基礎知識 2023.07.31 2023.08.02
【2023年7月】WordPressのセキュリティ情報やお役立ち情報
ブラウザでWordPressを実行できる「WordPress Playground」のチュートリアルが公開!
WordPressをブラウザ上で実行することのできる実験的プロジェクト、「WordPress Playground」が話題になっています。
これは、サーバーやローカル環境を用意することなく、「playground.wordpress.net」にアクセスするだけで、簡単にプレーンなWordPressサイトを立ち上げることができます。
とても簡単に使えるので開発者だけでなく、普段、管理画面の中だけしか触らないようなユーザーでも、手軽に新しい機能やプラグイン・テーマのテストが可能です。
また、Learn WordPress上で、「WordPress Playgroundの始め方」というチュートリアル動画が公開されています。
解説は英語ですが、わかりやすく操作してくれているので、英語がわからない方でも使い方を理解できると思います。
さらに、複雑なことがしたいエンジニアの方向けには、「Playground API」がgithubに公開されているので、確認してみてください。
2023年7月度のWordPress脆弱性情報
2023年7月に発見された脆弱性のうち、影響が大きいと見られるものを紹介致します。
アメリカのセキュリティ企業Sucuri社による発表から、10万インストール以上のプラグインを抜粋しています。
| プラグイン名 | リスク | 対象バージョン | 脆弱性内容 |
|---|---|---|---|
| Rank Math SEO | 高 | 1.0.119.0未満 | XSS(クロスサイトスクリプティング) |
| Essential Addons for Elementor | 中 | 5.8.1未満 | 機密データの漏洩 |
| All-In-One Security (AIOS) | 低 | 5.1.9未満 | 機密データの漏洩 |
| WP-Optimize – Cache, Clean, Compress | 中 | 3.2.12未満 | XSS(クロスサイトスクリプティング) |
| The Events Calendar | 中 | 6.1.2.2未満 | アクセス制御の不備 |
| Ninja Forms | 高 | 3.6.25未満 | XSS(クロスサイトスクリプティング) |
| Ocean Extra | 高 | 2.1.7未満 | XSS(クロスサイトスクリプティング) |
| Shortcodes Ultimate | 中 | 5.13.1未満 | XSS(クロスサイトスクリプティング) |
| WooCommerce Square | 高 | 3.8.2未満 | 安全でない直接オブジェクトの参照(IDOR) |
| Contact Form Plugin by Fluent Forms | 低 | 4.9.9未満 | SQLインジェクション |
| POST SMTP Mailer | 中 | 2.5.7未満 | XSS(クロスサイトスクリプティング) |
| Ultimate Member | 高 | 2.6.6未満 | 特権昇格の脆弱性 |
| HT Mega – Absolute Addons for Elementor | 高 | 2.2.0未満 | 特権昇格の脆弱性 |
| WP Content Copy Protection & No Right Click | 低 | 3.5.5未満 | XSS(クロスサイトスクリプティング) |
| YARPP | 中 | 3.5.5未満 | XSS(クロスサイトスクリプティング) |
| Elementor Addon Elements | 中 | 1.11.16未満 | XSS(クロスサイトスクリプティング) |
| 404 to 301 | 中 | 3.0.5未満 | XSS(クロスサイトスクリプティング) |
| Blocksy Companion | 中 | 1.8.46未満 | XSS(クロスサイトスクリプティング) |
| CAPTCHA 4WP | 高 | 7.0.5未満 | XSS(クロスサイトスクリプティング) |
参考:https://blog.sucuri.net/2023/07/wordpress-vulnerability-patch-roundup-july-2023.html
200万超インストールの「Rank Math SEO」に脆弱性!早期のアップデートを
200万インストールを超える人気プラグインの「Rank Math SEO」に、重大な脆弱性が発見されました。
「Rank Math SEO」プラグインはWordPressのSEO対策の設定を行うことができる人気プラグインです。
ここにクロスサイトスクリプティングの脆弱性が確認されました。
脆弱性があるバージョンは「1.0.119.0未満」です。
既に脆弱性が修正されたバージョンが公開されていますので、まだアップデートされていない方は早期にアップデートすることを推奨します。
XSS(クロスサイトスクリプティング)の詳細については、こちらの記事をご確認ください。
2023年上半期は攻撃件数が急増!「ファイルインクルード」と「SQLインジェクション」に注意!
2023年7月31日情報セキュリティ情報セキュリティ企業「ペンタセキュリティシステムズ株式会社」は2023年上半期のWATTレポート(Web Application Threat Trend Report)を公開しました。同社が提供するアプライアンス型WAF「WAPPLES」とクラウド型WAFサービス「Cloudbric WAF+」が検知したデータをもとに、レポート形式にまとめられています。
レポートの全文はこちらからダウンロードできます。
https://www.pentasecurity.co.jp/recent-attack-trend/
2023年上半期の攻撃件数は、3月をピークに減少傾向となっているものの、昨年以前よりも高い水準が続いています。1月に報告されたサーバ管理用ツールControl Web Panel(CWP)で発生した脆弱性(CVE-2022-44877)とWordPressプラグイン「Advanced Custom Fields」および「 Advanced Custom Fields Pro」の脆弱性(CVE-2023-30777)の影響が大きいとしています。「6.15」以前の脆弱性のあるバージョンを使用している場合は、早急にアップデートすることをお勧めします。
ご自身でのアップデートが難しい場合には、WordPressのプロにバージョンアップを依頼することを検討してみても良いでしょう。
WordPress保守・運用のパートナーなら「wp.support」にお任せ!
WordPressサイトを運用していて、以下のようなお悩みはありませんか?
- 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
- サイトのUI/UXを改善したいけれど、自社内では難しい…
- WordPressサイトを高速化したいけれど、ノウハウがない…
- セキュリティ対策をしたいけれど、知識のある人材がいない…
- 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
- ちょっとしたトラブルを気軽に相談できる相手が欲しい…
「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。
既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。
WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。
バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!