WordPressに深刻な脆弱性が発覚!すでに多数のサイトで改ざん被害が発生中!ユーザーは大至急アップデートを!

0
265
WordPressに深刻な脆弱性が発覚!すでに多数のサイトで改ざん被害が発生中!ユーザーは大至急アップデートを!
Pocket

結構大事になってきました(;´・ω・)

先日WordPressに「REST API」の処理に起因した深刻な脆弱性が発覚し、悪用されると第三者によってサーバー上でコンテンツを改ざんされる恐れがあるとの事で、大至急最新バージョンへアップデートするよう情報が回っていましたが、やはりいまだに古いバージョンのまま放置されているWordPressサイトが多数存在し、現時点で6万以上のサイトが改ざん被害にあっている模様です。

複数の脆弱性が最新バージョン(現時点ではWordPress 4.7.2)で修正されていますが、特に今回のハッキング被害の元凶となっているのが、WordPress 4.7と4.7.1に含まれる「REST API」にあります。そのため、全てのWordPressユーザーが最新のWordPress 4.7.2にアップデートするのが原則ですが、中でもWordPress 4.7と4.7.1を使用しているユーザーは今すぐ大至急アップデートしておきましょう!

- Advertisement -

WordPress:REST APIの深刻な脆弱性発覚に関する流れ。

今回のWordPressに関する深刻な脆弱性は、すでに2017年1月の時点でWordPress側で認識しており、事の重大性からあえて内容は発表せず、1/26に脆弱性を修正した「WordPress 4.7.2」がリリースされました。

内容としては、「REST API」の処理に起因する脆弱性で、悪用された場合、遠隔の第三者によって、サーバ上でコンテンツを改ざんされる可能性があります。この「REST API」は主に他サービス等と連携するための開発者向けの機能であり、一般的なWebコンテンツの表示には使用されません。

WordPress:REST APIの深刻な脆弱性発覚に関する流れ。※脆弱性を悪用した攻撃のイメージ/引用元:IPA

その後最新バージョンへの速やかなアップデートを促しつつ、2/1に脆弱性の内容を公開。これによって案の定、爆発的にWordPressの脆弱性を突いた攻撃が増えているとのこと。

なんでも現時点で6万以上のWordPressサイトが改ざんの被害にあっているそうです。恐ろしや。。。

 

WordPress 4.7と4.7.1ユーザーは大至急4.7.2へアップデートを!

今回の「REST API」に関する深刻な脆弱性による影響を受けるのは、WordPress 4.7と4.7.1を使用しているユーザーですが、それ以外にも複数の脆弱性が修正されているようです。

出来る限り速やかに、WordPressを使用しているユーザーは最新の「WordPress 4.7.2」(※記事執筆時点)にアップデートしましょう!

なお、当サイトが利用しているwpXサーバーさんでは、今回の件に関して【REST APIに対する国外IPアドレスからのアクセスを制限】する対応を行ってくれていますが、まだアップデートしていないユーザーは早急に対処しておくべきでしょう。

また、なんらかの理由でアップデートできなユーザーのための一時的な回避策として、「REST API」を使用しないか、「REST API」へのアクセスを制限することが推奨されています。とはいっても、WordPressに詳しくないユーザーには難しいですよね(;´∀`)

そこでWordPressでは、「REST API」を無効にする公式プラグイン「Disable Embeds」も提供しているので、暫定的にこれで対処するのもありかもしれません。あくまでも一時しのぎなので、早急な「WordPress 4.7.2」へのアップデートが原則なのはお忘れなく。

 

WordPressで個人的に気を付けているポイント。

という事で、原則はWordPress使用において、最新バージョンを使うというのは重要なセキュリティ対策なのですが、以前アップデートした際に大きな不具合に遭遇して死にそうになった経験から、あえて大きなアップデート後は最初のバージョンは飛ばすようにしています。これはあくまでも自分の場合はですけどね。

WordPress 4.3でメモリ消費量増大・CPU高負荷になる重大なバグあり。直し方を一応解説。
WordPress 4.2.4を4.3にアップグレード後、特にプラグイン等も変更していないのに、なぜか管理画面が重く、今まで経験したことのないエラー、例えば“Fatal error: Allow...

 

そのため、WordPress 4.7はインストールせず、WordPress 4.7.1になってから更新作業を行いました。今回は実際にWordPress 4.7.2に更新したのは2/7だったので、改ざんされなかったのは運が良かったのか、wpXのセキュリティ対策が奏功したのでしょうね。

なお、現時点で当サイトが利用しているwpXサーバーには、デフォルトで様々なセキュリティ対策が施されています。ユーザーさんは改めて確認しておきましょう。

個人的には、こういった脆弱性を突いた攻撃は海外からが多いので、原則国外のIPアドレスからは管理画面へのアクセスを遮断しています。それと複数回のログイン試行(パスワード総当り/ブルートフォースアタック)も対策済みです。サーバー側で用意されていない場合は、プラグインなどでも対応できるかと思うので、ぜひ検討してみてくださいね。

ちなみにwpXサーバーでは、以下のセキュリティ対策があります。

  • ダッシュボードアクセス制限設定:
    国外IPアドレスによるダッシュボードへのアクセス制限を行いセキュリティを強化できます。
  • ダッシュボードログイン試行回数制限設定:
    ダッシュボードへのパスワード総当り(ブルートフォースアタック)による不正アクセスを防止しセキュリティを強化できます。
  • XML-RPC APIアクセス制限設定:
    国外IPアドレスによるXML-RPC APIへのアクセス制限を行いセキュリティを強化できます。
  • 大量コメント・トラックバック制限:
    短時間に大量コメントまたはトラックバックが行われた場合、自動的に検知して投稿を制限します。
  • 国外IPアドレスコメント・トラックバック制限:
    国外IPアドレスからのコメント・トラックバックへのアクセスを制限できます。

プラグインや外部との連携などで不具合が出る場合もあるかもしれませんが、できる限りこれらの設定は“オン”にしてWordPressを運用するのが安全だと思います。

それと、安易なパスワードの設定も厳禁です。簡素なパスワードを設定している場合は、例えば【1password】アプリなどを活用し、高度なパスワードに設定し直しておきましょう。本当はSSL化もしないといけないんですけど、まだ面倒で手が出せていない状況です。

1Password
カテゴリ: 仕事効率化, ユーティリティ
iPhone/iPadの両方に対応
無料 ※価格は記事掲載時のものです。

アプリをダウンロードする

Google Play Store ダウンロード

 

また、古いプラグインにも脆弱性が存在する可能性があります。定期的に「更新の止まっている古いプラグイン」は、最新の同系統のプラグインに切り替えるなどの対策も忘れずに。

個人的にWordPressのプラグインについては、いつも「NETAONE」さんの記事を参考にして見直しています。以下の記事なんかは超参考になりますよヽ(*´∀`)ノ

WordPressの優良プラグイン50選、最初にインストールすると超便利!(2017年版) - ネタワン
WordPressには便利なプラグインが沢山あります。数あるWPプラグインの中から、ネタワン管理人が厳選して紹介します。初心者にお勧めのWPプラグインを優先して紹介してい...
Pocket

- Advertisement -

NO COMMENTS

質問やご感想があればお気軽にどうぞ。コメントは管理人の承認後に表示されます。※メアドは非公開です。