WordPress 2.1.1 は危険です。2.1.2 にアップグレードを

公式情報は 公式サイトのブログ記事 でご確認ください。

主な対象は、ここ3〜4日のうちに、公式サイトの ダウンロードページ から WordPress 2.1.1 をダウンロードした人、のようですが、2.1.2 にはマイナーな修正も含まれているようですから、その他の人も念のため、アップグレードしておいた方が良いでしょう。

2.0.x 系を使っている方、そして問題の背景を考えると当然、 ME を使っている方は 関係なさそう (関係なさそうですが、やはり念のため、2.1.2 ME が アップ されています) です。

何があったかというと、数日前に公式サイトのサーバーのひとつがクラックされ、ダウンロードページに細工を施された 2.1.1 のダウンロードファイルを設置されてしまっていた、とのことです。細工は、リモートから PHP コードの実行を行えるようにしたものでした。

クラックされてからの被害は、今のところこれしか発見されておらず、2.0.9 のダウンロードファイルや、開発リポジトリには不審な点はなかったようです。

公式サイトのサーバーがクラックを受けた、というのは、また別に深刻な問題ですが、WordPress 自体は、コードが汚染されていないことの確認と、マイナーな修正を含んだバージョン 2.1.2 がすぐ アップ されていますので、該当される方はアップグレードしてください。

また、該当される方は、アップグレードの際に既存のファイルをすべて上書きするようにしてください(僕の場合は、いったんすべて削除してから、アップロードし直しました)。

なお、前述の記事ではさらに、ファイル「theme.php」「feed.php」へのアクセスと、「ix=」「iz=」を含むクエリ文字列をブロックするよう勧めています。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です