートされているか確認したほうが良いでしょう

 とはいえ、実際に怪しい投稿を勝手に載せられたサイトが、ここ数日たくさん発生したということは、自動アップデートを止めていたサイトがたくさんあるということでしょう。念のため、バージョンの確認はやっておくべきでしょう。管理画面に入ればダッシュボードの概要欄にバージョン情報が出ているので、すぐに確認できます。

キャッシュデータもクリアする

(追記) この記事を公開した後から、Google Serch Consoleからメールが来て「貴サイトが WordPress の古いバージョンである WordPress 4.7.0 or 4.7.1 を実行していることが判明しました。」 と言われてしまいました。すでに4.7.2にバージョンアップ済みなのにと思いましたが、キャッシュ系プラグインのキャッシュが古いままだったかもしれません。WordPress高速化のためにキャッシュ系プラグインを利用している場合は、一旦キャッシュデータをリセットしたほうがいいかもしれません。実害はなくても、へんなのを呼び寄せてしまうかもしれませんので。

“深刻な脆弱性対策でWordPress4.7.2にアップデートは必須です” への2件の返信

  1. こちらの記事をいつも参考にさせて頂いております。
    同じテーマを使用してるんですが、少しわからないことがあるんですが質問よろしいでしょうか?


    この部分(この記事で言うとコメントを残す欄の上にあるカテゴリーとタグの部分)ですが、どうしても関連動画の上に表示されてしまいます。
    できれば、こちらの記事のようにコメントを残す欄の上に表示されるように位置を変えたいのですが、どうにもこうにも上手くいきません(>_<)
    教えて頂けたら嬉しいです。

    1. じーつーさん、
      ここのブログは、関連記事のプラグインYuzo Redated Postsを利用しています。
      デフォルトの自動表示ではなく、PHPコードをテーマに挿入して表示しています。
      こちらの記事を参考にしてください。
      https://def-4.com/yuzo-related-posts/

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です