［脆弱性対策］さくらインターネットでWordPressを構築してる人へ

先日、レンタルサーバーの契約をしているさくらインターネットからWordPressのプラグインに脆弱性があるよー対応してねーというメールがきました。

さくらインターネットでWordPress環境を構築している方でこのメールが来ている方いらっしゃるんじゃないでしょうか？( ﾟдﾟ )

【脆弱性対応の内容】

WordPressのプラグインにおける脆弱性対応のご案内

****************************************************************
本件は「2013年1月15日」時点で脆弱性が確認されたお客様への
ご案内となります。
すでに対応を完了されております場合はお見捨ておきください。
****************************************************************

さくらインターネットカスタマーセンターです。
平素より弊社サービスをご利用いただきありがとうございます。

本メールは「さくらのレンタルサーバ・さくらのマネージドサーバ」を
ご契約中で「WordPress」及び【timthumb.php】が含まれるテーマ
プラグインを利用されているお客様へのご案内となります。

「WordPress」には様々なテーマプラグインがインターネット上で配布
されておりますが、その中に【timthumb.php】というプログラムを
含んでいるものがございます。

今回【timthumb.php】に関する脆弱性が報告されており、悪意のある
第三者よりその脆弱性を利用して「WordPress」へのアクセスが不正に
行われ、悪質なプログラムを設置される事により、お客様の意図しない
メール送信が行われているケースが多く見受けられます。

このような被害を未然に防止する為にも、一度ご契約いただいている全て
のサーバにおいて「WordPress」のバージョンをご確認ください。

また、「WordPress」が過去のバージョンである場合は最新バージョンへの
アップデートの実施いただくと共に、テーマプラグインもご利用の場合は
【timthumb.php】の有無をご確認のうえ、最新版へのアップデートもしくは
【timthumb.php】の削除をお願いいたします。

以下、WordPress のプラグイン「TimThumb Vulnerability Scanner」を
用いた対応手順をご案内いたします。よろしければご参考ください。

(ご注意)
・本メールに記載の手順は最新版の WordPress、及び弊社にて提供
しているPHPを組み合わせて使用されていることを前提としております。

・古いバージョンのWordPressや独自のPHPを使用されている場合は
アップデートに失敗することもございます。この手順を実施することに
よって生じた損害に関しまして、弊社ではいかなる責任も負いかねます。
あらかじめご了承ください。

------------------------------------------------------------------
■ プラグインインストール手順
・管理画面へログイン
・左側のメニューより、プラグインの中の、新規追加をクリック
・検索窓へ「TimThumb Vulnerability Scanner」と入力し、プラグ
　　インの検索をクリック
・一番上に「Timthumb Vulnerability Scanner」が出てくるので、今
　　すぐインストールをクリックする
・インストールしますか？と出るので、「OK」を押す
・インストール完了の画面が出るので、プラグインを有効化をクリッ
　　クする
------------------------------------------------------------------
■ ツール使用手順
・左のメニューのツールより、Timthumb Scannerをクリック
・Scanをクリックし、スキャンを開始させる
・スキャンが完了後、Scan Resultに結果が出るので、Statusが
　　「Vulnerable」が出ているものにチェックを付ける
・Upgrade Selected Filesをクリックし、アップデートさせる
・Scan completed. と出力され、チェックしたファイルの
　　 Statusが「Up to Date」となっていることを確認
------------------------------------------------------------------