• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer

株式会社ハイファイブクリエイト

東京都を拠点にWebサイト制作やシステム構築、WordPress保守管理やウェブコンサルティングを提供。

  • SERVICE
  • ABOUT
  • WORKS
  • BLOG
  • NEWS
  • CONTACT
ホーム / ブログ / WordPress / 今すぐアップデート。セキュリティ対策されたWordPress 4.9.7リリース

今すぐアップデート。セキュリティ対策されたWordPress 4.9.7リリース

池田祐太郎 | 2018年7月7日 公開

WordPress 4.9.7がリリースされました。メンテナンスリリースとなっており、脆弱性対応のため即時アップデートを強く推奨されています。

【セキュリティ ニュース】セキュリティ更新「WordPress 4.9.7」がリリース – 即時アップデートを強く推奨(1ページ目 / 全1ページ):Security NEXT

WordPress 4.9.7 Security and Maintenance Release

今回の内容は以前から報告があった脆弱性に対応したアップデートがメインのようです。その脆弱性というのは、画像をアップロード・編集等できる権限をもっていればサイトを破壊できる、という恐ろしいものでした。

実は4.9.7リリース数日前にGIGAZINEで情報が公開され、これはマズイんじゃないかと思っていました。

必要な権限を手に入れた攻撃者は、フォルダへのアクセス制限を司る「.htaccess」や、フォルダ内のファイルリスト表示を防ぐ「index.php」ファイル、WordPressをインストール済みであることを示す「wp-config.php」などを削除することが可能になります。特に最後の「wp-config.php」にはデータベースの認証情報が含まれるので、削除されると、次にウェブサイトを訪問したときにまるでWordPressがまだインストールされていないかのような動作となり、WordPressの再インストールが行われます。

WordPressでメディアファイル編集時にサーバー上の任意のファイルを削除可能な脆弱性、バージョン4.9.6でも未修正 – GIGAZINE

画像の編集権限のアカウントだったとしても、WordPressのデータベース情報などが記載してある超重要なwp-config.phpファイルを削除でき、削除後は該当ファイルがなくなっているためサイトのインストール画面になり勝手にWordPressサイトをインストールできてしまうと。・・・考えただけでゾッとしますね。

WordPressのセキュリティチーム「Hackerone」によると、2017年の11月20日の時点で報告していたようです。また、その間何回もリリース日を確認していたが返事がなかったと。うーんこれはあまりよろしくない対応ですね。

返事がないため今回の情報公開に踏み切ったわけで、結果各メディアで紹介され、流石にWordPressもヤバいと思ったのか今回のアップデートにつながったとみて間違いないかと思います。

報告元であるオリジナル記事では実際にメディア画面からwp-config.phpファイルを削除する流れが動画で紹介されています。以下から読めますので、興味のある方はどうぞ。

WARNING: WordPress File Delete to Code Execution

権限を昇格する必要もあり、事前にアカウントを乗っ取ったりしてログインできる前提ではありますが、このような方法で簡単にサイトがなくなってしまうという参考として覚えておくといいのかなと思います。

メールコンサルティング
WordPress保守管理サービス

Filed Under: WordPress

池田祐太郎

WordPressの導入を10年以上にわたって手掛けており、主に小〜中規模のコーポレートサイト・ECサイト・ブランドサイト等の企画・開発・保守・コンサルティングなどを行ってきました。2012年にハイファイブクリエイトを創業し、現在はWordPressの保守やコンサルティング、ディレクションや開発業務などを担当しています。 プロフィール詳細

この記事と関連する記事

2022年以降WordPressのテーマを選ぶ際にこれだけは注意しておきたいポイント
2022年5月6日
タグ: フルサイト編集
カテゴリー: WordPress
ブロックエディタを拡張するSnow Monkey Editorプラグインはコーポレート+ブログに適切
2022年4月28日
タグ: プラグイン
カテゴリー: WordPress
サイト多言語化のGtranslate有料版を使ってみた感想
2022年4月13日
タグ: 多言語
カテゴリー: WordPress

人気記事

  1. 同一サーバー上に構築するWordPressのテスト環境の作り方
  2. サイト制作の要件定義書に普段書いている内容(ダウンロード可)
  3. ダウンロードして即使えるサイトマップ(サイト構成図)のテンプレート5点
  4. 【2022年最新】WooCommerceで作られた国内ECサイト一覧まとめ
  5. WordPressの固定ページでタグやカテゴリーを使いたいときはカスタム投稿タイプを検討する
  6. コラム:class名とid名はどうやってつければいい?

最初のサイドバー

WordPress保守管理サポート

Search

最近の投稿

  • SNS等でシェアされやすい形式になっているかがわかる簡単な確認方法
  • トップでも知らない人もいる、文字をペーストするときに書式を解除して貼り付ける方法(Win, Mac, iPhone)
  • テスト環境を作るときのドメインの選択肢と把握しておきたいリスク
  • クラウドの検索順位チェックツール、Nobilistaを使ってみた感想(おすすめ)
  • git pull してもエラーが出てファイルが反映されないときの対処法

カテゴリー

  • CSS初心者
  • HTML初心者
  • TIPS
  • WooCommerce
  • WordPress
  • エステサロン
  • お知らせ
  • キュレーション
  • サイトマップ
  • システム会社
  • デベロッパーツール入門
  • ブログ
  • ホームページ制作
  • ホームページ制作無料講座
  • メール
  • モバイル
  • 仕事のこと
  • 制作実績
  • 整体院
  • 美容院
  • 雑感

タグ

Android Backlog BtoC CMS css Dropbox Paper elementor Google+ google workspace Gutenberg HTML IE10 iOS iPhone jQuery Mac php SEO shopify SNS ssh Sublime Text Webサイト高速化 WordPress WordPressカスタマイズ WordPressテーマ WordPress構築調査 WPRocket アクセス解析 アプリ クラウド クラウドソーシング サブスクリプション サーバー ショートカット スマホサイト スマートフォン ツール ブログ プラグイン マーケティング リニューアル 保守管理 最適化 集客するサイト構築

アーカイブ

CONTACT

お問い合わせはこちら

Footer

  • PRIVACY POLICY
  • 特定商取引法に基づく表示
  • 転載・引用について
  • Facebook

© 2022 high five create All rights reserved.