WordPressの人気のアクセス解析プラグイン「WP-Slimstat」に深刻な脆弱性が発見されました。ご利用中の方は至急最新バージョンへのアップデートしてください。放置するとサイトが乗っ取られる危険性までがあります。
どれくらい危ないか
Security Advisory – WP-Slimstat 3.9.5 and lower | Sucuri Blogなどによると、最新バージョンではないWP-Slimstatを利用には、ブラインドSQLインジェクションに利用可能な重大なバグがあったようです。
最新バージョンではないWP-Slimstatを利用には、ブラインドSQLインジェクションを可能にするような重大なバグがあったようです。
ブラインドSQLインジェクション攻撃に晒されると、WordPressデータベースから、ユーザーネームやパスワードはもちろんのこと、WordPress Secret Keysまで盗まれかねません。
そうなると、最悪の場合、サイトが乗っ取られてしまいます。
原因
WP-Slimstatがデータベースにアクセスする際に使うキーは、プラグインのインストール時のタイムスタンプから作られます。
ところが、タイムスタンプのうち年を表す部分は、サイトが立ち上がった年と一致することが多いです。
サイトが立ち上がった年は、Internet Archive: Digital Library of Free Books, Movies, Music & Wayback Machine等を見て、簡単に推測できます。
すると、タイムスタンプのうち年を表す部分は、かなりの高確率で正確に把握することが可能です。
タイムスタンプのうち都市以外を表す部分の組み合わせは約30万通り。
この30万通りを全て試すのに、モダンなCPUでは、10分ほどしか掛からないらしいです。
対処
WP-Slimstat をお使いの方は、一刻も早く最新バージョンに更新してください。それしかありません。
更新少なめで放置気味のサイトもしっかりチェックしたほうがいいですね。
WordPressはクラッカーにとって格好のターゲット
私は、以前運営していたサイトでWP-Slimstatを使っていたのですが、うだつの上がらないサイトで既にやみに葬り去っていましたので、今回は影響を受けませんでした。ラッキーでした。
ただ、以前に人気プラグインJetpackでも怖い攻撃が起きています。
WordPressには、利用者が多いためにクラッカー(悪いハッカー)のターゲットになりやすい、という欠点があるので、セキュリティ情報には敏感になりたいものです。
最後に
確定申告が終わるまでは備忘録的にその関連エントリを更新し続けるつもりでしたが、WordPressでブログを書く者として背筋が凍るニュースが来たので緊急速報を書きました。
このあと再び確定申告作業に戻ります。備忘録書きながらだと、嘘みたいに時間がかかる…