WordPressの4.7.1に深刻な脆弱性があるので至急アップデートせよ!
というお知らせがしばらく前に来た。
運営している4サイトは即更新したせいか何の問題もなかったのだが、
以前友人と作った(が、運営から離脱していた)サイトがやられていた。
久しぶりに管理画面にアクセスしてみたら、ユーザー履歴に変なアクセスはない。が、改ざんページのリビジョンを見ると、改ざん時の投稿者名が無い(ということは、ユーザーIDとパスワードが抜かれたということではなさそう)。
WordPress 4.7, 4.7.1 はAPIに致命的なバグがあって認証無しで誰でも記事を改ざんできちゃうっぽい!
改ざんページに、Hacked By GeNErALという、悪魔君のかわいいイラスト付きのがあった。検索すると今でもそのままのページが山ほど表示されている。株式会社ナントカとか、ナントカ法律事務所とか、ナントカ研究所とか、個人ブログとか。4.7.1関連被害は2月上旬で150万ページというけれど、きっとそのあとも増えてると思う(悪魔君だけでもヒット数51,300,000件。全てが改ざんページではないにしろ、驚くべき数字だと思う)。
WPが4.7.2を出して、早くアップデートしろとアナウンスして、実は前ヴァージョンに深刻な脆弱性がありまして、と発表したのが1週間後。いつもはアップデートの内容を即オープンにするところ、被害の拡大を懸念して、アップデートの浸透を待ってから発表したと。
で、おっ、そういう脆弱性があるのかとハッカーは大喜びで、まだアップデートしてないWPに攻撃をしかけ、かつコードを拡散し、4.7.1がのきなみやられた。でもさ、たった1週間で世界中のWP利用者がアップデートするわけないじゃん!
これほど深刻なセキュリティーホールはそうそうあることじゃないだろうけれど、でも、こういうことはずーっとあるんだろうなあとは思う。完璧なガードは不可能というか、バックアップがそれだけ大事というか。
取り急ぎ友人サイトは現管理者がWPを最新版に更新したという。気になるのは、そのあとでまたいくつかの記事が改ざんされたということ(←今ここ)。とすると、単に改ざんされた記事を削除し、WPを更新するだけじゃダメっていうことか。どこかに変なスクリプトを仕込まれているとか。とすると最悪WP入れなおしするしかない。
につけてもバックアップの重要さよ。wpXであれば無料でDBのバックアップを2週間分取っておいてくれる、というありがたさをかみしめている(ちなみに友人サイトはWADAX。プラグインでバックアップを取っていたんだけれど、なぜか直近のはみなエラーで使えないっぽい…)。
参考:
もしやの改ざん疑惑!ワードプレス脆弱性(セキュリティホール)症状と復旧方法(4.7.0・4.7.1)
コメント