【社会】ハッカーが「Wordpress」サービスのルート・アクセスを奪取

1 ： ◆SCHearTCPU ＠胸のときめきφ ★：2011/04/15(金) 23:01:06.10 ID:??? BE:617258636-PLT(12556)

人気の高いブログ・プラットフォーム「ＷｏｒｄＰｒｅｓｓ」のサーバ数台がハッカーの
侵害を受け、ソースコードが漏えいした可能性があると、同プラットフォームを運営する
Ａｕｔｏｍａｔｔｉｃの開発者が述べた。

マット・マレンウェグ（ＭａｔｔＭｕｌｌｅｎｗｅｇ）氏のＷｏｒｄＰｒｅｓｓブログによると、
Ａｕｔｏｍａｔｔｉｃはログ記録を検証し、どの程度の情報が外部にさらされたのかを
特定するとともに、「アクセスを奪取する方法」の再評価を行ったという。
「われわれは、当社のソースコードが漏えいし、第三者に取得されたと想定している。
コードの大半はオープンソースだが、当社やパートナーが機密扱いとしているものも
なかにはある。とはいえ、これを踏まえても露呈した情報はわずかだ」（マレンウェグ氏）

あるユーザーは同ブログ記事のコメント欄に、ＷｏｒｄＰｒｅｓｓはパスワードを
平文で保存しているのか、あるいはパスワードのハッシュを保存しているのかという
質問を書き込んだ。マレンウェグ氏はこれに対し、ＷｏｒｄＰｒｅｓｓは
ポータブルＰＨＰパスワード・ハッシング・フレームワークを使用していると回答した。

*+*+ サーチナ 2011/04/15[23:01:05.42] +*+*
http://news.searchina.ne.jp/disp.cgi?y=2011&d=0415&f=it_0415_025.shtml

2 ：名前をあたえないでください：2011/04/15(金) 23:30:24.92 ID:OHfFfagz

これは昔から言われてたからなぁ。
プロは面から入れないようにしてるよ。
そのうちパッチが出るでしょ。

3 ：名前をあたえないでください：2011/04/15(金) 23:39:42.06 ID:X6+/33SZ

Wordpress って脆弱性出しまくり。知り合いが使っていたけど、バージョン
をこまめに上げていないからか、アクセスするとアンチウィルスソフトが
「感染してる」とアラート出すようになって怖くてアクセスする気も失せた。

高々ブログ書くのに、苦労してWordpress入れて、乗っ取られてウイルスを
仕込まれたんじゃ割に合わないと思ったが、今回はソース漏えいねぇ。

全般的に、あんまりセキュリティは考えていないようですね。

4 ：名前をあたえないでください：2011/04/18(月) 03:17:53.28 ID:ftsQcq4c

サーバにインストールするWordPress.orgの話じゃなくて
ブログサービスのWordPress.comの話だよ

サーバにインストールする方は完全なオープンソースだから
ソースコードなんて漏洩する以前に全員が見る事ができる

WordPress.comの方はほぼWordPress.orgのソースを流用してるが
一部のクローズなソースが今回漏洩したっていう事

>>3
そもそもお前の友人のような自分でバージョン管理できないやつと
お前のようにオープンソースの初歩的な意味とリスクすらわからない人間が使用しちゃ駄目