【WordPressのセキュリティ情報】「All in One SEO Pack」プラグインにXSSの脆弱性。

はじめに

WordPressのプラグインとして、よく利用されている「All in One SEO Pack」プラグインにXSSの脆弱性が発見されました。

下記の記事では、200万人に影響があるとされています。

参照(英語サイト):https://www.wordfence.com/blog/2020/07/2-million-users-affected-by-vulnerability-in-all-in-one-seo-pack/

すでにパッチ(修正アップデート)が配布されているため、利用されている方は、最新版への更新をおすすめします。

アップデートが必要となるプラグインのバージョン情報ですが、3.6.1以下のバージョンは影響があるようです。

確認方法は?

確認の方法ですが、下記をご覧ください。

下記に当てはまる場合は、アップデートの対象です。

① WordPressにログイン

② サイドバーのメニュー内にある「プラグイン」へ移動

③ 該当箇所の数値が、3.6.1以下の場合

今回の脆弱性のXSSとは?

XSS(クロスサイトスクリプティング)という脆弱性は、サイトへ訪問した人に対して、悪意のあるスクリプトが実行されてしまう可能性があります。

どういったリスクが有るか、というと第三者に情報が漏洩する恐れがあります。

例えば、あるサービスのアカウント情報が漏洩し、不正にアカウントを利用されてしまうケースや、過去の事例としてはTwitterで罠が仕込まれたツイートを勝手にしてしまうといった被害などが出ております。

さいごに

WordPressは、サイトに気軽に利用されているシステムですが、常にアップデートされているシステムです。

作ったままで放置されているサイトや、アップデートがされていないサイトがほとんどだと思います。

ただし、定期的にシステムの脆弱性が発生している事実もありますので、Wordpressのアップデートについては定期的に行っていくことをおすすめしております。

この機会に、セキュリティリスクについても検討していきましょう。

林 恭平

担当:営業/ディレクション/経理/Webプログラミング/バックエンド/セキュリティ/サーバ保守

F-standard代表取締役。
元財務コンサルタントで財務系アプリ開発者。税理士の父を持つ。そのため「数字のために生まれてきた漢♪」と呼ばれている。また、顧客のことを親身になって考える若手経営者。
会社も9期目に入り、少数精鋭のメンバーが揃ったので、行くぜ!!と気合が入っている。