やられました。WordPressのアップグレードは割とこまめにやっていたのですが、2009年8月12日にリリースされたWordPress2.8.4は、リリース後３週間ほどしてからアップグレードしました。その間に、見慣れない管理者ユーザが追加されてしまっていました。

気付いたのは昨日。１週間ほど前からウィジェットが設定通りに表示されずジャミジャミ（福井弁）になっていたので、直さないとなーと思っていたのでした。そんな時、F.ko-jiさんや百式管理人さんのエントリーで、WordPressのセキュリティホールについて知ったのでした。

■WordPress 2.8.4未満にかなりやばめのセキュリティーホールがあるらしいので要アップグレード – F.Ko-Jiの「一秒後は未来」

■WordPressのバージョンを2.8.2から2.8.4にあげたよ – IDEA*IDEA ～ 百式管理人のライフハックブログ

まさかと思い、普段は表示することもないWordPress管理画面の「ユーザー」を表示してみると、見事に見慣れないユーザーが２人。うっかりハードコピーするのを忘れてしまいましたが、確かにMikeなんちゃらとTedなんちゃらというユーザーがいました。

すぐさま以下を実施。

1. WP-DBManagerプラグインでデータベースのバックアップ
2. ファイルリソースのバックアップ
3. ユーザー削除
4. 自分の管理者パスワードを変更
5. Broken Link Checkerプラグインで自身のブログへのリンク切れがないか確認

最後のは意味あるか判断付きませんが、このセキュリティホールを突かれるとパーマネントリンクが書き換えられるとのことでしたから、チェックしてみた。特に問題はありませんでした。

疑問が残るのは、2.8.4にアップしたタイミングより後にウィジェットが壊れたこと。恐らく、2.8.3の時にアカウントが作られて、2.8.4になった後に悪さされたのかと思ってますが、ログが残ってないので分かりません。。。。

ということで、オープンソース含め色々使わせていただいている以上、最新バージョンへのアップグレードはきっちりやっていきたいと思う出来事でした。何が起こるか分からないので、データベースバックアップはきっちり自動化しておくといいと思いますよ。こちらのプラグインが便利です。

■データベースをバックアップするプラグイン WP-DBManager | WordPressで企業ウェブサイト作成・商用ホームページ制作 WordPress Go Go

皆さんもお気を付けください。

関連エントリーもあわせてどうぞ

• WordPressで生まれ変わった「福井のウェブマガジン、天晴本舗」12月号リリース (5コメント)
• 酒は肴を美味くする～越前銘酒　白岳仙～ (5コメント)
• 越前焼かにめし弁当 (1コメント)
• 越前おろしそばが好きだ ～今庄そばの里～ (1コメント)
• 自宅から車で30分で行ける海「福井市越廼村大味海水浴場」 (1コメント)