【PR】当Webサイトのコンテンツにはプロモーション(広告)が含まれています
スポンサードサーチ
2017年1月27日にセキュリティ上の問題を解決した「WordPress 4.7.2」がリリースされました。
WordPress 4.7.2 セキュリティリリース
WordPress 4.7.2 Security Release
目次
SQLインジェクション、クロスサイトスクリプティング (XSS) 脆弱性など3件のセキュリティ問題に対応
今回のバージョンアップでは、WordPress 4.7.1以前のものが対象となっており、以下3件のセキュリティ問題に対応しています。
- Press This のタクソノミー語句を割り当てるユーザーインタフェースが使用権限のないユーザーにまで表示される。
- 安全でないデータが渡された時に発生する WP_Query の SQL インジェクション (SQLi) 脆弱性。
- 投稿リストテーブルで発見されたクロスサイトスクリプティング (XSS) 脆弱性。
自動アップデートが始まっている
今回も自動アップデートに対応していますので、自動バックグラウンド更新の設定を行っている場合には自動でアップデートが行われている場合があります。
しかし、自動バックグラウンド更新の設定を行っていない場合や、まだアップデートが行われていない場合には、WordPress 4.7.2をダウンロードして手動で更新するか、ダッシュボードから更新が必要です。
WordPressの運用をされている方は、早急に対応を行いましょう。
2月7日追記:REST API脆弱性についてIPAとJPCERT/CCが注意喚起
独立行政法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が、6日にWordPressのREST APIにおける認証回避の脆弱性について注意を喚起しました。
独立行政法人情報処理推進機構(IPA)セキュリティセンター:WordPress の脆弱性対策について
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
WordPress 4.7 “Vaughan”がリリースされましたでお伝えしたように、WordPressのバージョン「4.7」および「4.7.1」では、REST APIがデフォルトで有効となっています。
WordPressのバージョン「4.7」および「4.7.1」には、このREST APIに認証回避の脆弱性があり、悪用されると、ウェブサイトのコンテンツの投稿や編集、削除といった改ざんが可能となるということです。
徳丸浩の日記:WordPress 4.7.1 の権限昇格脆弱性について検証したによると、4.7.2では以下の修正が行われています。
WordPress 4.7.2では、代わりに、get_postメソッドがget_post関数のラッパーとして作成され、権限チェックと更新の両方から呼ばれるようになりました。
今回、Internet Watch:WordPressのREST API脆弱性、国内サイトでもコンテンツ改ざん事例が発生、IPAとJPCERT/CCが注意喚起によると、このREST APIの脆弱性について恣意的に公開をしていなかったそうです。
脆弱性は、1月26日に公開されたバージョン「4.7.2」で修正されているが、WordPressでは「何百万ものWordPressサイトの安全性確保のため」脆弱性の情報を2月1日まで公表していなかった。
どちらにしても、極めて危険な脆弱性であるため、当該バージョンのWordPressをお使いのサイトは、至急のアップデートをしましょう。
ECサイト&マーケットプレイスサイトを低コスト・短納期で構築するなら
多言語・多通貨対応ECサイト&マーケットプレイスサイト構築パッケージ CS-Cart は、B2C、B2B、B2B2C、B2B2Bのどのビジネスモデルにも対応したECサイト&マーケットプレイスサイトを低コスト・短納期で構築が可能です。
ECサイトやマーケットプレイスサイトの構築を検討している場合には、是非ご検討ください。
経営課題の解決でお困りではありませんか?
DXを始めとするITを使った経営課題の解決が上手くいっていない企業は数多くあります。
それは、単なるソリューションの導入や、社内人材への丸投げとなっており、課題解決がゴールになっていないからです。
そのためには、経営とITを理解した人材が、経営者層と共に取り組み、経営者の頭の中を可視化することが必須要件です。
現在、1時間の無料オンライン・コンサルティングを実施しております。
是非この機会にご相談ください。
経営課題を解決するWebサイト構築の最適解は?
経営課題を解決するWebサイトとは、何をおいてもWebサイトに集客する事が必須要件です。
そうなると、最強のWebサイトとは「検索エンジンへの登録と分析、GA4での現状分析ができ、集客のための実施施策に落とし込みができ、コンバージョンに繋げられ、改善の分析ができるWebサイト」一択です。
まずは、現状のWebサイトが経営課題を解決することができるのかをまずご相談ください。
ECサイトの最適解はクライアント毎に異なります
経営課題を解決する最適なECサイト、越境ECサイト、BtoB ECサイト、マーケットプレイスを構築するためのシステムは、クライアント毎に異なります。
まずは、御社にとって経営課題を解決するには、どういったシステムが必要であり、ASP、SaaS、パッケージ、フルスクラッチのどれが最適なのかの検証が必要です。
スポンサードサーチ