日本語になってからじゃ遅いから

WordPressが2.5になってしばらく経ち、最近2.5.1がリリースされました。
ここんとこずっとバタバタしてて、セキュリティ系のネタまで追っかけている時間もなかったので放置していたのですが、2.5になって以降Cookieまわりに関する脆弱性の報告がポコポコ出ているようですね。

昨日付のSecuniaのレポートでは、誰でもユーザー登録できるモードを有効にしているシステムではちょっと手を加えたCookieを使うことで、認証の仕組みをすっ飛ばしてユーザー権限を引き上げることができるとかなんとか、それ以外にもちょっと調べてみるとここ最近いろいろと出てきてます。

なるべく早く何かしらの手を打つ

この類の情報は、誰かがこの辺りのことを詳しい日本語訳にして出してくれるまでには時間がかかるかもしれませんし、ただ「アップデートしてるよ」で終わってるかもしれません。「うちはアクセスも少ないから平気だよ」って思っていてもアクセス数は関係もないですし、100%自分のところが平気とは言い切れません。

詳しい内容がわからないにしてもとりあえずマイナーバージョンのアップデータが出た時は、なるべく早い段階で適用しておくようにした方がよいですね。そうでないと周りの人に迷惑がかかります(笑)。

今回のセキュリティ面での修正は、前述しているSecuniaのレポートにあるようなことを解決するような3ファイルぐらいのようですがまぁ全部いっときましょう、WordPressのアップデートは簡単なので…。

ちなみにWordPressは2.5系になってから、「wp-config.php」の中にシークレットキーなるものを書いておくようになっています。以前のバージョンからアップデートする時に面倒くさいからwp-config.phpはそのままって人も、最新版のファイルでも見て下記の該当部分を貼り付けておきましょう。

「意味がわからないからそのままにしてるよ」ってのんきな方も書き換えましょうね。デフォルトの値で放置しておく程アホなことはありません、何でも。
狙う時はまずデフォルトの設定値です(謎)。

define('SECRET_KEY', 'put your unique phrase here');

ここの「put〜」のとこを書き換えるのですが、どう書いたらいいか分からない人は、ファイルにも書いてあるこのURLにアクセスして表示された一文をまるっとコピペしましょう。上の記述と同じ形で表示されるはずです。ごちゃごちゃと意味不明な文字列が出てくると思いますが気にしないで良いです、そのまま貼れば(笑)。

英語でしか探し出せない情報もあるのですよ…

特定の操作をおこなうことで発生するような脆弱性などは、一旦ベンダーさんに報告されてからしばらくすると世の中に公開されます。そして、時には実際に実行するためのコードもついて公開されたりしますから、ボーッとしてるとあんまよくないんです(謎)。「脆弱性はまだ公開されていません」っていっても実は公開されてることもあるので…。

有名どころでは「SecurityFocus」「Secunia」などいろいろありますので、たまには検索ぐらいしてみるとよいでしょう。英語ですけどね、残念ながら。

CMS系のツールが流行のようですが…、やること増えます(笑)

CMS系のツールは、数え上げればきりがないほど昔からいろいろとやられては対処されの繰り返しです。残念ながら特定のCMSだから大丈夫ということはありません。特にWordPressは今世界規模でその利用が増えているのでターゲットにされやすいと思います。「うちはMTだから大丈夫だ」って思っている皆さんも、いつ何が知らないとこで起きてるかわかりませんから、少しは気にしておきましょうね(笑)。

このようなツールを使うということは、この辺りのセキュリティの方にも少しぐらいは目を光らせておく必要があるということですよ、デザイナーの皆さんも。
使うからには「できない」「わかんない」じゃダメで、起こってからでは遅いんです。
さぁ、その覚悟はできてますか?

Tags: , , , , , , ,

   

Comments are closed.


Performance Optimization WordPress Plugins by W3 EDGE