先日、レンタルサーバーの契約をしているさくらインターネットからWordPressのプラグインに脆弱性があるよー対応してねーというメールがきました。
さくらインターネットでWordPress環境を構築している方でこのメールが来ている方いらっしゃるんじゃないでしょうか?( ゚д゚ )
【脆弱性対応の内容】
WordPressのプラグインにおける脆弱性対応のご案内
****************************************************************
本件は「2013年1月15日」時点で脆弱性が確認されたお客様への
ご案内となります。
すでに対応を完了されております場合はお見捨ておきください。
****************************************************************
さくらインターネット カスタマーセンターです。
平素より弊社サービスをご利用いただきありがとうございます。
本メールは「さくらのレンタルサーバ・さくらのマネージドサーバ」を
ご契約中で「WordPress」及び【timthumb.php】が含まれるテーマ
プラグインを利用されているお客様へのご案内となります。
「WordPress」には様々なテーマプラグインがインターネット上で配布
されておりますが、その中に【timthumb.php】というプログラムを
含んでいるものがございます。
今回【timthumb.php】に関する脆弱性が報告されており、悪意のある
第三者よりその脆弱性を利用して「WordPress」へのアクセスが不正に
行われ、悪質なプログラムを設置される事により、お客様の意図しない
メール送信が行われているケースが多く見受けられます。
このような被害を未然に防止する為にも、一度ご契約いただいている全て
のサーバにおいて「WordPress」のバージョンをご確認ください。
また、「WordPress」が過去のバージョンである場合は最新バージョンへの
アップデートの実施いただくと共に、テーマプラグインもご利用の場合は
【timthumb.php】の有無をご確認のうえ、最新版へのアップデートもしくは
【timthumb.php】の削除をお願いいたします。
以下、WordPress のプラグイン「TimThumb Vulnerability Scanner」を
用いた対応手順をご案内いたします。よろしければご参考ください。
(ご注意)
・本メールに記載の手順は最新版の WordPress、及び弊社にて提供
しているPHPを組み合わせて使用されていることを前提としております。
・古いバージョンのWordPressや独自のPHPを使用されている場合は
アップデートに失敗することもございます。この手順を実施することに
よって生じた損害に関しまして、弊社ではいかなる責任も負いかねます。
あらかじめご了承ください。
------------------------------------------------------------------
■ プラグインインストール手順
・管理画面へログイン
・左側のメニューより、プラグインの中の、新規追加をクリック
・検索窓へ「TimThumb Vulnerability Scanner」と入力し、プラグ
インの検索をクリック
・一番上に「Timthumb Vulnerability Scanner」が出てくるので、今
すぐインストールをクリックする
・インストールしますか?と出るので、「OK」を押す
・インストール完了の画面が出るので、プラグインを有効化をクリッ
クする
------------------------------------------------------------------
■ ツール使用手順
・左のメニューのツールより、Timthumb Scannerをクリック
・Scanをクリックし、スキャンを開始させる
・スキャンが完了後、Scan Resultに結果が出るので、Statusが
「Vulnerable」が出ているものにチェックを付ける
・Upgrade Selected Filesをクリックし、アップデートさせる
・Scan completed. と出力され、チェックしたファイルの
Statusが「Up to Date」となっていることを確認
------------------------------------------------------------------
ご不明な点やご質問等ございましたら、本メール返信にてお問い合わせ
ください。
------------------------------------------------------引用ここまで
どうやら「timthumb.php」というファイルに脆弱性があってそこを突かれてあなたのサーバーが踏み台にされてメール送ったりされますよーってことですね( ゚д゚ )
簡単そうなのでさくっと対応をしてみました。
【対応方法】
※作業をする前にWordPressのバックアップを録ることをおすすめします。
まずプラグインを導入します。
プラグインを「TimThumb Vulnerability Scanner」で検索します。
ヒットしたらこのプラグインをインストールしましょう。
プラグインを有効化します。
今回いれたプラグイン「TimThumb Vulnerability Scanner」は管理画面のツールから起動します。
ツールを起動したらスキャンをします。
スキャンした結果、「Vulnerable」という項目が出ていないかチェックしましょう。
出た場合、脆弱性のもととなるファイルのバージョンが古いのでアップデートします。
ここまで出来たら作業は完了です。
このプラグインを使うと簡単ですね。
いかがでしょうか。
細かいことはよくわからないんですが、今回の作業は5分もかからずできました。
脆弱性の対応のためにもやっておきましょう(´∀`)
ではまた!