暇人の英語雑記ブログ

WordPress4.7.0と4.7.1の脆弱性に攻撃を受けるとこうなる

HaCkeD By MuhmadEmad
Long Live to peshmarga
kurdistan-flag-waving
KurDish HaCk3rS WaS Here

↑攻撃を食らうと投稿ページを以上のように改ざんされてしまいます(笑)

おそらく post_type が post のページを狙ったものだと思われます。カスタムポストタイプのことは考慮に入れていなかったでしょう。

これは WordPress の REST API において認証を回避することができる脆弱性が潜んでいたことが原因で、それを悪用した攻撃です。

日本国内の数多くのサイトが被害を受けましたが、そもそも4.9.2にバージョンアップする通知は来ていましたし、緊急性はかなり高めに設定されていたので放置していたほうが悪いです。

当時のネット内では以下のようなコメントが目立ちました。

ウィルスソフトは入れていないのか?


どれだけセキュリティを高めても、常に先を行くやつがいるのは感心する。

全くもって的外れですね。

感染型のマルウェアではないのでウィルスソフトなどは論外です。

また WordPress 自体はオープンソースですし、悪い人たちによって攻撃が開始されたのは、このセキュリティホールの概要が公表された後です。

Webの知識がある人間なら、誰でも悪用できるレベルのバグです。

ちなみに攻撃手法は徳丸さんのサイトで詳しく解説されています。

WordPress の更新は怠ることがないようにしましょう♪

author