知って得するセキュリティのはなし その80
WordPressの「File Manager」プラグインに脆弱性
1.このニュースをザックリ言うと
- 9月1日(現地時間)以降、米Sucuri社およびタイNinTechNet社といった複数のセキュリティ企業により、WordPressのプラグイン「File Manager」に脆弱性が存在することが相次いで発表されています。
- File Managerはより高機能なファイル管理機能を提供するプラグインですが、脆弱性の悪用により、第三者が不正なファイルをアップロードし、WordPressサイトのコンテンツを改ざんすること等が可能になるとされ、影響を受けるサイトは35万以上に上るとみられています。
- 既に脆弱性を修正したバージョン6.9がリリースされており、利用者はアップデートが強く推奨されています。
2.執筆者からの所感等
- WordPressには機能拡張のための数多くのプラグインが提供されていますが、利便性を向上させるプラグインのインストールにより、今回のような意図しない脆弱性が導入されることも珍しくなく、特に最初にサイトを構築してから、WordPress本体およびプラグインをアップデートしないままにしているケースが最も危険と言えます。
- 本体・テーマ・プラグインのアップデートは管理画面でまとめて確認できるため、管理者にて随時管理画面へのログインを行い、各種アップデートの確認と実施を行うことが(および不必要なプラグインをインストールしない、無効化する、等も)脆弱性への根本的対策として重要です。
- WordPressサイトや管理画面等の防御を固めるセキュリティプラグイン、あるいはWordPressに特化した攻撃を遮断するWAF等も、前述の2社をはじめ多くのベンダーによって提供されており、また何らかのプラグインが導入されていない素の状態のWordPressについても防御すべきポイントは少なくないため、そういったソリューションの導入の検討は不可欠と言えます。
