WordPressのプラグイン「Yet Another Related Posts Plugin(YARPP)」に脆弱性があるってことで

  • このエントリーをはてなブックマークに追加

yarpp_big

関連記事を表示してくれる、WPの便利なプラグイン、「Yet Another Related Posts Plugin(YARPP)」に脆弱性が発見されたとのこと。

Yet Another Related Posts Plugin for WordPress (YARPP) contains a flaw as HTTP requests to the yarpp page, as called by /wp-admin/options-general.php, do not require multiple steps, explicit confirmation, or a unique token when performing certain sensitive actions. By tricking a user into following a specially crafted link, a context-dependent attacker can perform a Cross-Site Request Forgery (CSRF / XSRF) attack causing the victim to manipulate option settings.

しかも、現時点では、解決策が見つかっていないと。。。

そう言われてみると、数日前にこのプラグインをWordPressの管理画面で検索したところ、見当たらず変だなとは思っていた。
どうやら、その検索からも削除されている様子。

で、私が管理しているサイトのうち、いくつかは当プラグインを使っているため、どうしようか検討。

まず、代替のプラグインに変えられるものは変えることに。
ただ、諸事情により変えにくいサイトもある。

上のサイトによると、問題は『/wp-admin/options-general.php』が関わっているようなので、以前よりこのブログでは実施しているが、/wp-admin/フォルダへのアクセスにIP制限をかけることを他のサイトにも実施することにした。

この作業自体は簡単そのもの。
/wp-admin/の下に、以下の内容を含んだ.htaccessを置けばOK!

固定IPじゃくて、IPがしょっちゅう変わるのならば、代わりに

のようにホスト名を指定することも可能。

ただ、なぜだかわからないが、さくらインターネットでは上の.htaccessがどうしても効かない…

あーでもない、こーでもないといろいろ試してみたが、結局、/wp-admin/の下に、以下の内容を含んだ.htaccessを置けば効くことがわかった。

なんだか、スッキリしないが、とりあえずはこれで。

<<追記>>
/wp-admin/以下へのアクセスを遮断すると一部のプラグインの挙動に影響が出ることが判明。
具体的には、このブログのサイドバーにも表示している「よく読まれている記事」を表示する「WordPress Popular Posts」。
未確認だが、サーバー自体のIPからのアクセス許可してあげれば大丈夫(なはず!)


サブコンテンツ