Joomlaにセキュリティアップデート3.4.5、すでに攻撃の兆候

愛用しているCMS(コンテンツマネジメントシステム)のJoomla!にデータベース関連の脆弱性が見つかり、Joomlaコアシステムが3.4.5にバージョンアップされました。

既に脆弱性を突く攻撃が確認されているそうです。

security

Sponsored link

Joomla 3.4.5

2015年10月23日に公開されました。セキュリティパッチ3件を含むアップデートです。

3.2~3.4.4の脆弱性

SQLインジェクション攻撃の可能性がある脆弱性が10月26日に公開されてすぐに脆弱性を突く攻撃が確認されたらしいです。

管理者としてコントロールパネル(管理画面、WordPressで言うダッシュボード)にアクセスできるそうなので、パッチを当てておかないと危険です。

コントロールパネル

最近のJoomlaはIsisという管理画面テーマがデフォルトになっています。Bootstrap対応でレスポンシブデザインなので便利です。アップデートのお知らせも大きく出てくるので、気づきやすいです。

少し昔のチュートリアルなどで紹介されているのは、Hathorという管理画面テーマです。プラグインによってはHathorのほうが使いやすいですが、必要なポップアップが出ても見づらいので、Isisにしておいたほうが良いと思います。(Isisでは対応できない画面の場合があります)

自動アップデートはまだない

WordPressには3.7から自動更新機能がつきました。Joomlaにはまだありません。つける予定なのかもわかりません。

Googleで自動更新について調べると、「手動でFTPを使ってサーバーにアップロードしなくても良い」という意味の「自動更新」が出てきます。残念です。

Joomlaのホスティングに強いレンタルサーバーのSiteGroundには自動更新機能が実装されているようですが、私が使っているところには残念ながらまだありません。

自動更新できないと、毎日更新しているサイト以外は攻撃に曝されてしまいます。