ヨーロッパの有力者を主な顧客にオフショア取引に関わっていたパナマの法律事務所モサク・フォンセカから膨大な文書が流出した「パナマ文書」について、WordPressの有料プラグイン「レボリューション・スライダー」に原因がある可能性が浮上した。
WordPress向けのセキュリテイプラグインWordfenceを提供する米フィードジトのマーク・マウンダーCEOは、4月7日、同社のブログに「モサク・フォンセカ流出事故――WordPressレボリューション・スライダーが原因の可能性」という記事を投稿したのだ。
パナマ文書の流出源は、内部犯行説やハッカー説が指摘されているが、法律事務所は顧客向けに、Webサイトでデータにアクセスするサービスを提供しており、脆弱性のあるDrupalを使っていたのが原因だ、とする報道が多い。しかしマウンダーCEOによれば、法律事務所のWebサイトはWordPressで稼働しており、リモート攻撃でシェルを操作される脆弱性のあるプラグイン「レボリューション・スライダー」が、投稿時点でも更新されずに使われているという。
1台のサーバーにWebサーバー、Exchange 2010、VPNサーバーをインストールしていたとみられる(NETCRAFTより)
法律事務所のWebサイトで公開されているレボリューション・スライダーのリリースログを見ると、プラグインのバージョンは2.1.7だが、最新バージョンは5.2.4.1。開発元のテーマパンチの更新履歴に残るもっとも古いバージョンは2013年11月14日リリースの4.0.6。マウンダーCEOによると、バージョン3.0.95までは脆弱性があるという。このプラグインは2014年にも、マルウェアに狙われている。
Webサーバーは3月中旬ころパナマからニュージーランドに移設したようだ(ViewDNS.infoより)
レボリューション・スライダーの開発元は、2015年12月4日のブログで「プラグインを更新しよう。お客さまのためになるし、運営者のためにもなる。そして世界のためにもなる」と呼びかけている。
【お知らせ】WordPressの初心者にぴったりの書籍を刊行しました
「お店や会社のサイトを作りたい」「分厚い入門書を買ったけど、途中で投げ出してしまった」「優しく教えてくれる先生が近くにいたらいいのに」ーー。そんな声に応えるWordPress入門書『動画で学ぶWordPressの学校 初めてWebサイトを立ち上げるときに読む本』が発売されました。Web制作の第一線で活躍するプロの先生が、WordPressの使い方を180分ぶんのオリジナルビデオ授業で解説。あわせて、テキストでも振り返りながら学習できる、画期的な入門書です。
動画で学ぶWordPressの学校
初めてWebサイトを立ち上げるときに読む本
たにぐちまこと 著
- 価格:2,700円 (本体2,500円)
- 発売日:2016年3月19日
- 形態:B5変(288ページ)
- ISBN:978-4-04-869228-1
- 発売:KADOKAWA
目次
- 1限目 WordPressを使ってみよう
- 1-1 WordPressってどんなもの?
- 1-2 WordPressを使うために必要なもの
- 1-3 WordPressをセットアップしよう
- 1-4 「投稿」で記事を書いて公開してみよう
- 1-5 企業サイトに必須の「固定ページ」を作成
- 2限目 WordPressでサイトを作ろう
- 2-1 「テーマ」を変更してデザインを切り替えよう
- 2-2 ウィジェットで回遊性を高めよう
- 2-3 Webサイトのメニューを設置してみよう
- 2-4 プラグインで機能を拡張しよう
- 3限目 WordPressを活用しよう
- 3-1 フロントページでサイトの「顔」を作ろう
- 3-2 公開設定を細かくコントロール
- 3-3 Webサイトをチームで管理しよう
- 3-4 プラグインを活用してサイトを充実させよう
- 3-5 もしもに備えてデータをバックアップ
- 3-6 本格カスタマイズに挑戦しよう
