ご確認を・・・
GIGAZINEの記事に、 35万以上のWordPressサイトに影響を与える重大な脆弱性が発見される、数日で45万回以上の攻撃が行われたという報告も てのがありました。
WordPressの「File Manager」プラグインに、リモートでコードが実行できるようになる脆弱性が発見されたそうです。記事によると・・・
File Managerに新たに発見された脆弱性は、認証されていないユーザーでも保護されていないファイルをアップロードできるというもの。この脆弱性を利用すれば、バックドアとして機能するWebshellが埋め込まれたファイルをアップロードすることで、File Managerがインストールされたディレクトリ下の「plugins/wp-file-manager/lib/files/」のコマンドを実行可能であるため、攻撃者はこのディレクトリに悪意のあるphpファイルをアップロードして実行することで、WordPressブログを自由に改変しています。
だそうです。「File Manager」プラグインは、ファイルやフォルダの編集・削除・アップロード・ダウンロード・圧縮・コピー・貼り付けがWordPress上だけで全てできるというプラグインだそうですが、中の人も一応Wordpressのサイトを管理している一人なので、確認しましたがウチのサイトではこのプラグインは利用していませんでした。
WordPressは有用なプラグインが非常に多く、利用されていない方を探すのが難しいくらい多くのプラグインをご利用の方も多いと思います。今回のプラグインも日本語化はされていないものの、70万以上ダウンロードされている人気のプラグインみたいです。
Wordpressでサイトを制作されている方も多いと思いますが、今回の「File Manager」プラグインを利用されている場合にはバージョンを確認後、旧バージョンの場合はバージョン6.9にアップデートしましょう。
また、プラグインはインストールしたけど使っていない場合も考えられます。そういった場合には、不要なプラグインは削除することでセキュリティホールを塞ぐこともできますので、使っていないプラグインは削除することをお薦めします。
Wordpressでサイトを管理されている方は、是非ご確認ください。