WP-Optimizeは、Wordpressの代表的な高速化プラグインです。データベースの最適化、画像の圧縮、キャッシュ設定機能が出来るプラグインです。
このWP-Optimizeに重大な脆弱性が発覚しました。
プラグインを自動更新にしていないWebサイト管理者様は、早急に最新のWP-Optimizeにアップデートしてください。
当社制作Wordpressサイトでの利用
データベース最適化の為にインストールしています。
WordPress保守サービスを利用している場合や、定期的に更新依頼いただいている場合は、DBのバックアップとセットで、データベース最適化を行っています。
脆弱性の概要
WP-Optimize4.5.2以下には、Authenticated (Author+) Arbitrary File Deletion via "original-file" Post Metaの脆弱性があります。
この脆弱性は、認証されたユーザーで投稿者(Author)以上の権限を持つユーザーが、任意のファイルを削除できるという脆弱性です。
悪用されるとサイトの重要なファイルを削除して、サイトの機能を停止させる可能性がございます。
WordPressの投稿者権限付与に伴うセキュリティリスクについて
現在報告されている一部のWordPress脆弱性では、ログイン済みユーザー(Author権限以上)による不正操作が可能となるケースが確認されています。
そのため、関係者へWordPressの投稿者権限(Author権限)を付与し、一部コンテンツ管理を委任している環境では、以下のようなリスクが発生する可能性があります。
- 関係者アカウントのパスワード漏洩
- マルウェア感染端末からの不正ログイン
- 退職者・委託先アカウントの管理不備
- 第三者によるアカウント乗っ取り
WordPressサイトの乗っ取りの危険性もあります。
この脆弱性を利用して、WordPressの設定ファイル(wp-config.php)が削除された場合、WordPressが未設定状態として扱われ、初期設定画面を再度実行できてしまう可能性があります。この状態を悪用された場合、第三者によって新たな管理者アカウントが作成され、WordPressサイトを乗っ取られる危険性があります。サイト管理権限を取得されることで、以下のような被害へ発展する可能性があります。
- サイト改ざん
- 不正ファイルの設置
- フィッシングサイトへの悪用
- マルウェア配布
- 権限範囲内でのサーバー内ファイルの閲覧や不正利用
各種発表
対象のWP-Optimize
- WP-Optimize4.5.2以下
必要な対策
サイト保守サービス及び共用サーバーマネージドプランご利用のお客様
当社でアップデート済です。
それ以外のお客様
左メニュー「プラグイン」に移動し、WP-Optimize が4.5.2以下ならば「更新」の表示があるのでクリックして更新してください。
アップデートする事による影響
このプラグインは、ウェブサイトの表示・管理機能に影響するプラグインでは無い為、影響は無いと思われます。