スポンサードリンク

WordPressをハッカーから守る。WordPressを最新版へアップデートしよう。WordPress Version 3.9.2の改善点と変更点

WordPressをハッカーから守る。WordPressを最新版へアップデートしよう。WordPress Version 3.9.2へ

WordPressをハッカーから守りたい。
WordPressを最新の保つ必要はある?

現在、サーバー契約型のサイト構築プログラムで、一番有名で人気の高いものは、WordPressです。WordPressは、ブログのように管理画面から内容を変更出来る機能を備えており、大変便利な無料ソフトです。

世界中で使われており、追加機能(プラグイン)やデザインテーマが無料で大量にあり、簡単にカスタマイズできることで有名です。
しかしながら、使われる人が多くなればなるほど、ハッキングの対象になりやすくなるデメリットがあります。

ハッキングを防止する方法は、多く存在していますが、まずはWordPressを最新版に常にアップデートしておくことをおすすめしています。
脆弱性(ぜいじゃくせい)と呼ばれる、ハッカーの攻撃目標を修正してくれているのが、最新版の良い所です。

WordPressの最新版のリリースは、管理画面にログインすることで、表示されます。
今回のアップデートのバージョンは、3.9.2です。

このバージョンでいったいどのような変更点があったのでしょうか?

WordPress Version 3.9.2の改善点

公式に発表されているWordPress Version 3.9.2の日本語版が存在しないため、英語版を要約してお伝えします。
ハッキングに関する専門用語が並んでいますが、ハッキングされると、サイトに不具合が生じたり、何も表示されなくなったりします。

引用参照元:Version 3.9.2

PHPのXML処理

Fixes a possible denial of service issue in PHP’s XML processing, reported by Nir Goldshlager of the Salesforce.com Product Security Team. Fixed by Michael Adams and Andrew Nacin of the WordPress security team and David Rothstein of the Drupal security team.

要約

PHPのXML処理に関するサービス拒否の問題を修正しました。

ウィジェットの処理

Fixes a possible but unlikely code execution when processing widgets (WordPress is not affected by default), discovered by Alex Concha of the WordPress security team.

要約

ウィジェットの処理に関する実行可能なコードの修正を行いました。

XMLのエンティティ攻撃

Prevents information disclosure via XML entity attacks in the external GetID3 library, reported by Ivan Novikov of ONSec.

要約

外部のGetID3ライブラリにおけるXMLのエンティティ攻撃による情報の不正開示を防止しました。

CSRF tokensに対するブルートアタック

Adds protections against brute attacks against CSRF tokens, reported by David Tomaschik of the Google Security Team.

要約

CSRF tokensに対するブルートアタックに対するプロテクションを追加しました。

その他セキュリティの強化

Contains some additional security hardening, like preventing cross-site scripting that could be triggered only by administrators.

要約

その他セキュリティの強化を行いました。例として、管理者のみに影響を与えるクロスサイトスクリプティングの防止など。

更新ファイル一覧

readme.html
wp-admin/about.php
wp-includes/ID3/getid3.lib.php
wp-includes/class-IXR.php
wp-includes/class-wp-customize-widgets.php
wp-includes/compat.php
wp-includes/pluggable.php
wp-includes/version.php
wp-login.php

まとめ

管理画面より、WordPressの更新を定期的に行なうことで、ハッカーからの攻撃を防ぐ事ができるようになります。
「突然管理画面にログインできなくなった!」
「おかしなものがサイトに写っている!」
「ものすごくアクセスが上がっている!」

そんな状態になった場合、攻撃を受けている可能性があります。
このような無料のソフトがあることで、安価にサイト制作を行なうことができるので、非常に魅力的でサービス提供者に素晴らしい恩恵があります。
この恩恵を毒に変えないためにも、乗っ取られる前に、できるだけ最新の状態にしておくことをおすすめします。

英語版は自動更新に対応しているようですが、日本語版は自動更新には非対応であるようですので、手動で更新する必要があります。
この辺りをWordPressの開発者に何とか対応していただきたいところです。

Pocket
LinkedIn にシェア


スポンサードリンク