3日前くらいから、やけに変なスパムコメントが増えてる(承認してないから表示はされてないけど)と思って、
実際のコメント本文を見てみたら、下記のような内容。
<pre class=”lang:php” data-url=”/wp-config.php”></pre>
なんか怪しい~。
DBへの接続パスワードなど、wordpressの設定情報が書かれたファイルを表示させようとしている感じ。
もちろんこのファイル/ディレクトリの権限的に表示させないようにしてるんだけども、
最近やけにこの方法のアタックが多い。変な脆弱性見つかったのかな?
と思ってググって見ると、これかな?
Local file disclosure vulnerability in Crayon Syntax Highlighter
要するに、ソースコードを見やすく表示するのに便利なCrayon Syntax Highlighterというプラグインに、
サーバのローカルファイルを暴露されてしまうセキュリティホールが見つかりましたよ。とのこと。あぶね~。
最新バージョン(>= 2.7.0)にアップデートすれば問題は修正されているということなので、即update!