WordPress4.7系のREST-API脆弱性による一部誤解について


長くなりますが、ブログ投稿が妥当そうですので。
世界的シェアをもつWordPressの今回のニュースは、国内の中小零細・大企業・官公庁サイトで何万件もの改ざん攻撃の指摘を受けています。
大きく影響を受けるのはREST APIが標準搭載されたver4.7.0/ver4.7.1です。
【ITmedia】
ITmediaさんを特定するわけではないのですが、社会的な影響度が大きいからニュースになったのでしょうが、タイトル見ると『WordPress≒セキュリティ弱い』と誤解されそうです。
『WordPress≒逆にセキュリティ対策が早い。但しシェアが大きい為社会影響が大きい。』と思ってもらった方がいいなぁ。
初版4.7.0をリリース後48hour以内に既に脆弱性をつかれ、4.7.1で対処しさらに4.7.2というところでしょうか。(リリースノート確認してません)

  1. 自動更新していなく、4.7.0/4.7.1で導入した企業。
  2. 自動更新していても、運悪くあたってしまった企業。
  3. 自動更新していなく、4.6以前が導入されている企業。

「1」「2」の企業は、制作業者か、WordPressに詳しい業者へ修正対処依頼を早い段階で出す方が賢明です。ページ改ざんは総当たりでかけていると推測できますが、放っておくと標準型での攻撃に切り替わりRESTAPIで取得できるデータ全てが持っていかれる可能性があります。

現段階なら逆に少し古い4.6以前のversionを使っている方がまだ安全かもしれません。業者と保守契約している所は頃合い(次期対処以降)を見てUPDATEをお勧めします。 
サイトは「作って終わり」ではないので、その後の制作業者との良好な関係(保守契約も含みますし、単発対処も含みます)を継続していくことが望ましいですね。

 IPAにはきちんと書いてある

IPA(情報処理推進機構)さんにはきちんと「WordPress の脆弱性対策について」として掲載されていますね。4.7.1もユーザ権限昇格の脆弱性があったそうです。