オープンソースの WordPress プロジェクトは4月8日、コンテンツ管理システム WordPress に対する最新のアップデート WordPress 3.8.2 と 3.7.2 をリリースした。どちらも利用者に対し、5件のセキュリティ修正と、複数のバグ修正を提供している。

WordPress 3.8.2 リリース―「PingBack(ピンバック)」を悪用した DDoS 攻撃に対する緩和機構を搭載

今回のリリースで注目すべきは、「PingBack(ピンバック)」攻撃を緩和する機構が搭載されていることだ。

ピンバック攻撃とは、 WordPress の「XML-RPC」を悪用し、特定の Web サイトに対して DDoS 攻撃を仕掛けるというもの。XML-RPC は、本来はコンテンツ所有者が自分の投稿にリンクが張られたことをトラッキングする「Pingback(ピンバック)」機能で利用されているものだ。

今年3月、WordPress は、WordPress のピンバック機能を悪用した大規模な DDoS 攻撃に巻き込まれた。セキュリティ企業 Sucuri によれば、16万2,000 もの WordPress サイトが、気付かぬままに DDoS 攻撃に加担させられていたという。

WordPress 開発者の Andrew Nacin 氏は、WordPress 3.8.2 のリリース声明で次のように書いている。

「(このアップデートは)ピンバック処理で、リクエストが悪意のあるものかどうか、ホストが識別するのを手助けする追加情報をわたす」

GoDaddy の情報セキュリティー担当責任者である Todd Redfoot 氏は3月、eWeek の取材に対し「もしかしたら、WordPress 自身が良いトラフィックと悪いトラフィックを識別可能になるかもしれない」と述べていた。今回のパッチは、これの実現に向けた第一歩と言えるかもしれない。

WordPress プロジェクトは、次期リリースに向けても前進を続けている。WordPress 3.9 は来週登場する予定。新しい画像編集と、ライブテーマプレビュー機能が搭載される予定だ。

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。