WordPressの最新版(Version 4.7.2)(https://wpdocs.osdn.jp/Version_4.7.2)が公開されました。WordPress REST API機能に厄介な脆弱性が見つかり、WordPressに貢献する人々の努力によって今回の緊急パッチはリリースされる運びになりました。
今回の脆弱性は、認証なく特権昇格を可能とするもので、WordPress 4.7 または4.7.1を利用して運営されているWebサイトに対して認証していないユーザーによる任意の投稿を許可してしまうというもの。不正改ざんの深刻なリスクがあげられます。
自社サイトは大丈夫?
当該のバージョンであれば、WordPress 4.7.2へバージョンアップすることで、脆弱性の脅威を解決できます。SiteLock社による調査によると、REST APIを無効化した場合も脆弱性の影響を受けません。REST APIは、デフォルトで有効化されているので、設定変更が必要です。
REST APIって何?
REST APIは「The Representational State Transfer Application Programming Interface」の略語で、手軽にWordPressとアプリケーションの連携を実現する手段です。REST APIはWordPress 4.7に標準搭載されていたこともあり、今では多くのプラグインやテーマに組み込まれています。開発者にとって外部連携を可能にするREST APIとは、たとえるならコンピューターにとってのUSB(コンピューターと周辺機器を接続するためのシリアルバス規格の1つ)といえるでしょう。そのため、WordPressの使い勝手やユーザーにとって有益な機能だといえます。
SiteLockがこの問題からどう守ってくれるの?
SiteLock社とWordPressのセキュリティチームは、互いに連携してセキュリティ問題に取り組んでいます。被害拡大を防止するWordPressのセキュリティパッチが開発された今回のようなケースでは、SiteLockとWordPressのセキュリティチームは互いに被害の兆候となる事象等の情報を共有し、またパッチの開発が行われる間、セキュリティ対策に注力しています。パッチが正式リリースされる前にこういった取り組みを行うことで、最終的にはSiteLock社のユーザーだけでなく、多くのWordPressユーザーを守ることに繋がります。