【重要！】WordPress 4.7.1に深刻な脆弱性 コンテンツが改ざんされるとこうなる｜Blog｜株式会社トライム

WordPress 4.7と4.7.1に深刻な脆弱性

WordPress 4.7と4.7.1に深刻な脆弱性があることがわかりました。
これは認証なしにコンテンツを書き換えられるというもので、大量のサイトがこの被害にあいました。

WordPressでは通常アップデート時には、修正内容を公開していましたが、
今回はバグの内容の深刻性から、修正したWordPress 4.7.2 提供後も自動更新が行き渡るまで、
情報の公開を1週間先送りしたようです。

しかし今回、アップデートされずにそのままWordPress 4.7、4.7.1を使用し続けたサイトが被害にあいました。

改ざんされるとどうなるか

実際に改ざんされた例

下記が実際に改ざんされた様子です（内容に配慮してモザイク処理してます）

「Hacked by～」のような書き込みがされ、某地域の国旗がはためいています。
内容は某テロ組織を中傷するような内容でした。何だか無関係に敵を作りそうでイヤですよね。

改ざんされた記事のリビジョンを見ると

ユーザーではない人物から記事が編集されているのがわかります。

解決方法

改ざん対策

WordPressを最新の4.7.2にアップデートすればこの問題は解決します。
またできるだけ自動更新は有効にしておいた方が良さそうです。

何らかの事情により最新版へアップデートすることができない場合、
REST APIを無効化するプラグインを使用することで、改ざんを防ぐこともできるようです。

すでに改ざんされてしまった場合

すでに改ざんされてしまった場合、リビジョンから記事を戻すことで対応可能です。

WordPressのコアファイルやデータベースが乗っ取られたわけではないので、
記事を元に戻し、WordPressを最新の4.7.2にアップデートしておきましょう（※）

※上記情報につきましては現状の情報を元に書いておりますが、保証の限りではありません。

まとめ

全世界のサイトの4分の1がWordPressで作られているそうですから
驚くべきシェア率ですが、シェアが高いということは狙う人も多いということですね。

今後も自衛のため、WordPressの自動更新は有効にしておきましょう。