WordPress 4.7 と4.7.1に深刻な脆弱性があったのは皆さんすでにご承知と思いますが、それを使ってサイトが書き換えられる問題がありました。
この脆弱性は特権昇格を可能とするもので、Rest API経由でコンテンツの操作が可能になるものとされており、Automatticは2017年1月26日(米国時間)、複数の脆弱性を修正した「WordPress 4.7.2」を公開した。
何を書き換えられたのか、データベースを調べて、テーマファイルを調べて、とにかく、大変だった。
その中で、いいセキュリティツールがありましたのでご紹介いたします。
https://tah.wordpress.org/plugins/quttera-web-malware-scanner/
今回は、Qutteraのプライグインに救われました。Scanをして、疑わしいファイルを見つけてくれるので、ファイルを除去したり、プラグインごと削除して再度入れ直しをしました。
.htaccessが乗っ取られ違うサイトにリダイレクトされたり、サイト内に書き込みがあったり、とにかく大変です。タイムリーにupdateすることが大切です。私も自動でupdateする設定に変更しました。
セキュリティ企業の米 Feedjit によると、2017 年 2 月 9 日時点で、すでに改ざんされたページの総数は 150 万を超えている模様で、WordPress の改ざん被害としては過去最大の規模となっています。お陰でセキュリティについて考えさせられました。
皆さんもご安全に!!
