WordPressを安全に使い続ける方法?

今日、ロリポとヘテムルから同時に「Wordpressのバージョンを最新にせんかい!」といった類のメールが来ました。

これはちょっとただ事じゃないなと、最近まんまとMH3にハマってしまっている自分で、確実にゲーム>PCになっていますが(ろくに更新もせずホントすみません)見て見ぬフリをしてきた2.8.4へアップグレードさせました。

まっ、今回も一部のサイトは自動アップグレードできませんでしたが。

今回の件についてはコチラに本家ブログの和訳記事があります。

要は「ハックされる前にめんどくさくても常に最新バージョンにしておこう」です。

こんな恐ろしいタイトルの記事を見つけましたので紹介。

警告! WordPress旧版は簡単に乗っ取られる―即刻アップデートを
(この記事の元記事はコチラ→Old WordPress Versions Under Attack

これによると、

あなたがWordPressのユーザーなら次の2点に注意すること。ブログが乗っ取られている証拠だ。
まず、パーマリンクに奇妙なコードが付加されている。たとえば、

example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/.

キーワードは“eval”と“base64_decode”だ。
第2に、「隠されたバックドアー」に注意すること。不審な管理者が設定されていないかチェックする。“Administrator (2)”や見慣れない名前の管理者が登録されていないか調べること。

とあります。Wordpressで旧バージョンを使っているユーザーは即、チェックした方が良さそうです。また、Wordpress、FTP、データベースなどの関連するもの全てのパスワードを変更しておくべきだとも指摘されています。

旧バージョンのユーザーは急ぐべし!

WordPress 2.8.2がリリースされました

WordPress 2.8.2 日本語版リリースのお知らせ

WordPress 2.8.2 では XSS の脆弱性を修正しています。コメント投稿者の URL が完全にサニタイズされずに管理画面に表示されていました。これは悪用されると、管理画面から別のサイトへリダイレクトされる可能性があります。

パパログでも以前、クロスサイトスクリプティングって何だろうってのは少し触れてましたので、これは置いといて、今回は「サニタイズ???」って感じでしたので、調べてみました。

簡単に言うと、危険な文字列を含む「汚染された」入力から危険な文字を取り除き、無害化することだそうです。

ほー、っと思うのもつかの間、もう少し調べている間に「サニタイズ」という言葉に関する別の記事も見つけたので紹介。

続・「サニタイズ言うなキャンペーン」とは

よく分からなくなってきたので、ここら辺で流しときます^^;

とりあえず、先日アップグレードさせたばかりの各サイトのWordpressですが、またもアップグレードさせる羽目に。

こんな時の自動アップグレード機能。やっぱラクチンです^^

しかし、feelin'goodだけが、自動で出来ず、何度もインストール失敗してくれやがるので、結局手動にてアップグレード。。。