WordPressの権限昇格を突かれた後の強制降格プラグイン

WordPressの脆弱性で最も多いのは、テーマやプラグイン経由での脆弱性突破による権限昇格です。My WP Translateの脆弱性の例では、低権限ユーザーが管理者権限に昇格することで、不正な操作を許してしまうという致命的な脆弱性が発生しました。では発想を変えましょう。作られることを前提に考えてしまえば良いのです。肝心なのは、不正に忍び込まれたあとの事後対応です。仮に不正操作が成功したとしても、その後すぐに権限が購読者に降格させられたら目も当てられません(あくまで攻撃者にとって)。それを目指します。 明 ...

