早急にご確認を!
INTERNET Watchの記事に、 WordPressのREST API脆弱性、国内サイトでもコンテンツ改ざん事例が発生、IPAとJPCERT/CCが注意喚起 てのがありました。
独立行政法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は6日、WordPressのREST APIにおける認証回避の脆弱性について注意を喚起したそうです。記事によると・・・
対象となるWordPressのバージョン「4.7」および「4.7.1」では、REST APIがデフォルトで有効となっている。脆弱性を悪用すると、本来必要な認証をせずに、ウェブサイトのコンテンツの投稿や編集、削除といった改ざんが可能となる。
だそうです。既に改ざんの被害がでているようで、Yahooニュースにも、 丸川五輪相HPに謎のメッセージ ハッキング被害急増 という見出しで伝えており、丸川珠代・五輪担当相の公式サイトのほか、筑波大学(茨城)、国立情報学研究所(東京)、理化学研究所(本部・埼玉)などで被害が出ているそうです。
記事にもある通り、この脆弱性は1月26日に公開されたバージョン「4.7.2」で修正されているとのことなので、WPをご利用の方はご確認の上、更新をお薦め致します。
更新が難しい場合には、一時的な回避策として、REST APIを使用しないか、REST APIへのアクセスを制限することが推奨されています。WordPressでは、REST APIを無効にする公式プラグイン「Disable Embeds」も提供しているそうです。
WPをご利用中の方は至急ご確認のうえ、対応をお薦め致します。