WordPressのバージョン4.7.0及び4.7.1の脆弱性について

WordPressのバージョン4.7及び4.7.1に緊急性の高い脆弱性が存在することが発表されました。
この脆弱性に対応したバージョン4.7.2がリリースされています。

脆弱性の危険度

1. WordPress内のコンテンツを外部から書き換えることができる
2. 攻撃するたの難易度が非常に低い
3. すでに改ざん被害が報告されている

以上の3点から見てもわかるように、緊急性の高い重大な脆弱性であると言えます。
不特定多数のWebサイトが狙われる可能性がありますので、「うちは大丈夫」のような甘い考えは通用しません。

 

対応方法

改ざんの有無で対応方法が異なるため、以下に2点紹介します。

1. 改ざんが確認できない場合

自身で管理している場合は、早急なアップデートを行いましょう。
管理会社にまかせている場合は、管理会社に連絡を行い早急な対応を求めてください。

いずれにせよ、最新版へのアップデートを行うことを再優先としてください。
また、アップデートが行われなかった運用方法の見直しも行い、常に最新版のWordPressが利用できる環境を整えられるようにしましょう。

 

2. すでに改ざんされてしまっている場合

バックアップがある場合は、ただちにWebサイトの公開を停止し改ざんされる前のバックアップ(4.7.0にアップデート前のものが望ましい)に戻し作業を行いましょう。
戻し作業を行ったあとに、WordPressとプラグイン・テーマを最新版にアップデートも忘れずに行うようにしてください。

バックアップがない場合は、改ざんの範囲の把握や対応策の検討をする必要があります。ただちにWebサイトの公開を停止しサイト利用者に対してアナウンスを行いましょう。
改ざんが多岐にわたる場合、元に戻すことを諦めWebサイトの作り直しをする必要があるかもしれません。

 

弊社の対応

WordPressのマイナーアップデートになりますので自動アップデートの対象ではありますが、緊急性が高いということもあり弊社保守クライアント及び弊社運用サイトに関しては、手動でアップデート及びアップデート確認の対応を行いました。

また、早急な対応ができるよう、最新の情報の収集を行っています。

 

まとめ

今回の脆弱性は非常に重大なものです。
被害がなかったとしても、アップデートがされていなかったWebサイトは運用方法の見直しや環境の整備などを行うようにするべきです。

ここで重要なのは、WordPressが危ないのではなくWordPressのアップデートを行うことができていなかった運用が危ないということを理解することにあります。
WordPressの本体やプラグイン・テーマを最新版で利用することが一番のセキュリティ対策になることを覚えておきましょう。

参考: WordPress の脆弱性対策について(IPA 独立行政法人 情報処理推進機構 発表)