WordPress 5.7.1以前にクリティカルなセキュリティホールが報告

WordPress

米国CISAより次のようなアナウンスがあったようです。
「3.7から5.7.1までのWordPressバージョンは、セキュリティの脆弱性の影響を受けます。攻撃者はこの脆弱性を悪用して、影響を受けるシステムを制御する可能性があります。」

WordPressはデフォルト自動アップデートされる仕組みになっているようですが、自動更新をあえてOFFにしている場合は注意が必要です。

自動更新をOFFにする方法は次のとおりです。

対象読者

WordPressのサイト運用者

スポンサーリンク

対処方法

WordPressでは、5.7.2にアップデートされることが必須とされています。

使っているプラグインの動作保証の確認を含め、WordPress本体のアップデートをしましょう。

5.7.2に対応していないプラグインがあれば、代替プラグインの検討をオススメします。

米国CISAとは

米国土安全保障省のサイバーセキュリティー・インフラストラクチャー・セキュリティー庁と言われる組織です。セキュリティ脆弱性の情報発信も司っているようです。

日本では、JPCERTといわれる組織で脆弱性情報の発信を行っています。

脆弱性とは

脆弱性(ぜいじゃくせい)とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。脆弱性は、セキュリティホールとも呼ばれます。脆弱性が残された状態でコンピュータを利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があります。

https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/11.html

今回のケースでは、「システムを制御する可能性」とのことで一番深刻なセキュリティホールとなります。

システム制御権限とは、内部DBデータの情報漏えいや、Blogページの改ざん、不正なJSスクリプトを埋め込まれて、悪意のあるサイトに誘導される危険性があります。

アップデート以外の対策

セキュリティプラグインを入れることで、攻撃されても脆弱性を利用されるリスクを下げることは可能です。

しかし、セキュリティプラグインも万能ではないので、アップデートを強く推奨します。

まとめ

トピック記事となりましたが、情報整理のためにまとめさせていただきました。

WordPressを5.7.2にしてないサイトは、ぜひアップデートを実施してください。

WordPressの管理画面から更新情報を確認できます。

とつ

某SIer企業勤務。サーバーインフラ系でキャリアを伸ばしつつ、2020年からAWS運用にシフト。
老け顔から、「とっつあん」とあだ名で呼ばれ、それが「とつ」といつしか略されるようになったのがハンドルネームの由来。
「リベラルアーツ大学」をきっかけに、稼ぐ力を養いたいとBlogサイト運営を開始。Blogの成長とともにAWSのスキルアップももくろむ。
家族は妻と長男。3歳の長男がついこの前「しーしこ行くー!」と念願のオムツはずれを達成した!

とつをフォローする
WordPress
スポンサーリンク
とつをフォローする
とつブログ

コメント

タイトルとURLをコピーしました