WordPress を使用しているサイトは今すぐ 4.8.2 にアップデートを

2017.10.12

Web サイトのオーナーが直ちに適用すべき 9 つのセキュリティアップデートを含んだ WordPress 4.8.2 がリリースされました。



今年はこれまでに、1 月のゼロデイ脆弱性を修正するサイレントパッチなど、セキュリティアップデートを含む 6 件のアップデートがリリースされています。今回は 5 月の v4.7.5 以来初めてのアップデートです。

今回のアップデートにはメンテナンスのためのソフトウェアアップデートも 6 件含まれていますが、セキュリティ面では 5 件のクロスサイトスクリプティング (XSS) の脆弱性、2 件のパス/ディレクトリトラバースの問題、および 1 件のオープンリダイレクトの脆弱性が修正されています。

また、予防措置として $wpdb->prepare() メソッドが強化されています。



この問題は、WordPress ソフトウェアのコアの部分に存在する脆弱性ではなく、数多くのプラグインやテーマのコードにあります。

WordPress のコアはこの問題の影響を直接的には受けませんが、プラグインやテーマが脆弱性の原因になるのを防止するため、強化しました。

WordPress では、かなり高度なセキュリティオペレーションが行われています。しかし、サードパーティ製のプラグインやテーマは、WordPress にとって優れた機能であると同時に、弱点でもあります。



最近では、20 万サイトで使用されている Display Widgets プラグインと、その後リリースされた 3 件のアップデートにスパムの侵入を許してしまうバックドアが含まれていたことが発見されたため、現在ではプラグインディレクトリから削除されています。

SQL インジェクション攻撃に対する最善の防御は、SQL クエリが正しくエスケープされるようにすることであるため、$wpdb->prepare() を強化することは重要です。SQL クエリの文字をエスケープすることで、データベースエンジンはユーザーが入力したデータをコードとして処理しなくなるので、ハッカーはクエリを改ざんできなくなります。

エスケープを行う最善の方法(リンク先:英語)prepare を使用することであると WordPress は次のように述べています。



“SQL インジェクション攻撃を阻止するには、SQL クエリが実行される前に SQL クエリ内のすべてのデータをエスケープ処理する必要があります。prepare メソッドは WordPress に代わってこの機能を実行します。”



prepare は SQL インジェクションを阻止するとされているため、今後開発者はこのメソッドを使用することになります。アップデートされたバージョンの WordPress は、脆弱性のあるサードパーティ製コードの影響を受けないはずですが、それ以前のバージョンは危険である可能性があります。プラグインとテーマを作成している方は、古いバージョンのコアで自分のコードをテストする必要があります。



これらのセキュリティアップデートは、v4.8.1 以前のすべてのバージョンが影響を受けます。

今回のアップデートは、一連の WordPress のパッチの中でも比較的ひっそりと行われています。何よりも重要なのは、ユーザーがどれだけ迅速にパッチを適用するか、という点です。

今年初めに REST-API で権限昇格の脆弱性が発見され、この脆弱性も前述のようにひっそりと修正されました。しかし、WordPress が 2013 年 10 月以降自動セキュリティアップデートを導入していたにもかかわらず、その後も攻撃者はこの脆弱性を悪用して、パッチが未適用のサイトを改ざんすることが可能でした。

WordPress は次のように警告しています。



“現在正式にサポートされている唯一のバージョンは WordPress 4.8 です。3.7 以降のこれまでのメジャーリリースは、深刻なエクスプロイトが発見された際にセキュリティアップデートが提供されない場合があります。”



どうやら、WordPress は 3.7.* ブランチ以降のすべてのバージョンにセキュリティ修正プログラムをバックポートしているようです。保護されているバージョンは、4.8.2、4.7.6、4.6.7、4.5.10、4.4.11、4.3.12、4.2.16、4.1.19、4.0.19、3.9.20、3.8.22、3.7.22 です。



WordPress の統計(リンク先:英語)によると、正式にサポートされているバージョンを使用しているサイトは約 40% にすぎません。さらに、2013 年に独立機関が実施した調査によると、WordPress のサイトの 73% が既知の脆弱性が存在する古いソフトウェアを使用していました。

攻撃者は最小限の労力で最大数の Web サイトに影響を与える方法を常に探しています。WordPress のインストールベースは全 Web サイトの約 28% と非常に大きいため、この状況は深刻です。



そのため、WordPress のアップデートのリリースノートは次のようなアドバイスで始まっています。

すぐにサイトを更新することを強くお勧めします。

WordPress のアドバイスに従って、今すぐアップデートしてください。

引用元

おすすめの記事はこちら