WordPressに深刻な脆弱性、早急にバージョンアップを！

ブログの発信に便利なWordPressですが、バージョンが「4.7.0」もしくは「4.7.1」に深刻な脆弱性が確認されており、早急にバージョンアップするように注意喚起されています。

WordPress「4.7.0」と「4.7.1」に脆弱性

2017年2月6日、情報処理推進機構（IPA）およびJPCERT/CCから相次いで、WordPressの脆弱性に関する注意喚起が発表されました。すでに国内の複数のサイトが、改ざんの被害を受けているそうです。

対象のバージョンは、「4.7.0」と「4.7.1」になります。

バージョン「4.7.0」から導入された「REST API」という機能に脆弱性が存在し、この脆弱性が悪用されてWebサイトのコンテンツやページが改ざんされてしまう恐れがあるそうです。

サイトが改ざんされると、最悪のケースでは、サイトの閲覧者がマルウェア配布サイトに誘導され、マルウェアに感染するなどの恐れがでてきます。

「REST API」は、外部からWordPressの記事などのデータにアクセスできる機能です。当然、アクセスのためには認証が必要ですが、何らかの手順を踏むことで認証をパスせずにデータにアクセスできてしまうのでしょう。

対応の基本は「4.7.2」へのバージョンアップ

この脆弱性の対応は、基本的には「4.7.2」へのバージョンアップになります。バージョン「4.7.2」で他の軽微な脆弱性と合わせて、対応が行われています。「4.7.2」は2017年1月26日にリリースされています。

WordPressでWEBサイトやブログを運営している方は、早急にバージョンアップをする必要があります。

また、一時的な回避策として、「REST API」を無効にする公式プラグインの「Disable Embeds」を入れる方法もありますが（未検証です）、基本的には「4.7.2」へのバージョンアップを行いましょう。

当ブログの対応

当ブログもWordPressで運営しています。すでに「4.7.2」へバージョンアップ済みです。

Googleのウェブマスターツールや、さくらインターネットから更新を促す旨のメールが届きました。このようなことは、ブログを開始から初めてです。それだけこの問題が深刻ということでしょう。

WordPressを使うならセキュリティを考えよう

WordPressは、はてなブログやアメブロなどのブログサービスと比較して、自由に色々なことができる反面、セキュリティ面も自分で対策を行う必要があります。

セキュリティ対策の基本は、WordPress本体とプラグインのバージョンを常に最新にしておくことです。

まとめ

WordPress「4.7.0」と「4.7.1」には深刻な脆弱性があります。すでに改ざんの被害を受けているサイトもあります。

WordPressでのサイトやブログの運営者は、早急に最新のバージョンにしましょう。セキュリティ対策の基本ですよ。