WordPress の脆弱性対策について：IPA 独立行政法人 情報処理推進機構

WordPress.org が提供する WordPress は、オープンソースのCMS（コンテンツマネジメントシステム）です。 WordPress には、REST API の処理に起因する脆弱性が存在します。 本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上でコンテンツを改ざんされる可能性があります。 本脆弱性を悪用する攻撃コードが確認されていますので、対策済みのバージョンへのアップデートを大至急実施してください。 開発者は本脆弱性を 1 月 26 日に更新された「4.7.2」で修正しましたが、利用者の安全を確保するため、脆弱性の内容については 2 月 1 日まで公開を遅らせていたとのことです。今回のケースを教訓に、今後も最新版が公開された場合は早急にアップデートを実施してください。 2/7 更新 Sucuri 社によると、本脆弱性を悪用して多数のウェブサイトが改ざんされたとの情報

[ockeghem]

IPAから注意喚起きました。拙ブログも参考情報にて紹介いただきありがとうこざいます

[torounit]

というか自動アップデート無効にしたらだめだぞ

[yoko_yoji]

顧客要望でガリガリにカスタムしたらもうアップデートなんて怖くてできないし、もうワードプレスとかやめようぜ（暴論）

[Fushihara]

やっぱり自サイトでワードプレスの提供なんてするもんじゃないんだろうな。しかしガリガリにカスタムしたテンプレートを捨てるのはつらい

[ymm1x]

“REST API の処理に起因する脆弱性”

[raysato]

IPAの注意喚起がここまで強い表現で追記更新されたのはいつ以来だろう。

[mskn]

「WordPress 4.7.2 Security Release」にアップデートしてください。

[monaken]

「影響を受けるバージョン WordPress 4.7.0 から WordPress 4.7.1」最近改竄された「ふくしま新発売。」のサイト、ソース見たら4.7だったね…。

[Pinon3s]

「デザイン崩れるからアップデートしないで」という制作会社があるとか

[nisisinjuku]

US版があたってた。

[sayamatcher]

“最新版が公開された場合は早急にアップデートを実施してください”

[hachi09]

うちは社内のシステム担当からWP禁止されました…|дﾟ)

[miyatakesan]

IPA早いな。イメージ図の骸骨リクエストが怖い。攻撃者は黒の組織か。

[saharamakoto]

“影響を受けるバージョン WordPress 4.7.0 から WordPress 4.7.1”

[iuhya]

WordPressアップデートしてない人は急ごう。

[kamomewa_kamome]

ガチ忠告来たなぁ。やっぱ4.7.0と4.7.1が対象だったんだな。

[lifefucker]

こっそり広告タグ書き換えられても気付けんわな

[tsukamotch]

管理下にあるWordPressのバージョンは常に最新に保つようにしてるけど依頼があって覗ける状況になった際の多くは言わずもがなで

[Jang]

Wordpressアップデートしてない人、要注意。うちのサーバー会社からも被害多発の注意喚起が。

[and_hyphen]

自動アップデート有効にしてて通知も来るのにいざ見てみるとアップデートされてなくてなんでだよって思う

[hapilaki]

ワードプレスの脆弱性を永遠に狙われない究極の対策を以前にしたぜ http://hapilaki.hateblo.jp/entry/unattended-wordpress-triggerd-suspension

[netcraft3]

サーバーのポンチ絵はいつ頃のフリー素材なんだろう…。

[rikochanhayatokun]

REST API のプラグインを入れていないと大丈夫？

[abababababababa]

IPAからもきた。

[tailtame]

『本脆弱性を 1 月 26 日に更新された「4.7.2」で修正しましたが、利用者の安全を確保するため、脆弱性の内容については 2 月 1 日まで公開を遅らせていた』くりぃてぃかる

[aoven]

WPユーザー要注意