WordPress 4.7.3 セキュリティ・メンテナンスリリース
以下は、James Nylen が書いた WordPress.org 公式ブログの記事、「WordPress 4.7.3 Security and Maintenance Release」を訳したものです。 誤字脱字誤訳などありましたらフォーラムまでお知らせください。 WordPress 4.7.3 が公開されました。これは過去の全バージョンのためのセキュリティリリースであり、即時のサイト更新を強く勧告するものです。 WordPress 4.7.2 およびその他過去のバージョンに、次の6件のセキュリティ上の問題が存在します: メディアファイルのメタデータを介したクロスサイトスクリプティング (XSS) 脆弱性。Chris Andrè Dale、Yorick Koster、Simon P. Briggs による報告。 制御文字を利用したリダイレクト URL 検証回避の可能性。Daniel C
WordPress の脆弱性対策について:IPA 独立行政法人 情報処理推進機構
WordPress.org が提供する WordPress は、オープンソースのCMS(コンテンツマネジメントシステム)です。 WordPress には、REST API の処理に起因する脆弱性が存在します。 本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上でコンテンツを改ざんされる可能性があります。 本脆弱性を悪用する攻撃コードが確認されていますので、対策済みのバージョンへのアップデートを大至急実施してください。 開発者は本脆弱性を 1 月 26 日に更新された「4.7.2」で修正しましたが、利用者の安全を確保するため、脆弱性の内容については 2 月 1 日まで公開を遅らせていたとのことです。今回のケースを教訓に、今後も最新版が公開された場合は早急にアップデートを実施してください。 2/7 更新 Sucuri 社によると、本脆弱性を悪用して多数のウェブサイトが改ざんされたとの情報
WordPress 4.7.1 の権限昇格脆弱性について検証した
エグゼクティブサマリ WordPress 4.7と4.7.1のREST APIに、認証を回避してコンテンツを書き換えられる脆弱性が存在する。攻撃は極めて容易で、その影響は任意コンテンツの書き換えであるため、重大な結果を及ぼす。対策はWordPressの最新版にバージョンアップすることである。 本稿では、脆弱性混入の原因について報告する。 はじめに WordPress本体に久しぶりに重大な脆弱性が見つかったと発表されました。 こんな風に書くと、WordPressの脆弱性なんてしょっちゅう見つかっているという意見もありそうですが、能動的かつ認証なしに、侵入できる脆弱性はここ数年出ていないように思います。そういうクラスのものが久しぶりに見つかったということですね。 WordPress、更新版で深刻な脆弱性を修正 安全確保のため情報公開を先送り Make WordPress Core Conten
wp-login.php へのアタックが多くなってきているので……
ユーザー名をadmin以外にしてもセキュリティ上の意味は無いとどこか(どこかは失念)で読んだのですがそうなんでしょうか? WordPressのログインに対するブルートフォースアタックには有効だと思うのですが。。 WordPressのセキュリティ関連のドキュメントを訳していてちょっと疑問に思ったので教えてくださーい! ユーザー名候補リスト(辞書)をベースにパスワードのみをリトライして攻撃してくる場合においても、パスワードをWordPress判断で”強”になる登録をしていると、パスワード通過までに数年?かかるはずです。 ユーザー名を辞書以外にすると更に時間がかかり天文学的日数を要しますが、パスワードに対する危機感をお持ちであれば、adminでも問題ないという認識になります。 これ以上の心配をする場合、FTPやSSHで固定IP許可や秘密鍵の管理を行なっているか、rootでログインできなくしている
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
