btmup 関連のサイトに使ってる WordPress のバージョンを、2.8.4 に上げました。
何だか今回のバージョンアップはこれまでのものと趣が違ってますね。
WordPress 公式ブログの記事を筆頭に、色んなところで「安全に WordPress を使いたかったら一刻も早く 2.8.4 へアップデートしなさい!」的な記事がアップされています。
- WordPress | 日本語 » WordPress を安全に使い続ける方法
- 警告! WordPress旧版は簡単に乗っ取られる―即刻アップデートを
- WordPress 2.8.4未満を使用している場合は要アップデート | コリス
- 『WordPress』旧版にワーム感染のおそれ - japan.internet.com Webテクノロジー
上記の記事で紹介されているところによると、以下のような点に注意すべきとのこと。
あなたがWordPressのユーザーなら次の2点に注意すること。ブログが乗っ取られている証拠だ。
まず、パーマリンクに奇妙なコードが付加されている。たとえば、
example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/.
キーワードは“eval”と“base64_decode”だ。
第2に、「隠されたバックドアー」に注意すること。不審な管理者が設定されていないかチェックする。“Administrator (2)”や見慣れない名前の管理者が登録されていないか調べること。
いつもは「バージョンアップしましたからアップデートしてね」くらいの、単なるプレスリリースでしか無かったと思うんですけど。
今回はそれだけ危ないセキュリティホールが見つかったということなんでしょうか。
まぁよく分からないんですが、放ったらかしにしとくのも怖いのでとりあえずアップデートしといた方が良いでしょうね。
2.8 に上がってからだいぶ時間も経ってますから、「プラグインが効かない!」なんてことも少ないかと。
(僕のは今のところ大丈夫っぽいです)
あ、アップデートするときはバックアップをお忘れなく。
タカをくくったときほど事件は起きたりしますから。
»WordPress のバックアップ - WordPress Codex 日本語版
それでは皆様、ご安全に!
−+−+−+−
「2.8.4 にアップデートしないことがどれだけ危険か」ということを切々と書いている WordPress.org のブログですが、ソースを見たら衝撃の事実が。
なんと、バージョン 2.6 !!
こういうのを見てしまうと、どれだけ力説されても説得力に欠けますよね……。
なんだかなぁ……。
ちなみに、本家の方のバージョンは「WordPress 2.9-rare」でした。
何だ、「rare」って。