2020年12月8日(米国時間)、WordPressの最新版となる「WordPress 5.6」が公開された。新機能の追加やバグの修正などが行われたバージョンで、新しい機能としてはアプリケーションパスワードを使ったREST API認証機能の導入やPHP 8サポートの導入、使用するjQueryのバージョンアップなどが実施されている。魅力的なバージョンに仕上がっているが、この新しく導入されたREST API認証の使用に関しては注意が必要かもしれない。

WordfenceはWordPress 5.6のリリースに合わせて「WordPress 5.6 Introduces a New Risk to Your Site: What to Do」を公開。新しく追加されたアプリケーションパスワード機能がセキュリティ的なリスクを伴う可能性があるとして注意を呼びかけた。

  • WordPress 5.6 Introduces a New Risk to Your Site: What to Do

    WordPress 5.6 Introduces a New Risk to Your Site: What to Do

WordPress 5.6に導入されたアプリケーションパスワードは、外部のアプリケーションがサイトへの接続することを許可するための機能。アプリケーションに対して固有のパスワードを生成することで実現されており、新しく導入されたREST APIを介してアクションを実行できるようになっている。

Wordfenceは新しく導入されたこの機能を「悪用されやすいもの」と指摘。サイト管理者をソーシャルエンジニアリングを利用してだまし、悪意あるアプリケーションに対してアプリケーションパスワードを発行させるのがそれほど難しくないという。最終的に攻撃者は影響を受けたWebサイトを制御するおそれがあるとして、注意を呼びかけている。

ただし、今回新しく導入されたアプリケーションパスワードは将来的にはなんらかの有用性を提供する可能性があることにも言及。アプリケーションパスワードを使う場合は、最小限の権限でユーザを設定することを推奨している。

WordPressは世界で、最も使われているCMS (Content Management System)。Q-Successの調査結果によると、2020年12月におけるWordPressのシェアはすべてのWebサイトの40%近くに到達している。2位のCMSの12倍以上のシェアを確保しており、Webサイト用のCMSとして強い影響力を持っている。