http://thehackernews.com/2015/04/WordPress-vulnerability.html

wordpressに、深刻な脆弱性が発見されたようです。

詳しくはこちらの動画をご覧ください。

https://www.youtube.com/watch?v=OCqQZJZ1Ie4



コメント欄に、66000文字(64kb)に及ぶ、単純なJavascriptのコードを
書いて送信することで、バックドアを作れるそうです。

=======================================
例:
<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px AAAAAAAAAAAA...[64 kb]..AAA'></a>
=======================================

https://wordpress.org/download/

管理者の方は、パッチを当てるか、
4.2.1を使用するようにおねがいしますとのことです。

取り急ぎ、失礼しました。

--2015.4.30追記

wordpressでは、コメントはmysqlのデータに格納されているようですので、
以下のSQL文を流すことで攻撃を検知できるかと思いました。

select COUNT(*) from wp_blog_comments WHERE having length(comment_content) => 66000

※wordpressインストールした環境を私はもってないので、推測でSQLを書いています。。。
間違っていたらごめんなさい。。。


しかし、comment_contentカラムの最大長が、66000以下であれば
この方法は使用できないですね。。。
しかも攻撃者が侵入後は攻撃の形跡を消すため、
このコメントデータも削除
される可能性がありますよね。。。


よって、一番簡単な応急処置対策方法は、設定で「コメントの投稿をできなくする」ですね!