Automattic
大手ブログサービス WordPress.com を運営する会社。
2011年4月13日,同社のサーバ数台にrootレベルの不正アクセスがあり,ソースコードなどの情報が流出した恐れがあると発表。
サーバに置かれていたあらゆる情報が流出した可能性があるが,ソースコードについてはコピーされた形跡があるという。
WordPress
PHP で記述されたオープンソースのブログ作成ソフト,Automattic 社が運営する。
サイト:http://wordpress.org
2007年10月29日,Secunia はクロスサイトスクリプティングの脆弱性が発見されたと発表。
ブラウザセッション中に任意の HTML とスクリプトコードを実行することが可能になる脆弱性で,攻撃には『register_globals』が有効であることが必要。
脆弱性は v2.3 で確認されており,他のバージョンでも影響を受ける可能性がある。
回避策は v2.3.1 へのアップデート。
2009年8月11日,SANS Internet Storm Center は未解決の脆弱性が報告されたと発表。
問題を悪用すると,リモートのユーザーが管理用パスワードをリセットできてしまう。
2009年9月8日,開発チームは,脆弱性のあるバージョンの WordPress を狙ったワームが出現し,感染を広げていると警告。
問題のワームは旧バージョンの WordPress にある脆弱性を突いてリンク経由で不正コードを実行させ,ユーザーが知らないうちに,過去の投稿記事にスパムやマルウェアを仕込んでしまうという。
最新バージョンの 2.8.4 では脆弱性が修正されている。
2010年3月3日,リアルタイムフィードのためのプロトコル『PubSubHubbub』をサポートしたと発表。
2010年4月,セキュリティ企業各社はこれを使っていたブログが大量にハッキングされる事件が発生したと発表。
ブログ閲覧者を悪質な Web サイトへリダイレクトしてしまう。
2011年6月,これ向けの人気プラグインに悪質なコードが仕込まれているのが見つかった。
『AddThis』『WPtouch』『W3 Total Cache』の各プラグインから,巧妙な手口で隠されたバックドアが見つかっている。
問題の発覚を受けて,これらプラグインは提供を中止するとともに,アップデートをプッシュ配信する措置を取った。
バックドアを仕込んだのは各プラグインの作者ではないと開発チームは見ている。
WordPress 2.5
2008年4月,2件の深刻な脆弱性が発見された。
問題を悪用するとクロスサイトスクリプティング(XSS)攻撃を仕掛けたり,セキュリティ制限を回避したりできるほか,システムを乗っ取ることも可能になる。
WordPress 2.5.1
2008年4月に公開された,脆弱性を解消したアップデート版。
70件以上のバグも解消。
WordPress 2.6 開発コード『Tyner』
2008年7月15日公開。
誰がいつ,どの書き込みにどんな変更を加えたかが一目で分かり,間違った場合にもとのバージョンへと簡単に戻ることができる『Post Revisions』機能が追加された。
ほか,Web アプリケーションをオフラインで利用するためのプラットフォーム Google Gears への対応,テーマプレビュー機能,複数のプラグインの一括管理機能などが追加され,約194個のバグが修正された。
WordPress 2.6.2
2008年9月公開の修正版。
脆弱性は複数存在し,ブログでオープンレジストレーションを有効にしている場合,攻撃者がユーザーのパスワードをリセットすることができてしまう。
また,PHPの『mt_rand()』機能の脆弱性では,ユーザーが新しく作成したパスワードを攻撃者が予測できてしまう可能性がある。
WordPress 2.6.5
2008年11月26日公開のセキュリティ問題を修正した版。
クロスサイトスクリプティングの脆弱性とバグ3件を修正。
クロスサイトスクリプティングの脆弱性は wp-includes/feed.php に含まれるもので,RSS フィードが生成されると悪意ある JavaScript を仕掛けられる可能性がある。
WordPress 2.7 コードネーム『Coltrane』
2008年12月11日公開。
管理画面インタフェースが新しくなった。ダッシュボードではドラッグ&ドロップでメニューの並び替えができ,『QuickPress』機能を使うとダッシュボードからコメントの投稿が簡単に行える。
WordPress 2.8 開発コード『Baker』
2009年6月11日公開。
180に上る新機能や修正を行い,790のバグをフィックスした。
スタイルシートとスクリプトの扱い方を変更し,大幅な高速化を実現したほか,テーマのアップデート機能をプラグインと同様に,ディレクトリを閲覧して気に入ったテーマを1クリックでインストールできる。
テーマやプラグインを編集するエディタ『CodePress』で関連構文が強調表示されるようになった。
WordPress 2.8.1
2009年7月9日公開。
プラグイン管理ページのセキュリティを強化などが盛り込まれた。
それ以外にも,Dashboard のメモリ消費問題や自動アップグレードでファイルが削除されてしまう問題など,多数のバグが修正している。
WordPress 2.8.2
2009年7月20日公開の修正版。
脆弱性は管理者サイトに表示されるコメントオーサー URL のチェックが不十分なことに起因し,悪用されると,管理者が別のサイトにリダイレクトされてしまう恐れがある。
WordPress 2.8.4
2009年8月12日公開の修正版。
WordPress 2.8.5
2009年10月20日公開のセキュリティ強化版。
トラックバックに関するサービス妨害(DoS)の脆弱性に対処した。
ほかコードの内容やファイルアップロード機能に変更を加えてセキュリティの強化を図り,WordPress を利用している全サイトのアップデートを呼び掛けている。
WordPress 3.0.2
2010年11月30日公開。
いくつものセキュリティ脆弱性に対処した。
WordPress 3.1.3
2011年5月公開。
セキュリティ面で複数の修正や改善を施している。
WordPress 3.1.4
2011年6月29日公開の修正版。
悪意を持った編集者レベルのユーザーが,サイトに対しより深いアクセスを得てしまいかねない問題を修正した。
WordPress 3.2
2011年7月4日公開。
コンテンツの執筆中,必要最小限のユーザー インターフェース要素だけを残すことができる。
WordAds
2011年11月29日に WordPress に追加されたと発表された,ブロガーが広告掲載で収入を得られる機能。
広告の掲載先は,トラフィックやエンゲージメント,コンテンツのタイプ,言語に基づいて選択される。
WordPress.com
大手ブログサービス。
2011年3月3日,大規模な分散側サービス妨害(DDoS)攻撃を受けたと発表。
攻撃の規模は数 Gbps 級で,毎秒何千万ものパケットが送り付けられた。
timthumb.php
WordPress で広く使われている画像サイズ変更ユーティリティ。
2011年8月,未解決の脆弱性があり,同ユーティリティを使ったブログがハッキングされていると警告された。
Widgetifyr
任意の PHP コードを Wordpress のウィジェットに変換してくれるツール。
サイト:http://widgetifyr.com
戻る 英語『W』,最初のメニュー