WordPressのソースコードに不正改ざん、クラッカー侵入が原因

[ITmedia]

　オープンソースのブログ作成ソフト「WordPress」のサーバが不正アクセスを受け、バージョン2.1.1のソースコードに危険な改変が加えられたことが明らかになった。開発チームは3月2日付のブログを通じてこの事実を明らかにし、早急に新バージョンにアップグレードするよう呼び掛けている。

　WordPress開発チームがWordPress 2.1.1をリリースしたのは2月21日のこと。ところが米国時間3月2日の朝、WordPressのセキュリティ情報用メーリングリストに「WordPressに、異常かつ重大なセキュリティホールになりうるコードが含まれている」という投稿が寄せられたという。

　同チームが調査したところ、wordpress.orgのサーバの1台が不正アクセスを受け、WordPress 2.1.1のオリジナルコードに改変が加えられたことが判明した。少なくとも2つのファイルが改ざんされ、リモートからPHPコードの実行を許す形に変更されていたという。

　改ざん版WordPressが公開されていたのは「この3〜4日の間」。この期間中に2.1.1パッケージをダウンロードしていた場合は、早急に修正版のバージョン2.1.2にアップグレードし、ファイルを上書きするよう推奨している。

　また管理者に対しては、「theme.php」「feed.php」というホストに対するアクセス制限を行い、「ix=」「iz=」といった文字列を含んだリクエストをブロックすることを勧めている。

　なお、日本語版Webサイトで公開されているMEパッケージのベースファイルは「1カ月以上前に本家からダウンロードしたもので、2.1.1へのパッチは2月22日に適用」しているという。おそらく問題はないと思われるが、ME 2.1.2のフルパッケージも提供されている。

　Netcraftではこの件について「PHPベースのブログやCMSアプリケーションは、公開された脆弱性のパッチが適用されていないシステムを悪用しようと考えるハッカーにとって人気の高いターゲットになっている」と指摘。開発サーバが侵害を受け、改ざんされたコードを配布することにより、ユーザーをクラッカーの危険にさらしたという意味でより深刻な問題だとコメントしている。