スポンサードサーチ
2017年1月11日にセキュリティ上の問題を解決した「WordPress 4.7.1」がリリースされました。
WordPress 4.7.1 Security and Maintenance Release
WordPress 4.7.1 セキュリティ・メンテナンスリリース
目次
PHPMailer の遠隔コード実行、クロスサイトスクリプティング(XSS)等、8件のセキュリティ問題に対応
今回のバージョンアップでは、WordPress 4.7以前のものが対象となっており、以下8件のセキュリティ問題に対応しています。
- PHPMailer の遠隔コード実行。
JVNVU#99931177 PHPMailer に OS コマンドインジェクションの脆弱性で指摘されていたPHP Mailerのリモートコード実行脆弱性に対し、WordPress および主要なプラグインがこの問題の影響を受ける可能性はないですが、広範囲に影響しうる問題のため今回のリリースで PHPMailer のアップデートを行われたようです。 - 公開 (public) の投稿タイプの投稿を作成したすべてのユーザーのデータが REST API 経由で参照可能になる問題。
これは、WordPress 4.7 “Vaughan”がリリースされましたで以下のように記述をしていた
WordPress 4.7以前は、「WP REST API」を有効にしないとこの「REST API」は使えなかったのですが、WordPress4.7以降はプラグインを使わなくても、アクセスできるようになってます。
そのため、「REST API」にアクセスさせたくない場合には、Disable EmbedsといったPluginを導入する必要があります
に対して、WordPress 4.7.1 では REST API で参照可能と指定された投稿タイプに限定されるよう制限が加わったようです。
- update-core.php のプラグイン名またはバージョンのヘッダーを利用したクロスサイトスクリプティング (XSS)。
- Flash ファイルのアップロードに関連したクロスサイトリクエストフォージェリ (CSRF)。
- テーマ名のフォールバックを利用するクロスサイトスクリプティング (XSS)。
- メールによる投稿でデフォルト設定の mail.example.com が変更されていない場合の対応。
- ウィジェット編集のアクセシビリティモードに関連したクロスサイトリクエストフォージェリ (CSRF)。
- マルチサイト有効化キーの強度不十分な暗号セキュリティ。
また、WordPress 4.7.1 では 4.7 リリース以降に発見された62個のバグを修正しています。
自動アップデートが始まっている
今回も自動アップデートに対応していますので、自動バックグラウンド更新の設定を行っている場合には自動でアップデートが行われている場合があります。
しかし、自動バックグラウンド更新の設定を行っていない場合や、まだアップデートが行われていない場合には、WordPress 4.7.1をダウンロードして手動で更新するか、ダッシュボードから更新が必要です。
WordPressの運用をされている方は、早急に対応を行いましょう。
ITを使った経営課題の解決でお困りではありませんか?
DXを始めとするITを使った経営課題の解決が上手くいっていない企業は数多くあります。
それは、単なるソリューションの導入や、社内人材への丸投げとなっており、課題解決がゴールになっていないからです。
そのためには、経営とITを理解した人材が、経営者層と共に取り組み、経営者の頭の中を可視化することが必須要件です。
現在、1時間の無料オンライン・コンサルティングを実施しております。
是非この機会にご相談ください。
構築予算が10分の1に
経営課題を解決するECサイト、越境ECサイト、BtoB ECサイト、マーケットプレイスを構築するならCS-Cartをご検討ください。
スポンサードサーチ