WordPress のコア開発チームは、コンテンツ管理システムの最近のアップデートで重大な脆弱性がひっそりと修正されたことを明らかにした。
これらのサイトを利用して虚偽の情報を拡散したり、あるいはサイトを改ざんして信頼性を損なったりすることは、少々問題があったでしょう。SucuriはWordPressセキュリティチームに脆弱性を開示しました。Sucuriによると、チームは「非常にうまく対応」し、Sucuriと協力して「開示のタイムラインを調整し、公開される前にできるだけ多くのホストとセキュリティプロバイダーに認識させ、パッチを適用させた」とのことです。
WordPressはその後、他の企業と協力し、脆弱性が明らかになった後も悪用されないよう徹底しました。これは多くのサービスで問題となる可能性があります。なぜなら、ユーザーは必ずしもソフトウェアをすぐにアップデートするわけではないからです。つまり、セキュリティ上の欠陥がパッチと共に公開されると、攻撃者はアップデートされていないシステムへの侵入方法を知ってしまうのです。WordPressは、セキュリティ企業、ホスティング会社、その他関係者と連携し、このような事態を阻止しました。
WordPress 4.7.2は1月26日にリリースされました。この脆弱性は2月1日に公表されました。これは、多くのWordPressユーザーがシステムを更新するのに十分な時間であり、CloudFlareのような企業が顧客を保護するのに十分な時間です。しかし、なぜこの脆弱性が公表されなかったのかについては説明がありました。WordPressはブログ記事で次のように述べています。
水曜日の午後までに、私たちが協力したホストのほとんどに保護対策が導入されました。4つのWAFとWordPressホストからのデータには、この脆弱性が実際に悪用された兆候は見られませんでした。そのため、この問題の公開を延期し、自動更新の実行に時間をかけ、問題が公表される前にできるだけ多くのユーザーが保護されるようにしました。1月26日木曜日、WordPress 4.7.2を全世界にリリースしました。このリリースは自動更新システムを通じて配信され、数時間で数百万人のWordPress 4.7.xユーザーがこの問題を知らず、何の対策も講じることなく保護されました。
WordPressユーザーは、できるだけ早くバージョン4.7.2にアップデートすることをお勧めします。この問題への慎重な対応と、SucuriやWordPressホスティング会社などの企業による対応にもかかわらず、この脆弱性の影響を受けるWordPressベースのウェブサイトは依然として多く存在すると考えられます。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
