WordPress に重大な脆弱性が見つかりました。
http://www.itmedia.co.jp/enterprise/articles/1702/06/news136.html
【今回は、サーバ管理者だけでなく、コンテンツ制作者にも関係がある内容です。】
VPS や AWS などだけでなく、単にレンタルサーバを借りている場合でも、
WordPress の特定のバージョンを利用している場合は、影響があります。
過去に納品しているサイトでも、影響がある場合があり、対応が必要な場合が
あります。(契約やお客様との関係にもよりますが)
今回の脆弱性の対象バージョンは、
・WordPress 4.7.0
・WordPress 4.7.1
です。
これらのバージョンには、外部から簡単な方法で記事の内容を好き勝手に更新
できてしまう脆弱性が存在しており、すでに万単位の数多くのサイトが被害に
あっています。
http://news.yahoo.co.jp/pickup/6229374
http://d.hatena.ne.jp/Kango/20170205/1486314605
国の機関である、情報処理推進機構からも警告が出ています。
http://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html
実際にこの脆弱性を使って、サイトを改竄することができるか検証した方が
いらっしゃいます。
http://blog.tokumaru.org/2017/02/wordpress-4.7.1-Privilege-Escalation.html?m=1
このように、非常に簡単な方法で見事に成功しています。
この脆弱性により、サイトの内容を改竄されたり、マルウェア(ウイルスなど)を
仕込まれたサイトに誘導されたりする可能性があります。
これらのバージョンの WordPress を使っていないか、全ての WordPress で制作
したサイトを調査し、アップデートができていないサイトはアップデートを適用
することをお勧めします。これは「直ちに」です。今も被害は広がっています。
また、これらのバージョンを数時間でも使っていた可能性がある場合は、すでに
改竄されている恐れもありますので、記事を更新日順に並べて、改竄にあって
いないか、確認されることをお勧めします。
