• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer

株式会社ハイファイブクリエイト

東京都を拠点にWebサイト制作やシステム構築、WordPress保守管理やウェブコンサルティングを提供。

  • SERVICE
  • ABOUT
  • WORKS
  • BLOG
  • NEWS
  • CONTACT
ホーム / ブログ / WordPress / 今すぐアップデート。セキュリティ対策されたWordPress 4.9.7リリース

今すぐアップデート。セキュリティ対策されたWordPress 4.9.7リリース

池田祐太郎 | 2018年7月7日 公開

WordPress 4.9.7がリリースされました。メンテナンスリリースとなっており、脆弱性対応のため即時アップデートを強く推奨されています。

【セキュリティ ニュース】セキュリティ更新「WordPress 4.9.7」がリリース – 即時アップデートを強く推奨(1ページ目 / 全1ページ):Security NEXT

WordPress 4.9.7 Security and Maintenance Release

今回の内容は以前から報告があった脆弱性に対応したアップデートがメインのようです。その脆弱性というのは、画像をアップロード・編集等できる権限をもっていればサイトを破壊できる、という恐ろしいものでした。

実は4.9.7リリース数日前にGIGAZINEで情報が公開され、これはマズイんじゃないかと思っていました。

必要な権限を手に入れた攻撃者は、フォルダへのアクセス制限を司る「.htaccess」や、フォルダ内のファイルリスト表示を防ぐ「index.php」ファイル、WordPressをインストール済みであることを示す「wp-config.php」などを削除することが可能になります。特に最後の「wp-config.php」にはデータベースの認証情報が含まれるので、削除されると、次にウェブサイトを訪問したときにまるでWordPressがまだインストールされていないかのような動作となり、WordPressの再インストールが行われます。

WordPressでメディアファイル編集時にサーバー上の任意のファイルを削除可能な脆弱性、バージョン4.9.6でも未修正 – GIGAZINE

画像の編集権限のアカウントだったとしても、WordPressのデータベース情報などが記載してある超重要なwp-config.phpファイルを削除でき、削除後は該当ファイルがなくなっているためサイトのインストール画面になり勝手にWordPressサイトをインストールできてしまうと。・・・考えただけでゾッとしますね。

WordPressのセキュリティチーム「Hackerone」によると、2017年の11月20日の時点で報告していたようです。また、その間何回もリリース日を確認していたが返事がなかったと。うーんこれはあまりよろしくない対応ですね。

返事がないため今回の情報公開に踏み切ったわけで、結果各メディアで紹介され、流石にWordPressもヤバいと思ったのか今回のアップデートにつながったとみて間違いないかと思います。

報告元であるオリジナル記事では実際にメディア画面からwp-config.phpファイルを削除する流れが動画で紹介されています。以下から読めますので、興味のある方はどうぞ。

WARNING: WordPress File Delete to Code Execution

権限を昇格する必要もあり、事前にアカウントを乗っ取ったりしてログインできる前提ではありますが、このような方法で簡単にサイトがなくなってしまうという参考として覚えておくといいのかなと思います。

メールコンサルティング
WordPress保守管理サービス

Filed Under: WordPress

池田祐太郎

WordPress の構築・保守を10年以上にわたって手掛けており、主に小〜中規模のコーポレートサイト・ECサイト・ブランドサイト等の企画・開発・保守・コンサルティングなどを行ってきました。2012年にハイファイブクリエイトを創業し、現在は WordPress の保守やコンサルティング、ディレクションや開発業務などを担当しています。 プロフィール詳細

この記事と関連する記事

WordPress保守あるある:プラグインを更新したらエラー表示
2023年9月12日
タグ: 保守管理
カテゴリー: WordPress
WordPressのアップデートはどのタイミングで行うのが正解か
2023年9月6日
タグ: 保守管理
カテゴリー: WordPress
WordPressの不要なプラグインは残していいのか、それとも削除したほうがいいのか
2023年8月23日
タグ: ChatGPT, wpcli, 保守管理
カテゴリー: WordPress

人気記事

  1. git pull してもエラーが出てファイルが反映されないときの対処法
  2. 同一サーバー上に構築するWordPressのテスト環境の作り方
  3. サイト制作の要件定義書に普段書いている内容(ダウンロード可)
  4. ダウンロードして即使えるサイトマップ(サイト構成図)のテンプレート5点
  5. WordPressの固定ページでタグやカテゴリーを使いたいときはカスタム投稿タイプを検討する
  6. WordPress で PHP エラーメッセージを非表示にしたい時

最初のサイドバー

WordPress保守管理サポート

Search

最近の投稿

  • WordPress保守あるある:プラグインを更新したらエラー表示
  • WordPressのアップデートはどのタイミングで行うのが正解か
  • 同一ページでMW WP Formのフォームを切り替える方法
  • WordPressの不要なプラグインは残していいのか、それとも削除したほうがいいのか
  • WordPressの自動&定期バックアップをプラグインで簡単に設定する

カテゴリー

  • CSS初心者
  • HTML初心者
  • TIPS
  • WooCommerce
  • WordPress
  • エステサロン
  • お知らせ
  • キュレーション
  • サイトマップ
  • システム会社
  • デベロッパーツール入門
  • ブログ
  • ホームページ制作
  • ホームページ制作無料講座
  • メール
  • モバイル
  • 仕事のこと
  • 制作実績
  • 整体院
  • 美容院
  • 雑感

タグ

ai Android ChatGPT CMS css elementor git google workspace Gutenberg HTML iPhone jQuery Mac MAMP Photoshop php SEO SNS ssh Sublime Text UpdraftPlus Webサイト高速化 Windows WordPress WordPressカスタマイズ WordPressテーマ WordPress構築調査 WPRocket アクセス解析 アプリ クラウドソーシング サイト引っ越し サブスクリプション サーバー ショートカットキー スマホサイト スマートフォン ツール ブログ プラグイン マーケティング リニューアル 保守管理 効率化 最適化

アーカイブ

CONTACT

お問い合わせはこちら

Footer

  • PRIVACY POLICY
  • 情報セキュリティ基本方針
  • 特定商取引法に基づく表示
  • 転載/引用

© 2023 high five create All rights reserved.