WordPress 4.2 のリリースからわずか3日後に、セキュリティ研究者が WordPress 4.2、4.1.2、4.1.1、4.1.3、および 3.9.3 に影響を与えるゼロデイXSS脆弱性を発見しました。これにより、攻撃者はコメントにJavaScriptを注入してサイトをハッキングできます。WordPressチームは迅速に対応し、WordPress 4.2.1 でこのセキュリティ問題を修正しました。サイトを直ちに更新することを強くお勧めします。
この問題を報告したKlikki Oyのセキュリティ研究者、Jouko Pynnönen氏は次のように説明しています。
ログインしている管理者によってトリガーされた場合、デフォルト設定では、攻撃者はプラグインおよびテーマエディターを介してサーバー上で任意のコードを実行する脆弱性を悪用できます。
あるいは、攻撃者は管理者パスワードを変更したり、新しい管理者アカウントを作成したり、現在ログインしている管理者と同じ操作をターゲットシステム上で行うことができます。
この特定の脆弱性は、Cedric Van Bockhavenによって報告されたものと同様であり、WordPress 4.1.2のセキュリティリリースで修正されました。
残念ながら、彼らは適切なセキュリティ開示を行わず、代わりにエクスプロイトを自分のサイトで公開しました。これは、サイトをアップグレードしない人々が深刻なリスクにさらされることを意味します。
更新:WordPressセキュリティチームに連絡を試みたものの、タイムリーな返信を得られなかったことが判明しました。
自動更新を無効にしていない場合、サイトは自動的に更新されます。
再度、サイトをWordPress 4.2.1に更新することを強くお勧めします。更新する前に、必ずサイトをバックアップしてください。
ラジニッシュ・タイヤギ
こんにちは、
私のサイトは先週2回ダウンしました。AWSサーバーを使用しており、データベースにはRDSを使用していますが、今日データベースがクラッシュし、復旧に2時間かかりました。最新バージョンのWordPress 4.2.2を使用しています。
いくつか良いセキュリティのヒントを教えてください
ありがとう
ラジニッシュ
ポール
投稿ありがとうございます。すぐにサイトを更新します!
マイク
Akismet を実行している場合、コメントがスパムとしてフラグ付けされる可能性が高いため、スパムキューを確認しないでください。
ベルンハルト
WordPress.comに連絡を試みたものの、2014年11月以降返答がなかったことが明確に説明されているhttp://klikki.fi/adv/wordpress2.htmlをご覧ください(脆弱性が確認されたバージョン:WordPress 4.2、4.1.2、4.1.1、3.9.3)。
「WordPressは、2014年11月以降のセキュリティ脆弱性に関する当社の継続的なケースについて、すべてのコミュニケーション試行を拒否しています。電子メール、国家当局(CERT-FI)、およびHackerOneを通じて連絡を試みましたが、2014年11月20日以降、いかなる種類の返答も受けていません。当社の知る限り、彼らのセキュリティ対応チームは、当社が報告した問題を解決するために調整しようとしているフィンランド通信規制当局や、オープンバグチケットのステータスを明確にしようとしているHackerOneのスタッフにも応答を拒否しています。」
それが正しい場合、問題を公表することは唯一の責任ある行動でした。サイトが脆弱なのは、公表のためではなく、WordPressがこの問題を約6ヶ月間対処できなかったためです。
セキュリティは複雑な問題であることは理解していますが、事実を正確に伝えてください。
WPBeginnerサポート
心よりお詫び申し上げます。記事を更新しました。
管理者
ビラル・ビン・アマル
しかし、更新後、私のCMS(WordPress)と私のサイトは非常に遅くなり、CMS内でプラグインを追加しようとするとエラーが発生します
ウィリアム・チャールズ
自動更新が行われ、データベースの更新を求められています。データベースを更新すると、次のエラーが発生します: Catchable fatal error: Object of class WP_Error could not be converted to string in /home/doctorof/public_html/wp-admin/includes/upgrade.php on line 1459
修正方法について何かご意見はありますか? 通常の方法(プラグインを無効にする、デフォルトテーマなど)は試しました。
編集スタッフ
ホスティングプロバイダーにご連絡ください。データベースのテーブルが破損している可能性があります。当社のサイトList25でも同様のことが発生しましたが、ホストがすぐに修正してくれました。
管理者
クンワール
管理者ログインページ /wp-admin にアクセスし、データベースの更新ボタンを押してください。これで問題が解決するはずです。
pmisun
自動更新が適用された後、インスタンスが完全に破損し、サーバーからの応答が一切なくなりました。6時間調査していますが、良い結果は得られていません。サーバーは正常、IPプロバイダー/ISPも正常です…
raja babu
サイトをどのように保護できますか?サイトの自動更新を停止するにはどうすればよいですか?助けてください
WPBeginnerサポート
WordPressの新しいアップデートが利用可能になったらすぐにサイトを更新することを強くお勧めします。そうしないと、サイトが脆弱になります。ただし、何らかの理由で手動で更新したい場合は、WordPressで自動更新を無効にすることができます。
管理者
エレイン・モール
Thank you for the alert! Although I have automatic updates set, it hadn’t got round to doing it yet for some reason, so I have actioned it myself
Thank you
ha manh bui
私のサイト http://homelytips.com/ が影響を受けているかどうか、どのように確認できますか?サイトは自動的に4.1.4に更新されました。
編集スタッフ
自動更新は、無効にしていない場合、WordPressチームによって行われます。
4.1.4 もこの問題を修正します。
管理者