先に結論。
簡単にブログの内容が書き換えられてしまう問題があります。
WordPress 4.7.0と4.7.1の重大な脆弱性が見つかる
満を持してVer.4.7が発表されたWordPressだが、追加された新機能「REST API」に脆弱性が見つかった。
「REST API」は記事投稿等の管理機能を管理画面以外から使えるようにするための窓口で、例えば
- WindowsやmacOSの操作性の高いアプリ上で記事を編集・投稿する
- 株価情報システムからWordPressにニュース記事として加工して投稿する
- WordPressからWordPressに記事をバックアップする
といった「外部とWordPressのやりとり」の連携が簡単になる、将来性が大変高い機能である。
が、初物の定め。
Ver.4.7.0と4.7.1には簡単なフォームを作るだけで認証抜きで他人のブログに勝手投稿できてしまうようなバグが見つかってしまった。
IPAによる注意喚起:
実例と説明:
この脆弱性はVer.4.7.2で解消された。
対応:WordPressのアップデートまたはREST API停止
何はなくともWordPressをVer.4.7.2以降にアップデートすることが先決だが、何らかの事情によりアップデートすることができない場合はREST APIを停止するという手もある。
REST APIは現時点ではあまり普及していないので、アップデート後にプラグインなどに不具合が起きないならOFFにしてしまって問題ない。
将来、どうしても使いたいアプリやプラグインの説明書に指示されたときに初めてONにする位で良い。
エックスサーバー:何もしなくて良い
今日(2/28)、当サイトが動いているエックスサーバーからメールが来た。
この度エックスサーバーでは、WordPressの「REST API」に対する国外IPアドレスからのアクセス可否を変更できる「REST APIアクセス制限」機能を追加いたしました。
当サービスでは2017年2月7日、WordPressのセキュリティ対策として、WordPressの「REST API」(※)に対する国外IPアドレスからのアクセスを制限いたしました。
「REST APIアクセス制限」機能のご利用により、当制限を解除することが可能です。
通常は制限を「有効(ON)」のまま運用することを強く推奨いたしますが、Webサイトコンテンツの表示などに影響が生じる場合に限り、制限の解除をご検討ください。
内容をかみ砕くと
今日(2/28)から任意で開始できるようにするけど、普通はしなくて良いよ。
ということだ。
基本的に書いてあるとおり何もしなくて良い。
ただし、国内からのアクセスもOFFにする場合はSimplicity2テーマやDisable REST APIプラグインで対策する必要がある。
Simplicity2テーマならOFFにできる
Simplicity2テーマを使っている場合は
管理画面→外観→カスタマイズ→その他→REST APIを有効
のチェックボックスをOFFにすることで対策できる。
Disable REST APIプラグインでOFFできる
Simplicity2テーマを使っていなくても、Disable REST APIプラグインをインストールすればREST API機能をOFFできる。
まとめ
Ver.4.7.0と4.7.1は簡単に人のブログをハッキングできてしまう。
- まだ古いWordPressを使っている方は早急にVer.4.7.2移行に更新するべき。
- 事情につき更新できない場合
- エックスサーバーならとりあえずそのままで良い
- Simplicity2テーマの場合はカスタマイズ画面内でREST APIをOFFにする
- いずれでも無い場合はプラグインでREST APIをOFFにする
なお、こういったセキュリティ対策などに不安がある場合、プロに頼むという手もある。
GMOの「SiteLock(サイトロック)」サービスは1サイト当たり350円から診断をやってくれる。
こういったセキュリティの世界は日進月歩である。
勉強しても勉強してもキリが無い。
基本的に商売をするサイトは停止しては困る。
サイトの中身は自分自身で無ければコントロールできないのでWordPressの勉強もある程度はアリだと思うが、専門外の分野はこういった所に任せて商売に集中するのもアリではないだろうか。