この記事をシェアする!

WordPressの人気プラグインに致命的な脆弱性が見つかる… 約数十万サイトが攻撃を受ける

この記事をシェアする!

00 名無しのおすすめ
Pete LinforthによるPixabayからの画像
Pete LinforthによるPixabayからの画像
1 名無しのニュー即 2020/09/03(木) 19:59:24.93 ID:OO5AIOrH0● BE:323057825-PLT(13000)

WordPressの「File Manager」プラグインに、リモートでコードが実行できるようになる脆弱性が発見されました。
この脆弱性を突けば、データを盗んだり、サイト自体を破壊したり、有害なコードを埋め込んだりすることが可能で、影響を受けるWordPressサイトは35万以上に及びます。

File Managerは、ファイルやフォルダの編集・削除・アップロード・ダウンロード・圧縮・コピー・貼り付けがWordPress上だけで全てできるというプラグイン。
導入するとFTP不要でファイル・フォルダ操作が可能となる、70万ダウンロードを超える人気プラグインの1つです。

File Managerに新たに発見された脆弱性は、認証されていないユーザーでも保護されていないファイルをアップロードできるというもの。
この脆弱性を利用すれば、バックドアとして機能するWebshellが埋め込まれたファイルをアップロードすることで、
File Managerがインストールされたディレクトリ下の「plugins/wp-file-manager/lib/files/」のコマンドを実行可能であるため、
攻撃者はこのディレクトリに悪意のあるphpファイルをアップロードして実行することで、WordPressブログを自由に改変しています。

実際に、セキュリティ企業のWordfenceは、過去数日間で45万回以上の攻撃をブロックしたと報告しており、想像を超える速度で攻撃が広まっていると指摘されています。

35万以上のWordPressサイトに影響を与える重大な脆弱性が発見される、数日で45万回以上の攻撃が行われたという報告も
https://gigazine.net/news/20200903-wordpress-file-manager-vulnerability/

スポンサーリンク
00 名無しのおすすめ

26 名無しのニュー即 2020/09/03(木) 23:27:19.33 ID:RU/xD07+0
>>1
簡単なサイト作りたいけどワードプレスじゃなくて何で作ればいいの?

2 名無しのニュー即 2020/09/03(木) 20:03:09.79 ID:meDIToEO0
FMプラグインってみんな使ってんじゃね?

3 名無しのニュー即 2020/09/03(木) 20:05:31.22 ID:RMhdhx8x0
キュレーションサイトでしか見ない

5 名無しのニュー即 2020/09/03(木) 20:15:01.43 ID:6smar5Gp0
まだWordPress使ってるって情弱すぎて救いようがないな

10 名無しのニュー即 2020/09/03(木) 20:56:56.35 ID:+D1GGTfZ0
>>5
ホワイトハウス…

7 名無しのニュー即 2020/09/03(木) 20:37:16.79 ID:2YmTXPNA0
標準で入っているやつではないんだな
入れてんのこれ

8 名無しのニュー即 2020/09/03(木) 20:40:20.96 ID:qK4UGv8/0
そんなん入れてるやついない

9 名無しのニュー即 2020/09/03(木) 20:46:17.62 ID:/KiOTdg30
やべー
昔会社の公開用サイトでcms使ってたけどマイナーで脆弱性検出の話なぞ聞かなくて逆に淋しくなったおもいで

11 名無しのニュー即 2020/09/03(木) 21:00:54.68 ID:U3mPZZX30
FTP使ってるから不要
スポンサーリンク
00 名無しのおすすめ

12 名無しのニュー即 2020/09/03(木) 21:07:34.58 ID:sMhtGAsQ0
知ってた

13 名無しのニュー即 2020/09/03(木) 21:12:24.34 ID:VX9HZwrd0
WordPressって昔からPHPと合わせてボロクソに言われ続けてるけどボロいまま使われ続けてるよな

14 名無しのニュー即 2020/09/03(木) 21:15:56.30 ID:cWgE95uD0
俺はMovableType派だったからセーフ

15 名無しのニュー即 2020/09/03(木) 21:28:56.18 ID:t9EC/2uS0
ああ、安倍様お辞めになる前に聞いてみたかった
脆弱性>ふじゃくせい、きよわせい

16 名無しのニュー即 2020/09/03(木) 21:35:56.09 ID:AW2I9+1O0
wordpressとdreamwaverの違いさえ分からない

17 名無しのニュー即 2020/09/03(木) 21:41:28.51 ID:wIfpbicQ0
ワードプレス使って15年だが
初めて聞いたプラグインだ

18 名無しのニュー即 2020/09/03(木) 21:51:32.01 ID:nKK1Xmpc0
前のアップデートでタグが弄れなくなった
めんどくさいから放置してる

19 名無しのニュー即 2020/09/03(木) 22:10:10.00 ID:zpe70Lao0
ワードプレスでサイト運営してるけど、こんなプラグイン聞いたことないな

20 名無しのニュー即 2020/09/03(木) 22:27:03.87 ID:z3bCGEH70
レンタルサーバーの簡単インストールとかで入れてる人はどうするの…?

21 名無しのニュー即 2020/09/03(木) 22:36:18.89 ID:NoG/3RX80
しょっちゅうバグ出してる印象
スポンサーリンク
00 名無しのおすすめ

22 名無しのニュー即 2020/09/03(木) 22:41:52.69 ID:QeCSIPz60
高機能なプラグインは入れずに自作テーマでカバーした方がメンテナンス性いいぞ。
気軽にWordpressアップデートできるしな。

23 名無しのニュー即 2020/09/03(木) 22:44:07.40 ID:8LBnhYeI0
一時期これ使ってホームページ作る大量の会社がIT企業だコンサルだ名乗ってて同業としては迷惑だったわ

24 名無しのニュー即 2020/09/03(木) 22:48:49.44 ID:kc8jP8xe0
もうメンテ忘れるからnoteとかに移行したい

25 名無しのニュー即 2020/09/03(木) 22:59:37.45 ID:Fu9RMIo80
Hugoとか使って静的サイトにすればいいのにまだしない(てきない)情弱御用達の旧石器時代の遺物を使い続ける意味とは

27 名無しのニュー即 2020/09/03(木) 23:29:46.04 ID:QRdAa0Rt0
Gatsbyとかで静的サイトつくったけど結局WordPressのほうが楽ちんよ。

28 名無しのニュー即 2020/09/03(木) 23:33:29.96 ID:Gm/HRZaA0
>>27
なるほど