2007-05-29
晴れ

WordPress ME 2.2 に更新

yuriko による 13:42:56 の投稿
カテゴリー: サイト更新情報
タグ: ,

当サイトの WordPress を ME 2.2 に更新しました。WordPress 2.1.3 以前には「管理者パスワードが盗まれる脆弱性」「任意のコードを実行できる脆弱性」があるそうなので、その対策です。

日付の横に天気アイコンを出す自作プラグイン (未公開) が fatal error で動かなかったため、外してあります。原因がよく分からないので、改修には時間がかかるかもしれません。

ウチのサイトでは、管理者のユーザー名をデフォルトの admin から別のものに変更してあるので、管理者パスワードを盗まれる脆弱性は対象外と思っていましたが、攻略コードをよく見てみると、ID = 1 であるユーザーのパスワードを盗むような仕組みっぽいので、対処が必要だと思われました。なので、あわてて対策した次第です。

「任意のコード」の方は、WordPress 本体の問題というよりはプラグインの問題です。多くの作者がセキュリティーに無頓着で、危険なプラグインが多数存在するという話です。実際、わたしもいくつかのプラグインで脆弱性を発見しましたが、作者に連絡しても無反応というのが残念なところです。もはやバラしてしまいますが、わたしが「Lightweight Google Maps」を作った動機は、その前に使っていた「Plug’n Play Google Map」に XSS 脆弱性があったからです。作者に連絡しても無反応だったので黙っていましたが、後継プラグインが軌道に乗ってきたので、そろそろバラしてもいいころかと;-)

[追記 2007-05-30] 天気アイコンが出ない原因が究明できて復活させました。

コメント・ピン通知 »

トラックバック・コメントはありません。
※スパム対策プラグインの影響により、すぐにトラックバックが反映されない場合があります。お手数ですが、半日ほど待ってみてください。

上に戻る

コメント投稿

※発言の責任を明確にするため「名無し」「通りすがり」「匿名希望」等の匿名は不可とします。捨てハンドルでもいいので必ず名乗ってください。
XHTML (使えるタグ): <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <img localsrc="" alt=""> .
※スパム対策プラグインの影響により、すぐにコメント内容が表示されない場合があります。お手数ですが、半日ほど待ってみてください。

上に戻る