当サイトの WordPress を ME 2.2 に更新しました。WordPress 2.1.3 以前には「管理者パスワードが盗まれる脆弱性」「任意のコードを実行できる脆弱性」があるそうなので、その対策です。
日付の横に天気アイコンを出す自作プラグイン (未公開) が fatal error で動かなかったため、外してあります。原因がよく分からないので、改修には時間がかかるかもしれません。
ウチのサイトでは、管理者のユーザー名をデフォルトの admin から別のものに変更してあるので、管理者パスワードを盗まれる脆弱性は対象外と思っていましたが、攻略コードをよく見てみると、ID = 1 であるユーザーのパスワードを盗むような仕組みっぽいので、対処が必要だと思われました。なので、あわてて対策した次第です。
「任意のコード」の方は、WordPress 本体の問題というよりはプラグインの問題です。多くの作者がセキュリティーに無頓着で、危険なプラグインが多数存在するという話です。実際、わたしもいくつかのプラグインで脆弱性を発見しましたが、作者に連絡しても無反応というのが残念なところです。もはやバラしてしまいますが、わたしが「Lightweight Google Maps」を作った動機は、その前に使っていた「Plug’n Play Google Map」に XSS 脆弱性があったからです。作者に連絡しても無反応だったので黙っていましたが、後継プラグインが軌道に乗ってきたので、そろそろバラしてもいいころかと;-)
[追記 2007-05-30] 天気アイコンが出ない原因が究明できて復活させました。
上に戻る