われわれはWordPressの旧版にはセキュリティー上の重大な脆弱性があるという報告を多数聞いている。WordPressは最大のブログ・エンジンの一つだ。最新のバージョン2.8はすでに531万7360回ダウンロードされている。われわれTechCrunchを含め、多くの大規模なブログがWordPressをブログ・プラットフォームとして利用している。

しかし、WordPress専門ブログでLorelleは次のようにハッカーによる乗っ取りについて警告している。

あなたがWordPressのユーザーなら次の2点に注意すること。ブログが乗っ取られている証拠だ。

まず、パーマリンクに奇妙なコードが付加されている。たとえば、

example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/.

キーワードは“eval”と“base64_decode”だ。

第2に、「隠されたバックドアー」に注意すること。不審な管理者が設定されていないかチェックする。“Administrator (2)”や見慣れない名前の管理者が登録されていないか調べること。

この乗っ取り攻撃を防ぐために、即刻WordPressを最新版にアップデートする必要がある。またすべてのパスワードを変更しておくこと。パスワードをpasswordにしておくなどは論外。WordPressブログへの全ユーザーのアクセス用パスワードだけでなく、データベース、FTP、コントロールパネルなどのパスワードも同時にすべて変更しておくことが強く推奨されている。

, WordPressの親会社、Automatticはこの件に関してまだコメントを出していない。Automatticから何か発表があればすぐにアップデートする。当面、WordPressユーザーには即刻最新版にアップデートするよう重ねてお勧めする。

アップデート：WordPressの開発者でAutomatticのファウンダー、Matt Mullenwegと連絡がついた。Mullenwegは次のようにコメントした。「Automatticは〔オープンソフトウェアである〕WordPressの親会社ではない。AutomatticはWordPress.orgへの協力企業の1社だ」。またMullenwegはWordPressを安全に運用するための方法についてブログ記事を公開している。

(Image via Developer Tutorials)

[原文へ]

（翻訳：滑川海彦/namekawa01）