最近4.7.0へメジャーアップデートがあったWordPress。このバージョン4.7.0もしくは4.7.1を使用しているサイトでRest APIの脆弱性をついたサイバー攻撃があるようです。
先日あった「東京オリンピック・東京パラリンピック担当大臣」である丸川珠代議員のホームページに対するサイバー攻撃。厳密には不正アクセスなどではなくソースコードの改ざんだったようです。
丸川議員のサイトのソースをちょっと覗いてみたら、このサイトはWordPressで作られているようですね。
ソース中に「wp-content/themes/biz-vektor-child」という記述があるので、WordPress使ってて、biz-vektorという結構メジャーなテーマ使っていると一目瞭然。
余談ですが、プロが作ったサイトだと思われ、biz-vektorというたくさんの人が使っているテーマを使用しているので、このテーマでこんなサイトができるんだなぁという参考になると思います(色以外はあんまりカスタマイズしてない印象のような気がしますが)。
そして、ニュースにあったようなサイバー攻撃(サイトの改ざん)がありました
有名人のサイトだからこういうこともあるんだね~~程度にニュースを見てましたが、WordPressで作ったサイトに対する攻撃ということで一気に他人事ではなくなりました。
そんなとき、レンタルサーバーとGoogle Webmasterからほぼ同時にメールが届きました
ネットオウルからのメール
このサイトは無料でWordPressのサイトが作れるネットオウルのWpblogを使わせていただいております。その関係でメールが届きました。
内容は(一部抜粋)・・・
————— ☆★ ネットオウルからお知らせ ★☆ ——————-
【重要】WordPress「4.7」「4.7.1」における
緊急性の高い脆弱性およびセキュリティ対策の実施について
———————————————— 2017年 2月 7日 ——
平素はネットオウルをご利用くださいまして誠にありがとうございます。
この度ネットオウルをご契約中のお客様に、最新情報をお届けいたします。
★─────────────────────────────────★
【重要】WordPress「4.7」「4.7.1」における
緊急性の高い脆弱性およびセキュリティ対策の実施について
★─────────────────────────────────★
平素はネットオウルをご利用いただき、ありがとうございます。
当サービスでも多くのお客様にご利用いただいております「WordPress」
において、WordPressのバージョン「4.7」「4.7.1」に含まれるREST API(※)に
緊急性の高いセキュリティ上の問題(脆弱性)が公表されております。
※「REST API」は主に他サービス等と連携するための開発者向けの機能であり、
一般的なWebコンテンツの表示には使用されません
当サービスにおいても、お客様にて運用中のWordPressサイトに対して、
この脆弱性を突いた日本国外のIPアドレスを経由した不正なアクセスを
複数確認しております。
弊社ではこれを受け、お客様のWordPressにおいて、
第三者によるコンテンツの改ざんを防ぐための措置として
REST APIに対する国外IPアドレスからのアクセスを制限いたしました。
なお、WordPressを利用されているお客様におかれましては、
ご利用のバージョンを確認していただき、
当該バージョンを使用されている場合は必ず最新バージョン(4.7.2)に
アップデートを実施してくださいますようお願いいたします。
詳細につきましては下記をご参照ください。
Googleからのメール
時を同じくしてGoogle Webmastertool(Search console)に登録している兼ね合いからメールが来ました
内容は(一部抜粋)・・・
「https://www.momosiri.info/」 の WordPress を更新されることをおすすめします
「https://www.momosiri.info/」 のウェブマスター様
貴サイトが WordPress の古いバージョンである WordPress 4.7.0 or 4.7.1 を実行していることが判明しました。古いバージョンやパッチを適用していないソフトウェアは、ハッキングやマルウェアの攻撃を受けやすくなり、貴サイトの訪問者に被害が及ぶことがあります。そのため、サイト上のソフトウェアをできるだけ早く更新することをおすすめします。
下記は、古いバージョンのソフトウェアが使用されているページの URL の一例です。このリストはすべてを網羅したものではありません。
ちょっとどきっとしますね。ネットオウルではREST APIに対する国外IPアドレスからのアクセスを制限してくれているようなのでひとまず安心ですが、即座に4.7.2へアップデートしました。
WordPressは汎用性の高いCMSなのでこういう問題は避けられないと思いますので、悪はWordPressのプログラムが弱いのではなく、プログラムの隙をついてサイトの内容を改ざんするなどの行為を行う輩が悪だと思います。
逆にWordPressは無償・無料で提供してくれていて本当に便利なツールでありながら、こうした問題に対して即座に対応してアップデートをしてくれますから本当に助かります。
旧バージョンのWordPressを使用している方はぜひ最新版への更新をしましょうね。
WordPress公式サイトのインストール/アップデート情報はVersion 4.7.2をご覧ください