株式会社 イー・ネットワークス 前川昌幸
WordPress の脆弱性対策について:IPA 独立行政法人 情報処理推進機構
- 攻撃は極めて容易で、その影響は任意コンテンツの書き換えであるため、重大な結果を及ぼす。
- WordPressの脆弱性なんてしょっちゅう見つかっているという意見もありそうですが、能動的かつ認証なしに、侵入できる脆弱性はここ数年出ていないように思います。
WordPress 4.7.1 の権限昇格脆弱性について検証した | 徳丸浩の日記
結論から言うと可能でした。
WordPressのバージョンアップ後、1週間以内にアップデートを行っておけば防ぐことが可能でした。
経緯
- [情報非公開] 今回の脆弱性が発覚
- [情報非公開] 対応版(4.7.2)をリリース
- [情報非公開]1週間は脆弱性に関して非公開
- [情報公開] 脆弱性情報を公開
- [情報公開] 改ざん被害の発生
今回のケースを教訓に、今後も最新版が公開された場合は早急にアップデートを実施してください。
WordPress の脆弱性対策について:IPA 独立行政法人 情報処理推進機構
※ この件の脆弱性は4.7.0/4.7.1のみ
WordPress のアップグレード - WordPress Codex 日本語版
- 自動バックグラウンド更新
- ワンクリック更新
- 手動更新
これらのどれかの方法でアップデートを
Download › Release Archives — WordPress
現在(2017年4月現在)は4.7系が最新
メジャーバージョンアップ 例)4.7.3 → 4.8 約3〜4ヶ月
マイナーバージョンアップ 例)4.7.3 → 4.7.4 随時
一般的にマイナーバージョンアップでは問題が発生する確率は小さい。相当小さい。
公式にセキュリティフィックスなどが約束されているのはどのバージョン以降でしょうか?
※答えは次に
最新版のみ
“開発やセキュリティフィクスなどのメンテナンスが行なわれるのは 4.7.x のみです。”
WordPress バージョン一覧 - WordPress Codex 日本語版
“The only current officially supported version is WordPress 4.7.3. Previous major releases from 3.7 onwards may or may not get security updates as serious exploits are discovered.”
Supported Versions « WordPress Codex
3.7以降のバージョンは、セキュリティ/バグフィックスが行われています。
- 基本的に最新版の中で見つかった問題について、同じコードの個所を修正?
- 過去のバージョンのみで見つかる問題には?
- 過去のバージョンに関しては最新版までのアップデートへの時間稼ぎと考えるべき
- 特にメジャーバージョンアップはプラグインなどの検証は必要
- 利用中のバージョンと最新バージョンの差が大きいほどリスクとコストは増大
- 2017年2月のような問題はそうそう出てこないとは思います(個人の推測)
- とはいえ放置はだめよ