昨日あたりから話題になっていたPHPMailerの脆弱性。Wordpressでサイトを運営している人には、かなりヒヤリとするニュースでもあったけど、Wordpressは実際このシステムを使用しているものの影響は無いらしい...と言う見解の記事が幾つか出て来て、ほっ...
Secutity Next
「PHPMailer」の脆弱性、「WordPress」などでは悪用できず
「WordPress」のコアに存在するファイルにも「PHPMailer」に由来するコードが含まれていることが判明しているが、同問題に対して「WordPress」のセキュリティチーム関係者は、コア部分で提供されている関数「wp_mail()」を利用している限り、今回公開された脆弱性の影響を受けないとコメント。
ただし、「PHPMailer」を独自に導入しているケースや、プラグインが関数を誤って利用している場合は影響を受けるおそれがあるとしている。今後リリースする予定の「同4.7.1」では、今回の問題に対する緩和策についても追加する予定。
他のバグFixも含めてWP4.7.1の到着を待ちわびているんだけど、この記事によれば、WPは関数の関係で影響は受けないものの、用心に用心を重ねてPHPMailerの脆弱性対策がWP4.7.1で更にとられるようです。
しかし、これはWordpressのコアの話で、プラグインではどうなるの? と言う事が気になる人も多い筈で。
特に非常にメジャーなメールフォーム・プラグインとして”Contact Form 7”がある。先日、自サイトにPHP7.1を採用するにあたり、Jetpackのメールフォームがその環境ではエラーを吐く為、”Contact Form 7”を再導入する事になったけど、このプラグインに関する見解は以下の2つの記事を参考にして下さい。
PHPMailerの脆弱性CVE-2016-10033はWordPressにどの程度影響するのだろうか
PHPMailerの脆弱性CVE-2016-10033について解析した
”Contact Form 7”自体はWP4.7に同梱されてる5.2.14と言う脆弱バージョンを利用してるものの、Senderプロパティが設定されてない為、今のところは大丈夫...と言う感じか?
WPの4.7.1アップデートが来て、セキュリティ強化がされてます。
自サーバーがあるさくらからも、注意喚起が来ています。
先に紹介した記事の見解通り、特殊なプラグインでも入れてない限りWPには影響は少ないと思ってるけど、しかし、さくらもWordpress4.7にすぐアップデートするように書いてます。
...と言うか、未だにWP4.7の記事に人が来るんだけど、忙しくてアップデート出来なかった...とか言うならそれはすごく理解できる。しかし、ネットの中には変な神話みたいなのがあって、Windowsのアップデートの時にもよく聞く話だけど、アップデートが来た直後はバグ出やすいから、様子見で暫くアップデートをしない方が良い...とか。
しかし、これだけ脆弱性が日夜見つかる時代、それに早急に対処していく事は本当に大事な事で、アップデートのバグとセキュリティの問題を天秤に掛けて、セキュリティよりもアップデートのバグの方を警戒する...とか、既にナンセンスな話の筈で。
だから、4.7へのアップデートが遅れてる人は、早くアップデートを済ませた方が良いと思います。