WordPress のセキュリティホール
少し前ですが、コリスさんのブログでWordPress にセキュリティーホールが発見された記事がありました。
WordPress 2.8.4未満を使用している場合は要アップデート
▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼
WordPress 2.8.4未満を使用している場合は、セキュリティの面から最新版(現:2.8.4)に要アップデートとのことです。
既に攻撃されたかどうか確認するには、現時点で二通りあります。
- パーマリンクやRSSに見慣れない文字列がある。
例:http://example.com/category/%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
特徴:eval, base64_decode が含まれている - 管理画面のユーザーに見慣れないユーザーの登録がある。
もし、上記の状態になっていた場合、データベースにも不正アクセスされた可能性があり、アップデートしても修復は不可能とのことです。
対処方法は、攻撃される前に最新版にアップグレードしてください、とのことです。
▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲
WordPressはアップデートがあると、その旨管理画面に表示され、“自動アップデート”を実行すれば簡単にアップデートしてくれます。
が・・・
自動アップデートにはいろいろと注意が必要です。
2.8にヴァージョンアップした際にはサーバー内のデータが一部消える事があると言うバグがあったりしましたが、それに関しては既に修正がなされているようです。
ただ、wp-adminフォルダに入っているファイル等は自動で最新版に上書きされたり、テンプレートも “default” フォルダは上書きされるので、管理画面をカスタマイスしたり、defaultテンプレートをカスタマイズしている方は特に注意が必要です。
そうでない方でもアップデートの際には念のため必ずバックアップをとる事をお勧めします。
