早急にWordPressを4.7.2に更新すべき理由

TheDigitalWay / Pixabay

先に結論。

早急にWordPressを4.7.2以降に更新しましょう。
簡単にブログの内容が書き換えられてしまう問題があります。
スポンサーリンク
スポンサーリンク

WordPress 4.7.0と4.7.1の重大な脆弱性が見つかる

満を持してVer.4.7が発表されたWordPressだが、追加された新機能「REST API」に脆弱性が見つかった。

「REST API」は記事投稿等の管理機能を管理画面以外から使えるようにするための窓口で、例えば

  • WindowsやmacOSの操作性の高いアプリ上で記事を編集・投稿する
  • 株価情報システムからWordPressにニュース記事として加工して投稿する
  • WordPressからWordPressに記事をバックアップする

といった「外部とWordPressのやりとり」の連携が簡単になる、将来性が大変高い機能である。

が、初物の定め。
Ver.4.7.0と4.7.1には簡単なフォームを作るだけで認証抜きで他人のブログに勝手投稿できてしまうようなバグが見つかってしまった。

IPAによる注意喚起:

情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施

実例と説明:

エグゼクティブサマリ WordPress 4.7と4.7.1のREST APIに、認証を回避してコンテンツを書き換えられる脆弱性が存在する。攻撃は極めて容易で、その影響は任意コンテンツの書き換えであるため、重大な結果を及ぼす。対策はWordPressの最新版にバージョンアップす...

この脆弱性はVer.4.7.2で解消された。

対応:WordPressのアップデートまたはREST API停止

何はなくともWordPressをVer.4.7.2以降にアップデートすることが先決だが、何らかの事情によりアップデートすることができない場合はREST APIを停止するという手もある。

REST APIは現時点ではあまり普及していないので、アップデート後にプラグインなどに不具合が起きないならOFFにしてしまって問題ない。

将来、どうしても使いたいアプリやプラグインの説明書に指示されたときに初めてONにする位で良い。

エックスサーバー:何もしなくて良い

今日(2/28)、当サイトが動いているエックスサーバーからメールが来た。

この度エックスサーバーでは、WordPressの「REST API」に対する国外IPアドレスからのアクセス可否を変更できる「REST APIアクセス制限」機能を追加いたしました。

当サービスでは2017年2月7日、WordPressのセキュリティ対策として、WordPressの「REST API」(※)に対する国外IPアドレスからのアクセスを制限いたしました。

「REST APIアクセス制限」機能のご利用により、当制限を解除することが可能です。

通常は制限を「有効(ON)」のまま運用することを強く推奨いたしますが、Webサイトコンテンツの表示などに影響が生じる場合に限り、制限の解除をご検討ください。

内容をかみ砕くと

2/7からWordPressの「REST API」機能をハッカーの多い海外に限り強制的に止めてました。
今日(2/28)から任意で開始できるようにするけど、普通はしなくて良いよ。

ということだ。
基本的に書いてあるとおり何もしなくて良い。

ただし、国内からのアクセスもOFFにする場合はSimplicity2テーマやDisable REST APIプラグインで対策する必要がある。

レンタルサーバー「エックスサーバー」のご利用マニュアル|ご利用のWordPressにおいて、各種ツールに対する国外IPアドレスからのアクセスの制限や、パスワード総当たり攻撃の防止など、セキュリティを強化する「WordPressセキュリティ設定」のご案内です。

Simplicity2テーマならOFFにできる

Simplicity2テーマを使っている場合は

管理画面→外観→カスタマイズ→その他→REST APIを有効

のチェックボックスをOFFにすることで対策できる。

Disable REST APIプラグインでOFFできる

Simplicity2テーマを使っていなくても、Disable REST APIプラグインをインストールすればREST API機能をOFFできる。

Disable the use of the JSON REST API on your website to unauthenticated users.

まとめ

Ver.4.7.0と4.7.1は簡単に人のブログをハッキングできてしまう。

  1. まだ古いWordPressを使っている方は早急にVer.4.7.2移行に更新するべき。
  2. 事情につき更新できない場合
    1. エックスサーバーならとりあえずそのままで良い
    2. Simplicity2テーマの場合はカスタマイズ画面内でREST APIをOFFにする
    3. いずれでも無い場合はプラグインでREST APIをOFFにする

なお、こういったセキュリティ対策などに不安がある場合、プロに頼むという手もある。
GMOの「SiteLock(サイトロック)」サービスは1サイト当たり350円から診断をやってくれる。

こういったセキュリティの世界は日進月歩である。
勉強しても勉強してもキリが無い。

基本的に商売をするサイトは停止しては困る。
サイトの中身は自分自身で無ければコントロールできないのでWordPressの勉強もある程度はアリだと思うが、専門外の分野はこういった所に任せて商売に集中するのもアリではないだろうか。