WordPress 4.7 REST API の脆弱性

WordPress 4.7 REST API の脆弱性は、結構大きな祭りになっている感じがします。

• WordPress の脆弱性に関する注意喚起 - JPCERT
• WordPressの脆弱性に関する注意喚起[みんなでしっかりサイバーセキュリティ]
• WordPress の脆弱性対策について：IPA 独立行政法人 情報処理推進機構

JPドメイン Web改竄速報を見てもわかるように、かなりの数のサイトが被害に遭っているようです。意外と地味な改竄なので管理者が気付きにくいのもポイントかと。最近はWordPressを簡単インストールで使えるようになっているレンタルサーバーが増えていますが、その簡単さが逆に仇となっているのでしょう。サーバやシステムに関する知識が無くても使えるということは、万が一の不具合や脆弱性が発見された場合の対処が出来ないということです。

シェアの大きいオープンソース・ソフトウェアはプラグイン(モジュール)などの資産が多いというメリットと、海外からの不正アクセスを受けやすいデメリットがあります。マイナーなものを狙っても効率が悪いですからね、メジャーなものを狙うのはセオリー通りです。

WordPressマンセーな傾向が沈静化の方向に向かうことを願っています。仕事をしていても何かと言えば「WordPress」ですからねぇ。右を向いても左を向いてもWordPressばかりじゃ、仕事がつまんねーっつーの！