愛用しているCMS(コンテンツマネジメントシステム)のJoomla!にデータベース関連の脆弱性が見つかり、Joomlaコアシステムが3.4.5にバージョンアップされました。
既に脆弱性を突く攻撃が確認されているそうです。
Joomla 3.4.5
2015年10月23日に公開されました。セキュリティパッチ3件を含むアップデートです。
3.2~3.4.4の脆弱性
SQLインジェクション攻撃の可能性がある脆弱性が10月26日に公開されてすぐに脆弱性を突く攻撃が確認されたらしいです。
管理者としてコントロールパネル(管理画面、WordPressで言うダッシュボード)にアクセスできるそうなので、パッチを当てておかないと危険です。
コントロールパネル
最近のJoomlaはIsisという管理画面テーマがデフォルトになっています。Bootstrap対応でレスポンシブデザインなので便利です。アップデートのお知らせも大きく出てくるので、気づきやすいです。
少し昔のチュートリアルなどで紹介されているのは、Hathorという管理画面テーマです。プラグインによってはHathorのほうが使いやすいですが、必要なポップアップが出ても見づらいので、Isisにしておいたほうが良いと思います。(Isisでは対応できない画面の場合があります)
自動アップデートはまだない
WordPressには3.7から自動更新機能がつきました。Joomlaにはまだありません。つける予定なのかもわかりません。
Googleで自動更新について調べると、「手動でFTPを使ってサーバーにアップロードしなくても良い」という意味の「自動更新」が出てきます。残念です。
Joomlaのホスティングに強いレンタルサーバーのSiteGroundには自動更新機能が実装されているようですが、私が使っているところには残念ながらまだありません。
自動更新できないと、毎日更新しているサイト以外は攻撃に曝されてしまいます。