Security update of WordPress

WordPress 4.9.7へアップデートしました

このサーバーはWordpressと言うソフトウェアで運用しています。今回サーバーのホストであります大学病院医療情報ネットワーク研究(UMIN)センターより、セキュリティアップデートを依頼するお知らせが参りましたので、対応いたしました。

まずは、アップデート前にデータのバックアップを行い、バックアップファイルをGoogleのクラウドディスクにコピーしました。(UMINのサーバーにも直近10回分ほどのバックアップデータは残しています。)

データをコピーしながら、プラグインの対応状況を見ましたら一つのプラグインが新しいWordpressへの対応を表明していません。常時稼働していて、ホームページ全体に影響のあるようなプラグインなので心配です。不具合が出ると困るのですが、今回はセキュリティアップデートと言う事ですので、そこは問題が起きても対応していただけるだろうと見切って、アップデートを実行しました。

今回のWordPress 4.9.6で明らかにされた脆弱性は、投稿権限者が本来編集できない筈の初期設定ファイルを削除したり、任意のコードを実行したりできるという事のようです。投稿権限者としてログインできるユーザーのみが攻撃者になりうる、という事です。現在それ以上の権限を有しているのはPRCの一部のメンバーのみです。この問題が解ってから手当てするまで、半年間ほど放置されていたようですが、権限を付与されたユーザーが適切にパスワード等を管理している限りは攻撃にさらされる危険はなかっただろうと思われます。

(PRC委員長 大島)

 

Leave a Reply

Your email address will not be published. Required fields are marked *

Translate »
%d bloggers like this: