BackWPupは、Wordpressの代表的なバックアップ用プラグインです。当社制作のWebサイトでも以前は標準でインストールしていました。(現在はインストールしていません)
DB及び"wordpressのバックアップを簡単に、また定期的に自動でバックアップできる為、利用しているお客様も多いと思われます。
このBackWPupに重大な脆弱性が発覚しました。
プラグインを自動更新にしていないWebサイト管理者様は、早急に最新のBackWPupにアップデートしてください。
脆弱性の概要
BackWPup5.6.6以下には、Authenticated (Administrator+) Local File Inclusion via ‘block_name’ Parameterの脆弱性があります。
この脆弱性を悪用された場合、特定の条件下で認証された管理者以上の権限を持つユーザーが、ローカルファイルを不正に読み込むことができる脆弱性です。
悪用されると管理画面にログインされた場合に、サーバー内の情報が不正に閲覧される可能性があるものです。通常の利用ですぐに被害が出るものではありませんが、第三者による不正アクセスと組み合わさると、情報漏えい恐れが・さらなる攻撃の足掛かりとなる恐れがあります。
この脆弱性は、プラグインの特定の機能が不適切に実装されていたことが起因しています。特に、バックアップやリストア機能を提供するプラグインは、データの安全性に直結するため、早急にアップデートしてください。
各種発表
以下のサイトで、この脆弱性についての詳しい情報が記載されています。
対象のBackWPup
- BackWPup5.6.6以下
必要な対策
サイト保守サービス及び共用サーバーマネージドプランご利用のお客様
当社でアップデート済です。
それ以外のお客様
左メニュー「プラグイン」に移動し、BackWPup が5.6.6以下ならば「更新」の表示があるのでクリックして更新してください。
アップデートする事による影響
このプラグインは、ウェブサイトの表示・管理機能に影響するプラグインでは無い為、影響は無いと思われます。