WordPress4.7系のREST-API脆弱性による一部誤解について


長くなりますが、ブログ投稿が妥当そうですので。
世界的シェアをもつWordPressの今回のニュースは、国内の中小零細・大企業・官公庁サイトで何万件もの改ざん攻撃の指摘を受けています。
大きく影響を受けるのはREST APIが標準搭載されたver4.7.0/ver4.7.1です。
【ITmedia】
ITmediaさんを特定するわけではないのですが、社会的な影響度が大きいからニュースになったのでしょうが、タイトル見ると『WordPress≒セキュリティ弱い』と誤解されそうです。
『WordPress≒逆にセキュリティ対策が早い。但しシェアが大きい為社会影響が大きい。』と思ってもらった方がいいなぁ。
初版4.7.0をリリース後48hour以内に既に脆弱性をつかれ、4.7.1で対処しさらに4.7.2というところでしょうか。(リリースノート確認してません)

  1. 自動更新していなく、4.7.0/4.7.1で導入した企業。
  2. 自動更新していても、運悪くあたってしまった企業。
  3. 自動更新していなく、4.6以前が導入されている企業。

「1」「2」の企業は、制作業者か、WordPressに詳しい業者へ修正対処依頼を早い段階で出す方が賢明です。ページ改ざんは総当たりでかけていると推測できますが、放っておくと標準型での攻撃に切り替わりRESTAPIで取得できるデータ全てが持っていかれる可能性があります。

現段階なら逆に少し古い4.6以前のversionを使っている方がまだ安全かもしれません。業者と保守契約している所は頃合い(次期対処以降)を見てUPDATEをお勧めします。 
サイトは「作って終わり」ではないので、その後の制作業者との良好な関係(保守契約も含みますし、単発対処も含みます)を継続していくことが望ましいですね。

 IPAにはきちんと書いてある

IPA(情報処理推進機構)さんにはきちんと「WordPress の脆弱性対策について」として掲載されていますね。4.7.1もユーザ権限昇格の脆弱性があったそうです。

投稿者: cova

ザムウ取締役CTO。2010年に香川県三豊市へ移住。フリーランスSEとして活動をはじめる。とある機構にて中小企業の経営支援と、小学校にてICT講習も務める。2022年現在、子育て支援NPO理事、短大専任講師を兼任する。 【主な資格】経営学修士(MBA)修了、国家試験応用情報技術者、国内初の夫婦ITコーディネーター。 その他、2022年4月:2児(4歳・1歳)の父。 #赤ちゃんから学ぶ経営学 を配信。