[Security Threat: WordPress Under Attack]
セキュリティの話というのはよく分らない。
しかし最新バージョン以外はすべて危ない、はやくアップグレードしろといわれるとオタオタしてしまう。
最初に目にしたのは、WordPress の古いバージョンが攻撃を受けているというこの記事だった。
Lorelle on WordPress: “Old WordPress Versions Under Attack” by Lorelle VanFossen: 04 September 2009
* * *
すぐにアップデートを・・・
このブログを読んでる間も危ない。すぐにブログをアップデートしなさい。問題はそれほど深刻なのだ。
Update your WordPress blog before you continue reading this post. That’s how critical this issue is.
* * *
なにやら大変な気配だ。
とはいっても、自分のバージョンが何なのかさえ知らない。
そうこうしているうちに、Robert Scoble の記事がでた。WordPress ではとても安心しておれないという。
Scobleizer: “I don’t feel safe with WordPress, hackers broke in and took things” by Robert Scoble: 05 September 2009
* * *
ブログを削除された
またもやハッカーが侵入した。今回はダメージが大きい。ブロク約2か月分を削除されてしまった。そう、ボクはバックアップをとっていなかった。バックアップしておくべきだった。おかげで今になってそれをやっている。バックアップをとらないひとは、いずれ酷い目にあうのだ。
They broke back in, but this time they did a lot more damage. They deleted about two months of my blog. Yes, I didn’t have a backup. I should learn to do backups (we’re doing them now). Life has a way of beating you if you don’t have backups.
ともかく、今回ハッカーたちはアーカイブのページに悪意のコードを埋め込んだ。グーグルからはボクのブログをインデックスから削除したというEメールが届く始末。これは大変なことになったと総掛かりで問題解決に当たることにした。どうやって侵入したか調べるのにチームを作って全力を尽くす必要があった。TechCrunch や Mashable からその後出た記事のおかげで WordPress のどこに脆弱性があったのか知ることができた。Lorelle’s blog にはもっと詳しい記事が出ている。
Anyway, this time they also put some malicious code on my archive pages. Google sent me an email saying they had removed my blog from its index. That got a whole team to look into how they broke in. Now thanks to TechCrunch and Mashable you know there was a vulnerability in WordPress which let them break in. Even more good details on Lorelle’s blog.
* * *
いやあ、これは大変だ・・・
内容が削除されたうえに、ブログ自体もグーグルのインデックスから削除されたというのだから大事だ。
影響のあるブロガーだけに、つぶやきへの反応もすごい。
そういえば、Scobleizer は WordPress のブログだったはずなのに、いつの間にか ISP が変わっている。
Scobleizer の投稿には追加部分があって、つぎのとおり。
* * *
WordPress.com について問題ない?
追加:Wordpress を運営している Matt Mullenweg から WordPress.com(Wordpress のホスト版?)についてはこれまでも問題になったことはないといってきた。たしかにそうだ。Matt と興味深い会話を交わしている。
UPDATE: Matt Mullenweg, who is the guy who runs Automattic, the company that produces WordPress, wrote that I never had the problem on WordPress.com (hosted version of WordPress). That’s true. Interesting conversation going on over there with Matt.
* * *
どうもいまひとつピントこないが、当ブログも利用している WordPress.com は問題ないという。
WordPress と WordPress.com は違うのか・・・
混乱しているうちに、こんどは WordPress からの投稿がでた。
修正パッチが当たっていない WordPress を安全に使う唯一の方法は最新バージョン 2.8.4 にアップグレードすることらしい。
WordPress: “How to Keep WordPress Secure” by Matt Mullenweg: 05 September 2009
WordPress | 日本語: “WordPress を安全に使い続ける方法” by : 06 September 2009[Nao 訳]
* * *
こうなると、シロウトにはさっぱり分らない。したがって防衛策として自分で何ができるかもよく分らない。
いろんな経緯を経てやっと現在の WordPress.com に落ち着いただけに、ブログの内容が全部消えてしまうことになるのでは非常に不安だ。
バックアップをとる
この際万が一に備えて、これまでやったことのないブログのバックアップを取ることとした。
サポートページから調べたら、「ツール」>「エクスポート」を選ぶと「エクスポートファイルをダウンロード」するバックアップボタンが出てくる。あとはボタンを押すだけで XML ファイルが書き出される。
一応テキストについては書き出すことができた。(画像についてはどうしてよいか分らない。)
技術的知識も、防衛手段も持たないユーザーとしては、これが精一杯だ。
あとは今回の攻撃が当ブログに及ばないことをひたすら祈るのみ・・・
wordpress.comは大丈夫だと思います。
危ないのは私達のようにブログ投稿ソフトのworpressを使ってレンタルサーバーなどからブログ投稿している人達ですね。
[…] WordPress があぶない? « maclalala2 緊急です。 […]
[…] is therefor possible at first glance to see if a WordPress blog was hacked by the computer work. WordPress があぶない? – maclalala2.wordpress.com 09/06/2009 [ Security Threat: WordPress Under Attack ] […]
wordpress.com は、常に最新バージョンの wordpress が提供されているので概ね大丈夫です(厳密にはマルチユーザ対応の wordpress mu というのが核になってるそうです)。
ここで論じられているのは、wordpress.org で配布されているサーバインストール型の wordpress で、特に日本語環境は近年まで独自路線で歩んで来ていたため、古いバージョンが多数存在しています。
最近のバージョンはアップデート通知と自動アップデートが標準化されているため、アップデート作業がとても容易になりましたが、昔のバージョンは作業が少々面倒(一般的なブログアプリケーションでは普通のレベルですけどね)。そのあたりも最新版への移行が鈍い一因かもしれません。
セキュリティの面から、極力最新版を運用すべきです。
昔のバージョンを使ってる方は、一度の少々面倒な作業を我慢すれば、あとはとても楽にアップデートできるようになるので、必ず作業していただきたい。
最新版に対応していないサーバの都合で仕方なく古いバージョンを使っている場合は、早急にサーバを乗り換えるか、攻撃がこない事をただただ祈るばかり……
> appbank さん
ブログソフトとブログサービスの区別すらつかない有様で 失礼しました
> kuracom さん
詳しいご説明 ありがとうございます
どうやら ブログサービス wordpress.com のことではないようなので 少しほっとしています
セキュリティ問題については FUD を煽るケースが多く 事情の分ったプロの方はともかく 当方みたいなシロウトは その都度小さな胸を痛めます
客観的に たんたんと事実を説明してくださるブログがあると とても助かると思います
[…] Twitterで知ったこの記事。一刻も早くWordPressを最新版にしないと危険ということ。 というわけで緊張しながら初のアップデートをしてみました。 […]
[…] WordPress があぶない? Posted by lrxs Filed in 独り言 Tags: WordPress Leave a Comment » […]