WordPress4.7.0以降で「REST API」を無効にする方法が変わっていたので試しました|今村だけがよくわかるブログ
WordPressの「REST APIを無効にする」ために、以下のように「rest_enabled」を使っている方もいらっしゃると思います。 add_filter( 'rest_enabled', '__return_false' );ところで、WordPress4.7.0からは「rest_enabled」を使うことは非推奨とされたようで、以下のようなNoticeエラーが表示されるようになっていました。 Notice: rest_enabled の使用はバージョン 4.7.0 から<strong>非推奨</strong>になっています! 代わりに rest_authentication_errors を使ってください。 The REST API can no longer be completely disabled, the rest_authentication_errors can
WordPress4.7 の WP REST API を無効にする – ねんでぶろぐ
WordPress4.7 から「WP REST API」が使えるようになりました。 「WP REST API」は デフォルトで有効になっていて 特定のURLで投稿記事やユーザー情報等、認証無しでもさまざまなデータを外部から取得する事ができます。 これはすばらしい機能なのですが 通常のサイト運用では使っていない機能です。しかし「WP REST API」は有効になっていますので誰でもデータ取得できてしまうのはちょっとまずいなと思いますよね。 そこで「WP REST API」無効にする方法を紹介いたします。 Disable REST API プラグイン WordPress4.7未満 と WordPress4.7以降では「WP REST API」の無効にする方法が変わりました。 Disable REST API — WordPress Plugins https://ja.wordpress.or
WordPress におけるコンテンツインジェクションの脆弱性に関する調査レポート | SBテクノロジー (SBT)
概要 CMS (*1)ソフトウェアとして広く使われている WordPress に、コンテンツインジェクション可能な脆弱性の攻撃コードが発見されました。 この脆弱性は WordPress の投稿の取得や新規追加、更新を行うことができる REST API にて、リクエスト受信時におけるアクセス権確認処理の不具合があるために生じる脆弱性です。なお、REST API は、WordPress4.7.0または4.7.1を使用するウェブサイトではデフォルトで有効になっています。 この脆弱性を利用した攻撃が成立した場合、ウェブサイトの投稿内容やページの内容を変更または削除される危険性があります。 本レポート作成(2017年2月3日)時点において、開発元より脆弱性を修正したバージョンがリリースされております(2017年1月26日付)。しかしながら、攻撃を成立させるためのコードが容易に入手可能であり、かつ脆弱
2月初めの複数の国内サイトの改ざんについてまとめてみた - piyolog
2月4日から複数のサイトが改ざんされる被害が発生しています。被害を受けたサイトの多くはWordPressで構築されているとみられ、Sucuriが2月1日に公開した脆弱性情報との関連が疑われます。ここでは改ざんの状況、脆弱性情報についてまとめます。 改ざん被害はWordPressに集中 2月4日11時頃よりZone-Hへ投稿される改ざん被害を受けたサイトの件数が増えているようです。 確認した改ざん事例では次のような「Hacked by〜」のような書き込みが行われていました。 事例(1) hacked by NG689Skw 事例(2) Hacked By SA3D HaCk3D / HaCkeD By MuhmadEmad 事例(3) hacked by magelang6etar 事例(4) Hacked by RxR HaCkEr 事例(5) Hacked By GeNErAL 事例(6
不正アクセスで福島県のHP「改ざん」被害 ブログを書き換え:福島民友ニュース:福島民友新聞社 みんゆうNet
県は5日、県産品の放射性物質検査の結果などが検索できるホームページ(HP)「ふくしま新発売。」の一部が、何者かに改ざんされる被害に遭ったと発表した。不正アクセスとみられ、HPの公開を停止した。 県によると、5日午後1時ごろ、総務省からの連絡で改ざんが発覚。県が開発したリンゴの新品種「べにこはく」を紹介するブログ記事の表題が、「hacked by NG689Skw」とハッキングした旨の記述に書き換えられていた。 さらに、本来掲載されているはずの記事が空白になっていたため、約1時間半後に公開を停止した。 HPで個人情報は扱っておらず、県は個人情報の流出はないとみている。ブログ記事の書き換え以外に被害は確認されていない。 2011(平成23)年8月に開設されたHP「ふくしま新発売。」は、県が委託した東京都の業者が管理しており、不正アクセスを受けたのは初めて。県の公式HPとは別のサーバーで運営され
WordPress 4.7, 4.7.1 はAPIに致命的なバグがあって認証無しで誰でも記事を改ざんできちゃうっぽい! - かもメモ
WordPress 4.7, 4.7.1 のサイトは直ぐに4.7.2にアップデートするのです! Twitterで大学や国会議員や公的機関のサイトが大量に改ざんされてるという情報を朝から目にした日でした。 どうやら改ざんされていたのはWordPressのサイトの様で、事の顛末は、 WordPressはアップデートの際には何を修正したかを公開していたのですが、今回はWordPress 4.7.2で修正をしたバグが致命的なものだったために直ぐにセキュリティに関わるアップデートの内容を公開せずに1週間後に情報を公開したようです。( WordPress 4.7.2のリリースが1月26日、バグの情報が公開されたのが2月1日 ) そして、それ以降もWordPressをアップデートせずに、4.7、4.7.1のバージョンのままだったサイトが軒並みこのバグを利用されて記事を改ざんされていったと言うのが今回の件
WordPress の脆弱性対策について:IPA 独立行政法人 情報処理推進機構
WordPress.org が提供する WordPress は、オープンソースのCMS(コンテンツマネジメントシステム)です。 WordPress には、REST API の処理に起因する脆弱性が存在します。 本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上でコンテンツを改ざんされる可能性があります。 本脆弱性を悪用する攻撃コードが確認されていますので、対策済みのバージョンへのアップデートを大至急実施してください。 開発者は本脆弱性を 1 月 26 日に更新された「4.7.2」で修正しましたが、利用者の安全を確保するため、脆弱性の内容については 2 月 1 日まで公開を遅らせていたとのことです。今回のケースを教訓に、今後も最新版が公開された場合は早急にアップデートを実施してください。 2/7 更新 Sucuri 社によると、本脆弱性を悪用して多数のウェブサイトが改ざんされたとの情報
WordPress 4.7.1 の権限昇格脆弱性について検証した
エグゼクティブサマリ WordPress 4.7と4.7.1のREST APIに、認証を回避してコンテンツを書き換えられる脆弱性が存在する。攻撃は極めて容易で、その影響は任意コンテンツの書き換えであるため、重大な結果を及ぼす。対策はWordPressの最新版にバージョンアップすることである。 本稿では、脆弱性混入の原因について報告する。 はじめに WordPress本体に久しぶりに重大な脆弱性が見つかったと発表されました。 こんな風に書くと、WordPressの脆弱性なんてしょっちゅう見つかっているという意見もありそうですが、能動的かつ認証なしに、侵入できる脆弱性はここ数年出ていないように思います。そういうクラスのものが久しぶりに見つかったということですね。 WordPress、更新版で深刻な脆弱性を修正 安全確保のため情報公開を先送り Make WordPress Core Conten
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
