Joomlaにセキュリティアップデート3.4.5、すでに攻撃の兆候

愛用しているCMS（コンテンツマネジメントシステム）のJoomla!にデータベース関連の脆弱性が見つかり、Joomlaコアシステムが3.4.5にバージョンアップされました。

既に脆弱性を突く攻撃が確認されているそうです。

Joomla 3.4.5

2015年10月23日に公開されました。セキュリティパッチ3件を含むアップデートです。

3.2～3.4.4の脆弱性

SQLインジェクション攻撃の可能性がある脆弱性が10月26日に公開されてすぐに脆弱性を突く攻撃が確認されたらしいです。

管理者としてコントロールパネル（管理画面、WordPressで言うダッシュボード）にアクセスできるそうなので、パッチを当てておかないと危険です。

Joomlaの脆弱性突く攻撃発生、直ちにパッチ適用を

脆弱性情報が公開されてからわずか4時間のうちに、人気サイトに対する直接的な攻撃が確認されたという。

www.itmedia.co.jp

Joomla!の脆弱性突いた攻撃が増加

先日、人気のあるCMSの1つ「Joomla!」にSQLインジェクションおよびACLバイオレーションの脆弱性が存在することが伝えられた。この脆弱性を突かれると、影響を受けたシステムの制御権が乗っ取られる危険性がある。この脆弱性の影響は広範囲に及ぶと推測されていたが、実際に攻撃を受けるサイトが増加しているようだ。

news.mynavi.jp

コントロールパネル

最近のJoomlaはIsisという管理画面テーマがデフォルトになっています。Bootstrap対応でレスポンシブデザインなので便利です。アップデートのお知らせも大きく出てくるので、気づきやすいです。

少し昔のチュートリアルなどで紹介されているのは、Hathorという管理画面テーマです。プラグインによってはHathorのほうが使いやすいですが、必要なポップアップが出ても見づらいので、Isisにしておいたほうが良いと思います。（Isisでは対応できない画面の場合があります）

自動アップデートはまだない

WordPressには3.7から自動更新機能がつきました。Joomlaにはまだありません。つける予定なのかもわかりません。

Googleで自動更新について調べると、「手動でFTPを使ってサーバーにアップロードしなくても良い」という意味の「自動更新」が出てきます。残念です。

Joomlaのホスティングに強いレンタルサーバーのSiteGroundには自動更新機能が実装されているようですが、私が使っているところには残念ながらまだありません。

自動更新できないと、毎日更新しているサイト以外は攻撃に曝されてしまいます。