米国CISAより次のようなアナウンスがあったようです。
「3.7から5.7.1までのWordPressバージョンは、セキュリティの脆弱性の影響を受けます。攻撃者はこの脆弱性を悪用して、影響を受けるシステムを制御する可能性があります。」
WordPressはデフォルト自動アップデートされる仕組みになっているようですが、自動更新をあえてOFFにしている場合は注意が必要です。
自動更新をOFFにする方法は次のとおりです。
WordPressのサイト運用者
対処方法
WordPressでは、5.7.2にアップデートされることが必須とされています。
使っているプラグインの動作保証の確認を含め、WordPress本体のアップデートをしましょう。
5.7.2に対応していないプラグインがあれば、代替プラグインの検討をオススメします。
米国CISAとは
米国土安全保障省のサイバーセキュリティー・インフラストラクチャー・セキュリティー庁と言われる組織です。セキュリティ脆弱性の情報発信も司っているようです。
日本では、JPCERTといわれる組織で脆弱性情報の発信を行っています。
脆弱性とは
脆弱性(ぜいじゃくせい)とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。脆弱性は、セキュリティホールとも呼ばれます。脆弱性が残された状態でコンピュータを利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があります。
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/11.html
今回のケースでは、「システムを制御する可能性」とのことで一番深刻なセキュリティホールとなります。
システム制御権限とは、内部DBデータの情報漏えいや、Blogページの改ざん、不正なJSスクリプトを埋め込まれて、悪意のあるサイトに誘導される危険性があります。
アップデート以外の対策
セキュリティプラグインを入れることで、攻撃されても脆弱性を利用されるリスクを下げることは可能です。
しかし、セキュリティプラグインも万能ではないので、アップデートを強く推奨します。
まとめ
トピック記事となりましたが、情報整理のためにまとめさせていただきました。
WordPressを5.7.2にしてないサイトは、ぜひアップデートを実施してください。
WordPressの管理画面から更新情報を確認できます。
コメント