基礎知識 2023.06.29 2023.07.26
【2023年6月】WordPressのセキュリティ情報やお役立ち情報
この記事を書いた人
土井 純也
WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO
1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。
【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make」
■WordPress保守/運用サービス「wp.support」
■WordPressハッキング/緊急復旧対応サービス「wp.rescue」
■WordPressバージョンアップ代行サービス「wp.versionup」
目次
自動で記事を作成してくれるAI!「Jetpack AI Assistant」
ChatGPTの公開以降、あらゆる分野で話題になっている生成AIですが、WordPressにもその波が押し寄せてきています。
Automattic社が提供している「Jetpack」の機能として、AIがコンテンツ作成をサポートしてくれる「Jetpack AI Assistant」を発表しました。
この機能はGutenbergのブロックのひとつとして使用することができ、ユーザーからの質問に答える形式で、表やリストなどのコンテンツの作成・翻訳・テキストの自動校正などを行ってくれます。
wp.geekの運営チームで試したところ、データベースが古いようで最新情報などを調べる用途には向かないものの、コンテンツ作成の補助としては十分に使えると感じました。
まだまだ発展途上ではあるものの、今後も注目して追いかけていきたい機能と言えるでしょう。
2023年6月度のWordPress脆弱性情報
2023年6月に発見された脆弱性のうち、影響が大きいと見られるものを紹介致します。(今回は5月分も後述しています)
アメリカのセキュリティ企業Sucuri社による発表から、10万インストール以上のプラグインを抜粋しています。
| プラグイン名 | リスク | 対象バージョン | 脆弱性内容 |
|---|---|---|---|
| Jetpack | 高 | 12.1.1未満 | 任意のファイルへの不正操作(作成・改ざん・削除) |
| WooCommerce Stripe Payment Gateway | 高 | 7.4.1未満 | アクセスコントロールの不備(Broken Access Control) |
| Password Protected | 高 | 3.7未満 | XSS(クロスサイトスクリプティング) |
| Photo Gallery by 10Web | 高 | 1.8.16未満 | アクセスコントロールの不備(Broken Access Control) |
| Unlimited Elements For Elementor | 高 | 1.5.66未満 | 任意のファイルのアップロード |
| Metform Elementor Contact Form Builder | 中 | 3.3.1未満 | XSS(クロスサイトスクリプティング) |
| Social Media Share Buttons & Social Sharing Icons | 中 | 1.11.2未満 | XSS(クロスサイトスクリプティング) |
| Download Monitor | 緊急 | 4.8.4未満 | 任意のファイルのアップロード |
| WooCommerce Square | 高 | 3.8.2未満 | 安全でない直接オブジェクトの参照(IDOR) |
| Download Manager | 中 | 3.2.71未満 | アクセスコントロールの不備(Broken Access Control) |
| Download Monitor | 中 | 4.8.2未満 | 任意のファイルのアップロード |
| FiboSearch | 中 | 1.24.0未満 | XSS(クロスサイトスクリプティング) |
参考:https://blog.sucuri.net/2023/06/wordpress-vulnerability-patch-roundup-june-2023.html
500万超インストールの「Jetpack」に脆弱性!ただちにアップデートを
人気プラグイン「Jetpack」に、重大な脆弱性が発見されました。
2012年リリースのバージョン2.0以降の「API」に関する脆弱性であり、任意のファイルを操作(作成・改ざん・削除)されるおそれがあるとのこと。
この脆弱性を利用した被害の報告はまだない、とのことですが、上記、AIのトピックでも取り上げたWordPress.comを運営するAutomatticから提供されているということもあり、プラグインのインストール数は500万以上。
公表と同時にバージョン2.0から現行のバージョン12.1まで、各バージョンごとのセキュリティパッチが公開されていますので、自動更新の設定をしていない場合は、早急にプラグインのバージョンアップを行いましょう。
Stripeによる支払いを可能にする「WooCommerce Stripe Payment Gateway」に脆弱性!
WooCommerceを拡張して、Stripeによるクレジットカード決済を実装することのできるプラグイン「WooCommerce Stripe Payment Gateway」に脆弱性が発見されました。
第三者によって、電子メール・ユーザー名・住所など、個人情報が閲覧される可能性がある、とのことで、ECサイト運営社にとっては非常にリスクの大きい脆弱性となります。
対策済みの最新バージョンは公開されていますので、導入されている方はすぐにバージョンアップを行いましょう。
2024年開催のWordCamp Asiaのスケジュールが3月7〜9日に決定!
2024年、第二回開催となるWordCamp Asiaの日程が決定しました。
スケジュールは3月7〜9日で、台北のランドマークタワーである台北国際会議センター(TICC)で開催されるとのことです。
台湾で行われることは第一回のタイ・バンコクでの開催時に決まっていましたので、詳細が発表された形です。
会場となるTICCの収容人数はなんと3,000人以上。
地元台湾のコミュニティが非常に活発ということもあり、大きな会場を用意されたようです。
まだ先の日程ですが、着々と準備が進められているようです。当日が非常に楽しみですね!
WordPress保守・運用のパートナーなら「wp.support」にお任せ!
WordPressサイトを運用していて、以下のようなお悩みはありませんか?
- 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
- サイトのUI/UXを改善したいけれど、自社内では難しい…
- WordPressサイトを高速化したいけれど、ノウハウがない…
- セキュリティ対策をしたいけれど、知識のある人材がいない…
- 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
- ちょっとしたトラブルを気軽に相談できる相手が欲しい…
「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。
既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。
WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。
バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!