WordPress のクッキー認証の脆弱性とその対策

ニュースとしては少々古めとなってしまいますが最近多くのセキュリティニュースサイトで WordPress のクッキー認証の脆弱性について取り上げられています。

内容は 「データベースに格納されているログインパスワードの MD5 ハッシュ値が何らかの理由で漏れてしまうとそれを知った人物は元のパスワードを知らずして容易にログイン可能なクッキーデータを作成できてしまう」 というもの。
もっとも 現状の WordPress は認証にセッションを用いておらずクッキーデータを盗み見さえできればログイン可能となってしまうので指摘されている内容を脆弱性と呼ぶのか、それとも “セキュリティがゆるい仕様” と考えるのかは微妙なところですが、とりあえず色々な案が論じられはじめているので長年手つかずだったこの辺りの仕様も近々大きく改善されるかもしれません。

以下、クッキーデータの盗用によるアクセスを感知するのに役立つプラグインを紹介しておきます。問題の防止にはなりませんがこれで不正アクセスがあった場合知ることができるようになります。

Admin IP Watcher
(2.3.1 で動作確認済み)