CentOS7で何も考えずにWordPressを使うとセキュリティホールが開く


このブログが置いてあるサーバーでの話です。そのサーバー上には6つのサイトがありますが、先日、7つ目を作成しようとしている時に気が付いたので記しておきます。この内容は、先日、私の会社で発行したメルマガと私が行っているライブ配信でお知らせした内容と同一になります。本来は会社の方のブログに書くべきではありますが、メルマガ会員の方と差別化するために個人のブログに書きます。

WordPressは同時に多くのバージョンが保守されており、比較的古いバージョンでもセキュリティリリースが出るため安心して使う事が出来ます。その為、多分、古いバージョンのWordPressを自動更新しつつ使い続けている方も多いかと思います。そういう私もそうでした(過去形)

さて、本題に入る前に前提条件を列挙しておきます。

  1. CentOS7に標準で入るPHPは5.4である
  2. PHP5.4自体は保守終了しているが、CentOS7の方は2024年6月末まで保守が続く
  3. WordPressは5.2からPHPの最低バージョンを5.6に変更した
  4. WordPressは5.5からPHPの最低バージョンを7.2に変更予定

ここのサーバーは2.の条件があるのでPHP5.4のままでWordPress5.1を使っていました。WordPress本体は自動更新しつつプラグインも適宜最新版に更新していました。正確に言えば「最新版に更新しているつもりでした」ですね。

7つ目のサイトを作成する時に、WordPress本体は5.1.6(5.1系の最新バージョン)をダウンロードして導入しました。そして、他のサイトでも使っているプラグインを導入しようとしたところ…

「このプラグインは現在使用中のWordPressのバージョンでは動作しません」とか「このプラグインは現在使用中のWordPressとPHPのバージョンでは動作しません」のメッセージと共に「インストール不可」になっていました。

えっ!

そうなんです。従来のここのサーバーの環境では「プラグインを最新版に更新できない」のです。これは全くの想定外でした。が、よく考えれば判りますよね。何故なら、WordPress5.2からPHP5.6以上でないと動作しなくなった事を考えれば、プラグイン制作者はPHP5.6の環境で開発する事が推測されるわけです。と同時にWordPressは5.2が最低バージョンに自動的になるわけです。開発リソースを考えれば、それより下のWordPressは対応されないのは自明です。

という事は、WordPressとしては5.2系以前のものも保守されていてもプラグインが保守されないため、本体のセキュリティホールは埋められてもプラグインのセキュリティホールは埋められないわけです。

結果として、従来のここの環境ではセキュリティホールが見つかっても塞がれないままの状態になっている可能性があったという事です。なんと恐ろしい事でしょう。

まあ、ここのサーバー上のサイトは全て外部からWPScanでチェックしていて脆弱性がない事を一応は毎日確認しているので、それを信じれば恐ろしい事に気が付いた段階では問題はなかった事になります。それは不幸中の幸いでしょう。

しかしながら、多くのウェブ制作会社でもここと同様にVPS(Virtual Private Server)に多数の御客様のサイトを収容している事が多い事。そして、ウェブ制作会社のエンジニアはサーバーについての知識が浅い事を考慮すると、PHP5.4の環境でWordPressを動かし続けている可能性は否定できず、そして、プラグインも古いまま放置されている可能性も否定できない状況です。そこで、この情報を急遽、広く告知する事に決めました。あと、ウェブ制作業界にはWPScanを拒絶するプラグインを入れておけば安心みたいな風潮がある事も告知するきっかけとなりました。

一応記しておきますが、この事態を発見したのは2020年7月8日で、15日発行のメルマガ、15日のライブ配信でお知らせしました。そして本日(20日)ブログに纏めた次第です。

尚、ここのサーバーは18日未明にPHPを7.4に変更し、収容している全てのサイトのWordPressを5.4にEC-CUBEを2.17へ変更しました。事前の調査と御客様への告知(PHPを一旦全削除するため)を行う関係上、発見してから10日ほどの時間を要しました。皆様も早急に対応される事を強くお勧めします。


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です