WordPress.orgのブログによると、複数のプラグインに不審な動作が見られたため調べたところ、「AddThis」「WPtouch」「W3 Total Cache」の各プラグインから、巧妙な手口で隠されたバックドアが見つかった。バックドアを仕込んだのは各プラグインの作者ではないと開発チームは見ている。
ところで、このコードについては、「次のタグを head 要素内または body 終了タグの直前に貼り付けてください」と記載してあったので、当初は、フッター(footer.php)の /body の直前に追加したのですが、うまく表示されなかったので、上記のようにヘッダーへの追加に変えました。
なんでかなぁ。。。
Alexander Concha による各種セキュリティ強化
John Lamansky によるタクソノミークエリ関連の補強
カノニカルリダイレクトを利用した投稿者以外のユーザー名情報傍受の防止。Props: Verónica Valeros
Microsoft 社の Richard Lundee 氏および Jesse Ou 氏、また マイクロソフト脆弱性調査 によるメディアセキュリティの修正
危険なセキュリティ設定を行っているサーバー上でのファイルアップロードセキュリティを向上
インポートが完了しなかった場合古い WordPress インポートファイルを削除
モダンブラウザ上の管理画面及びログイン画面で、「クリックジャック」に対する防御策を導入
ということで、セキュリティアップデートなので、WordPress利用者は更新をお勧めします。
でも・・・
@Niftyのラクーカンサーバーの場合は、今日も相変わらず・・・
The update cannot be installed because WordPress 3.1.3 requires MySQL version 4.1.2 or higher. You are running version 4.0.27.