WordPress 2.8.4にアップデートしたのはけっこうヤバめなセキュリティーホールがあるらしいとのことだったので昨日実施したのですが、どんなヤバイことがあるのを書いておきます。

参考にしたのはこちら

WordPress | 日本語 ≫ WordPress 2.8.4: セキュリティリリース
WordPress 2.8.4未満にかなりやばめのセキュリティーホールがあるらしいので要アップグレード – F.Ko-Jiの「一秒後は未来」

WordPress 2.8.4未満には、隠れた管理者アカウントを勝手に作成されてしまったりするというかなりやばめの脆弱性があるようです。(2.8.4であれば大丈夫)

情報源の「Old WordPress Versions Under Attack ≪ Lorelle on WordPress」によると、この脆弱性をついた攻撃を受けてしまうともうWordPressを一旦削除してクリーンインストールせざるをえなくなるようです。

攻撃を受けたかどうかを見分ける方法は2通りあるようで、

• パーマリンクに example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/ のような「eval」と「base64_decode」が入った見慣れないものが存在しないかどうか
• 見慣れない管理者ユーザーが追加されていないかどうか

とのこと。
攻撃を受けて無くても早めにアップデートしたほうがいいですね。
最近のWordPressは2.7から自動アップデートでさくっと出来るらしいです（知らなかった…）。
プラグインを無効化してFTPでアップして、、、という方法で僕はやったのですが、それでも30分くらいで終わりました。
（2.8.4に対応してないプラグインがあるので注意が必要です。）

面倒ですがアップデートすると新しい文房具買ったときのような気持ちがして良い気分です。