カテゴリー
WordPress

WordPress 4.7 及び 4.7.1 への攻撃が増加中。

The same article in English

 いまだに増加中。大急ぎで WordPress をアップデートしよう,緊急事態ですよ。これ関係の記事はいっぱいだし,ネットオウルからもメールをもらったしで,これを書いてます。

 くりくりさんと Twitter で話したばっかりだったんだけどね。その件での初ツイートは 2/6 で徳丸さんの記事を見たからだ。“WordPress 4.7.1 の権限昇格脆弱性について検証した”

 昨日, Security Next が攻撃元の IP アドレスをいくつか載せてたので,夜,ログをチェックしてみたら, 2/6 に1 回だけあって, 500 エラーになっていた。そのときは,うちはもう WordPress 4.7.2 だったからだろう。
 ユーザエージェントが python-requests/2.11.1 で /wp-json/wp/v2/posts/ に来ていた。

 WordPress 4.7.2 のリリースは 1 週間以上前だし,オートアップデートがデフォルトだし,マニュアルアップデートでも超簡単なのに,この事態。残念至極。開発陣はもっと残念だろうなぁ。

「WordPress 4.7 及び 4.7.1 への攻撃が増加中。」への4件の返信

おはようございます。

西日本は大雪らしいですが
大丈夫ですか?

くりくりさん,おはようございます。

寒いんですが,どうやら今日は雪にはなりそうにない温度です。雨が,しょぼしょぼ降っています。

CT 全ドメイン実装完了おめでとうございます。こっからの話でしたよねぇ。結構長かったというか,うちで終わってるのは, OCSP Must Staple だけだし(汗)。あのあと,SSLLABS の項目に DNSCAA も増えたし。Google に CT 強制される CA 屋さんも増えたし。はぁ~,溜息。

こっちも雪が降ってきました。

DNSCAAはありませんね。
ssllabsで見たのが唯一日本のit企業のサイトです。
さくらのvpsでした。
chacha20でしたので、apache2.4,openssl1.1.0でしょう。DNSCAAの実装は大分先でしょう。

でもCTは信頼性をあげるといいながら、CAに対するgoogleの足かせですからどうなるんだろう。
let`s encryptが目をつけられたら会社サイトを考えます。

くりくりさん,こんばんは。

まだ,雪降ってるんですか?こっちは,なんか降りそうにないですが,近くのお山は今日もバッチリ雪をかぶってました。😀

> DNSCAA

これね,野良 DNS の方が先によそ様のレコードを設定しちゃったらどうなるんでしょうね。まぁ, CT にしたってログサーバを作って監視してるわけで, DNSCAA も普及してくるとそんなのが出来るのかもしれないけど。この間のうちのサーバの DNS_PROBE_FINISHED_NXDOMAIN 騒ぎで結構あちこち DNS 関係を読み漁ったんですが,名前解決ってどこでもやってるわけだし, DNS って設定がぐちゃぐちゃでともかく動けばいいってレベルなら,誰でもたてられるわけじゃないですか。
完全に理解してなくて私見を述べてるので,なんか観点がおかしいかもですが……。

でも,昨今のように暗号化が普及して,どこもかしこも使うようになってくると,その中での安全性ランクもまた改めて見直されたりするんでしょうね。

o6asan へ返信する コメントをキャンセル

メールアドレスが公開されることはありません。 が付いている欄は必須項目です