WordPress2.8.4未満にかなりやばめのセキュリティホールが確かにあった。


やられました。WordPressのアップグレードは割とこまめにやっていたのですが、2009年8月12日にリリースされたWordPress2.8.4は、リリース後3週間ほどしてからアップグレードしました。その間に、見慣れない管理者ユーザが追加されてしまっていました。

気付いたのは昨日。1週間ほど前からウィジェットが設定通りに表示されずジャミジャミ(福井弁)になっていたので、直さないとなーと思っていたのでした。そんな時、F.ko-jiさんや百式管理人さんのエントリーで、WordPressのセキュリティホールについて知ったのでした。

■WordPress 2.8.4未満にかなりやばめのセキュリティーホールがあるらしいので要アップグレード – F.Ko-Jiの「一秒後は未来」

■WordPressのバージョンを2.8.2から2.8.4にあげたよ – IDEA*IDEA ~ 百式管理人のライフハックブログ

まさかと思い、普段は表示することもないWordPress管理画面の「ユーザー」を表示してみると、見事に見慣れないユーザーが2人。うっかりハードコピーするのを忘れてしまいましたが、確かにMikeなんちゃらとTedなんちゃらというユーザーがいました。

すぐさま以下を実施。

  1. WP-DBManagerプラグインでデータベースのバックアップ
  2. ファイルリソースのバックアップ
  3. ユーザー削除
  4. 自分の管理者パスワードを変更
  5. Broken Link Checkerプラグインで自身のブログへのリンク切れがないか確認

最後のは意味あるか判断付きませんが、このセキュリティホールを突かれるとパーマネントリンクが書き換えられるとのことでしたから、チェックしてみた。特に問題はありませんでした。

 

疑問が残るのは、2.8.4にアップしたタイミングより後にウィジェットが壊れたこと。恐らく、2.8.3の時にアカウントが作られて、2.8.4になった後に悪さされたのかと思ってますが、ログが残ってないので分かりません。。。。

ということで、オープンソース含め色々使わせていただいている以上、最新バージョンへのアップグレードはきっちりやっていきたいと思う出来事でした。何が起こるか分からないので、データベースバックアップはきっちり自動化しておくといいと思いますよ。こちらのプラグインが便利です。

■データベースをバックアップするプラグイン WP-DBManager | WordPressで企業ウェブサイト作成・商用ホームページ制作 WordPress Go Go

皆さんもお気を付けください。