wordPress…
以下の問題は、wordPress2.8.4未満のバージョンで、誰でも、購読者ユーザ登録可能な状態に設定してあるワードプレスで発生している問題で、すべてのワードプレスで発生するものではありません。
ただ、管理者権限を奪取することができてしまう脆弱性は持っているので、放置するのは非常に危険です。
自分のサイトだけの問題にはとどまらず、他のサイトへの不法行為への、片棒を担いでしまう可能性があります。
以下のhtaccessは、自分のサイトのwordPressにすぐに手をつけられないため、考えた苦肉の策です。
ただの、アイディアに過ぎなく、実際の攻撃に効果があるかどうか不明です。
対策したブログが、実際に攻撃されて、失敗したのでやっぱり効果があったなどという報告も多分できません。
ほんのちょっとの間、アップグレードする暇がないので行った設定ですから、攻撃を受けるほど長時間使うことはないからです。
実際にワードプレスを使っている人は、2.8.4にアップグレードするのが最良の策だと思います。
ワードプレスを使っている人や、使っている人を知っていたら、「アップグレードしないとやばいよ」 といってあげたほうがいいと思います。
WordPress | 日本語 » WordPress を安全に使い続ける方法
ワームが出回り始めるといつも、誰もがセキュリティの専門家になりきって、まったくあてにならない話、ハンドルロック方式の解決法、もしくは本当の解決法の3種類のアドバイスのうちいずれかをふれ回るものです。まったくあてにならない話は明らかなので、すぐに発見できるでしょう。「WordPress のバージョンを隠せば大丈夫」?いや、ワーム制作者もそんなのはお見通しです。ワームのバージョン1.0では WordPress のバージョン数をチェックしていたかもしれませんが、バージョン2.0では単に権限をテストしているかもしれません。
まったくあてにならないMemoを残します。
RewriteEngine On RewriteBase /hoge/wordpress/ RewriteRule ^([_0-9a-zA-Z-]+/)?wp-admin//(.*)$ $1$2 [L]
ワードプレスひとつに、1データベースを割り振ってなかったので、パスワードの変更が、他のコンテンツに影響するかも知れず、簡単に変更できないものもあるので、それらの、まだ被害にあっていないwordPressは、暫定的に、このhtaccess置いてみることにしました。
購読者権限から、管理者権限ページを開けなくなる動作確認はできましたが、
効果があるかどうかは、はぁ〜。
wordPress2.8.2 MU も脆弱性再現できました。これは、もう更新しました。
へんてこな、gmailアドレスで、ユーザ登録があったら、チェックしましょう。
2.8.4で、購読者登録を見つけましたが、改ざんの痕跡は見つかっていませんけど、いらっしゃった方が、「キープ次、つかってやっから」ということだと困るんだよなぁ