読者です 読者をやめる 読者になる 読者になる

つばさのーと

つばさの日常を綴るのーと

WordPress本体のバージョンが4.7や4.7.1の人は今すぐアップデートしよう

f:id:tsubasa123:20170131132447j:plain

 

こんにちは、つばさ(@tsubasa123)です。

 

余計なお世話だとは思いますが、最近、はてなブログからWordPressに移行する方をお見かけする機会が多かったので、ちょっとだけセキュリティ関連についてのお話です。とりあえず、対象となる方は急いでアップデートしましょう。

 

なんでアップデート?

 

www.ipa.go.jp

 

一昨日、IPAという情報セキュリティに関する情報を扱う組織からWordPressの脆弱性に関するアナウンスが配信されました。

 

注目すべきは下記の引用部分。

 

本脆弱性を悪用する攻撃コードが確認されていますので、対策済みのバージョンへのアップデートを大至急実施してください。

 

私も難しいことまではわかりませんが、攻撃手法が確立されているってことですね。悪意あるユーザーが悪意ある行為を脆弱性を持つサイトに行うことで、サイトの改ざんが可能となっている状態です。これ、割とマジで危ないです。データが消されるだけならまだマシで、自分のサイトが別の攻撃に悪用される可能性もあります。片棒を担ぐようなことはしたくないですよね。

 

blog.tokumaru.org

 

セキュリティ界隈のすごい人、徳丸先生が詳しく説明してださっているので詳細を知りたい人はこちらも合わせて確認すると良いと思います。

 

WordPressって有名なCMSなので比較的頻繁にセキュリティフィックスのアップデートが行われていて、そこそこ堅牢なイメージではありましたが、久しぶりに重大な脆弱性が見つかったみたいですね。結構いろんなところが騒がしくなっているようです。

 

とりあえずアップデート

 

今回の脆弱性は4.7もしくは4.7.1のバージョンで見つかったものです。該当バージョンを利用している方はすぐにアップデートしましょう。

 

日本語版に関しては、4.7のリリースは2016年12月7日、4.7.1のリリースは2017年1月12日となっていますので、この辺でWordPressを導入した人は特に注意が必要です。ダッシュボードの「概要」のパネルに自分が利用しているバージョンが載っているはずですので確認しましょう。

 

アプデの仕方については特に説明しません。

 

f:id:tsubasa123:20170208165423j:plain

 

ダッシュボードにこんな警告が出ているはずなので指示に従ってください。大多数の方はレンタルサーバサービスを利用して運営しているのであれば、そちらにもヘルプページがあると思いますのでチェックしてみてください。

 

余力があるなら確認用のシステムも用意しよう

 

とりあえずアプデしろ、と言いましたが、アップデートってシステムが正常に動かなくなる引き金にもなるものでして、本当は慎重にやってもらいたいものなのです。「プラグインが動かなくなった」とか「テーマが崩れた」とか往々にして起こり得ます。

 

今回のセキュリティアップデートはかなり深刻なもののため、早急に対応する必要がありますが、できればアップデート用のWordPressを用意しておいて、そこで正常動作を確認してから本番に反映させる、というような手順をとりたいものです。

 

特に、WordPressで運営するブログやサイトでマネタイズを考えている、もしくは行っている方はダウンタイムを少なくして機会損失を減らしたいと思っているはずですので、動作確認環境を用意することをおススメします。

 

さいごに

 

繰り返しますが、WordPressのバージョンをチェックして問題がある場合は速やかにアップデートを行いましょう。インターネットの世界は広大です。どこの誰があなたのサイトを狙っているかわかりません。手遅れになる前に対応するようにしましょう。

 

ではでは、最後までお付き合いいただきありがとうございました。