HOME情報セキュリティWordPress の脆弱性対策について

本文を印刷する

情報セキュリティ

WordPress の脆弱性対策について

最終更新日:2017年2月20日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

WordPress.org が提供する WordPress は、オープンソースのCMS(コンテンツマネジメントシステム)です。
WordPress には、REST API の処理に起因する脆弱性が存在します。

本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上でコンテンツを改ざんされる可能性があります。

本脆弱性を悪用する攻撃コードが確認されていますので、対策済みのバージョンへのアップデートを大至急実施してください

開発者は本脆弱性を 1 月 26 日に更新された「4.7.2」で修正しましたが、利用者の安全を確保するため、脆弱性の内容については 2 月 1 日まで公開を遅らせていたとのことです。今回のケースを教訓に、今後も最新版が公開された場合は早急にアップデートを実施してください。

2/7 更新
Sucuri 社によると、本脆弱性を悪用して多数のウェブサイトが改ざんされたとの情報がありますので、対策済みのバージョンへのアップデートを大至急実施してください。

脆弱性を悪用した攻撃のイメージ
図:脆弱性を悪用した攻撃のイメージ

影響を受けるバージョン

  • WordPress 4.7.0 から WordPress 4.7.1

対策

脆弱性の解消 - アップデートする

開発者が脆弱性を修正した最新版を公開していますのでアップデートを実施してください。

WordPress 4.7.2 Security Release
https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/

また、対策の際には下記レポートもご利用いただければ幸いです。

IPAテクニカルウォッチ「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」
https://www.ipa.go.jp/security/technicalwatch/20160928-1.html

2/20 更新

WordPress 4.7.0 から WordPress 4.7.1 以外のバージョンについては本脆弱性の対象ではありませんが、古いバージョンをご利用の場合、サポートが終了している可能性があります。
今回の問題とは別の問題が修正されずに放置されている可能性がありますので、最新版へのアップデートをご検討ください。

WordPress のバージョン一覧およびバージョンサポートに関する開発者の意向については下記 URL をご参照ください。

WordPress バージョン一覧
https://wpdocs.osdn.jp/WordPress_バージョン一覧
No clearly defined EOL
https://wordpress.org/support/topic/no-clearly-defined-eol/

参考情報

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター

E-mail:

更新履歴

2017年2月20日 対策:更新
2017年2月7日 概要、参考情報:更新
2017年2月7日 本件に関するお問い合わせ先を追記
2017年2月6日 参考情報:更新
2017年2月6日 掲載