数日前からワードプレスに深刻な脆弱性があるとの事で自動更新のお知らせがひっきりなしで・・バージョンもあれよあれよと言う間に4.21に。一体何があったのか詳しく調べてみた

ワードプレスの自動更新しましたメールが頻繁に届く

数日前から「ワードプレスを自動更新しました」・・とバージョンが若干古い（それでも4.0以上）ブログの通知が届くようになり、それが日に2回くらいの頻度で、4.01→4.02→4.03・・と小刻みに自動更新でバージョンの通知が届くように・・そこまでやるならガーっと！最新版にしてくれよ
古いWPブログだからバージョンアップなんだろうと思いきや・・最新の4.2を使っていたブログも4.21が登場するやいなや・・いきなり自動更新のお知らせが・・

ワードプレスに何があった！？

結局の所、何か緊急性がある問題が起きたんだろうなと調べてみた結果・・
WordPress 4.2、4.1.2、4.1.1、3.9.3の各バージョンに
クロスサイトスクリプティング（XSS）の脆弱性
・・えーっとよくわからないけど、新旧の全バージョンに問題があるって事らしい

クロスサイトスクリプティング（XSS）って？

ユーザーが入力した情報をエコーバック（オウム返し）してアプリケーションが生成される際に、その合間をぬって外部から悪意のあるスクリプトを注入する攻撃法。主に入力フォームに起きる問題らしい
例えば、HTMLタグを利用可能なフォーム等の場合、それを転送する際に、HTMLエスケープ（タグを記号化）という処理が行われない場合、そのままHTMLファイルとして認識されるため、そこに悪意のある動作を実行するスクリプトなどを使われると・・

• クッキーの値を取得される＝クッキーの上書き
• CSRF（クロスサイトリクエストフォージェリ）でクッキーが取得できないケースだと・・
  • 掲示板に意図しない書き込み等される
  • オンラインショップで物を買わされる
  • ルーター等の設定を変更させられる
• CSSのインポート機能で不正データをアップロードされる
• ページ構造の置き換えでフィッシングに利用される
• フォームの送信先を変更される

知れば知るほど絶望しか見えてこない・・
この被害の大きな問題は「加害者」は第三者であり
悪意のない「被害者」を生む原因がワードプレスブログ「運営者」になるという点

結局何をどうすればいいの？対策は？

バージョン4.12の公開が4/21、そして4/23日にバージョン4.2。これはスケジュールどおりの公開なのかわからないけれど、基本メジャーアップデートは落とし穴が多いので、4.21のマイナーアップグレードが出るまで様子見・・とか思ってたら・・本日4.21に自動更新のお知らせが・・
問題に対する対策・・を施したバージョンでまだ問題があるの・・ハッカーがそれほど凄いのか、WPのシステム構造がもはや建て直しができないほどザルなのか・・ワードプレス本体の仕組みの脆弱性という事で、ユーザーが唯一できるのは、自動更新をONにしてメジャーアップデートには落とし穴があると覚悟しながらでも最新版にしていく事しかないだろう
・・4.21で止まればいいけど、4.22、4.23・・
もしかしたら、いきなり4.3！？なんて可能性も
必要な情報の入力を終えたら、ブログを閉じる際にログアウトしておくのも大切なポイント。それひとつで防げる可能性が増えるのならめんどくさがらず意識して取り組もう