先日、オープンソース・ソフトウェアである WordPress 4.7 / 4.7.1 の REST API に、認証を回避してコンテンツを書き換えられる脆弱性があったと発表されました。極めて容易に攻撃でき、コンテンツの改ざんを行うことができる深刻な脆弱性のため、最新版へのアップデートが強く呼びかけられています。また実際に、全国で多数のウェブサイトが改ざんの被害にあっています。
WordPress の脆弱性については下記をご参照ください。
Movable Type Data API の安全性について
今回の WordPress の脆弱性が REST API に存在したことから、Movable Type(バージョン6.0以降)で搭載している Data API についても不安を感じられているお客様がいらっしゃるかもしれません。
Movable Type の Data API もREST形式のAPIで、これを利用して、公開されていない記事を取得したり、更新や削除を行うことが可能です。しかし、これらのエンドポイントへのリクエストでは、まずはじめに認証情報のチェックが行われます。そして、適切な認証情報が付与されていないリクエストはすべてこの段階で拒否されます。
また、ユーザー権限によるデータへのアクセスチェックについても管理画面と同様の仕組みで(管理画面でのアクセスと同様に)行われており、安全にご利用いただけますので、ご安心ください。
本件に関する技術仕様につきましては、MovableType.jp の下記記事をご参照ください。
CMSのセキュリティ対策について
インターネット上で利用されるソフトウェアは、必然的にセキュリティ問題と無縁ではいられません。シックス・アパートでは、Movable Type ならびに Movable Type Data API を安全に利用するためのセキュリティガイドを公開しています。こちらをぜひご一読ください。
マネージドサービス型のクラウドCMS、ウェブサービスCMSをおすすめします
ウェブサイト改ざんの攻撃の足掛りとしてCMSが狙われるケースは非常に多く、シックス・アパートでも迅速な脆弱性対応や、ユーザーの皆さまへのアップデートの呼びかけに力を入れています。合わせて、自社で脆弱性対策を行う必要がないマネージドサービス型のクラウドCMS「Movable Type クラウド版」や、ウェブサービスCMS「MovableType.net」の利用もおすすめしています。