wordpress 4.7.0、4.7.1に深刻な脆弱性があることがわかり、ここんところ、ネット上が大騒ぎ。

• WordPress の脆弱性対策について – 情報処理推進機構
• WordPress の脆弱性に関する注意喚起 – 一般社団法人 JPCERT コーディネーションセンター

wordpress.orgは、1月26日に4.7.2に自動でおこなってくれるマイナーアップデートをしたが、深刻な脆弱性に関しても同時にFIXしていた。しかしながら、脆弱性が深刻なことから、アップデートが行き渡るまで、発表を控えていた。1週間ほどたった2/2のブログで、その脆弱性を公開した。

• WordPress 4.7.2 Security Release（1/26の時点での4.7.2への更新内容のアナウンス） – WordPress.org
• Disclosure of Additional Security Fix in WordPress 4.7.2（2/2に、4.7.2へのアップデートで深刻な脆弱性が解消されることをアナウンス） – WordPress.org

今回の脆弱性は、特定の配列のPOSTをすると、アクセス権がなくても投稿内容の書き換えが可能になるというもの。原因は、4.7.0からデフォルトでインストールされるようになったWordPress REST API。

発表を1週間ほど送らせたものの、自動アップデートをオンにしていないサイトなどで、投稿の書き換えの被害が報告されている。

このあたりの経緯が、ネットメディアで報告されている。

• WordPress、更新版で深刻な脆弱性を修正　安全確保のため情報公開を先送り – ITmedia
• WordPressのREST API脆弱性、国内サイトでもコンテンツ改ざん事例が発生、IPAとJPCERT/CCが注意喚起 – INTERNET Watch
• IPA、WordPressの脆弱性対策で最新版へのアップデートを呼びかけ – CNET Japan

---

【対策】

wordpressを4.7.2にアップデートする。

【診断】

サイトがすでに攻撃されているかどうかを調べるには、簡易的ないくつかの方法がある。

（方法１）検索する

1つめの方法は、攻撃者は愉快犯なので、書き換えては「Hacked by なになに」のメッセージを残していく。
なので、「Hacked by」または「Hacked」で検索してさがす。

（方法２）更新日をチェックする

二つ目の方法は、wordpress 4.7.0は、2016年12月6日に公開されたので、それ以降に更新された投稿を探してチェックする。現実的には、2/2に深刻な脆弱性があることが発表されて以降、攻撃が目立つようになったので、その頃以降に更新された投稿をチェックすればいい。

しかし、wordpressの管理画面では投稿日は表示されるが、更新日は表示されない。

この場合、管理画面で更新日を表示できるプラグイン「Codepress Admin Columns」を使用すると表示させることだけはできる。ただ、ソートはできないので、目視しなくてはいけないのは手間。

［サイト内関連記事］

• Codepress Admin Columns：記事の一覧リストの管理画面に任意の項目を追加したり、項目の順番を変えたり出来るプラグイン