基礎知識 2023.09.08

【2023年8月】WordPressのセキュリティ情報やお役立ち情報

この記事を書いた人

株式会社e2e wp.geek編集部

WordPressサイト制作サービス「wp.make」やWordPress保守・運用サービス「wp.support」などを展開する株式会社e2eの情報発信チームです。お客様の課題解決に役立つ、WordPressの最新情報をお届けいたします。

160万以上のサイトに影響する404件の脆弱性を報告

WordPressの安全性を守るための報奨金プログラムを実施している「Patchstack」によると、WordPress.org でホストされているプラグインのうち、404個のプラグインで脆弱性が蓄積されているとして、WordPressのプラグインレビューチームへ報告しました。

通常、Patchstackはプラグイン開発者に連絡を取って改善を依頼しますが、開発者に連絡が取れずレビューチームに送信することにした、とのこと。

これらの多数の放棄されたプラグインによる影響を「ゾンビプラグインパンデミック」と名づけています。

WordPress.orgはこれを受けて、70%以上のプラグインを閉鎖。
しかし、同様のプラグインはこれからも増え続ける見込みで、さらなる対策が必要となっています。

2023年8月度のWordPress脆弱性情報

2023年8月度に発見された脆弱性をご紹介します。
今月はWordPressプラグインに関する脆弱性が21個発見されました。

プラグイン名 リスク 対象バージョン 脆弱性内容
Advanced Custom Fields クロスサイトスクリプティング(XSS) 6.1.7未満
ElementsKit Elementor Addons アクセス制御の不備 2.9.0未満
Forminator ファイルアップデートの脆弱性 緊急 1.24.6未満
Gutenberg Blocks by Kadence Blocks ファイルアップデートの脆弱性 3.1.10未満
InfiniteWP Client 機密情報漏えいの脆弱性 1.12.0未満
Hide My WP Ghost バイパスの脆弱性 5.0.25未満
TI WooCommerce Wishlist SQLインジェクション 緊急 2.7.3未満
Slimstat Analytics クロスサイトスクリプティング(XSS) 5.0.8未満
Advanced File Manager 機密情報漏えいの脆弱性 5.1.0未満
Change WP Admin Login バイパスの脆弱性 1.1.3未満
EmbedPress クロスサイトスクリプティング(XSS) 3.8.2未満
Blog2Social クロスサイトスクリプティング(XSS) 7.2.0未満
wpDataTables PHP Object インジェクション 2.1.65未満
Booster for WooCommerce アクセス制御の不備 7.0.0未満
Folders ファイルアップデートの脆弱性 2.9.2未満
Post Grid Combo 機密情報漏えいの脆弱性 2.2.50未満
iThemes Sync アクセス制御の不備 2.1.13未満
Profile Builder アクセス制御の不備 3.9.7未満
Cost Calculator Builder アクセス制御の不備 3.1.42未満
AI Engine: ChatGPT Chatbot クロスサイトスクリプティング(XSS) 4.7.7未満
PostX – Gutenberg Post Grid Blocks クロスサイトスクリプティング(XSS) 3.0.5未満

WordPress.orgが「100年プラン」を発表

WordPress.orgを運営するAutomattic社は、8月25日に新プラン「100-Year Plan(100年プラン)」を発表しました。

ドメインとデータを100年間保護する、というもので、価格は「3万8,000ドル(約550万円)」の1回払い。

写真・音声・ビデオなどのデジタル資産を残したい家族や過去・現在・未来までを残しておきたいと考える会社の創業者、あらゆるテクノロジーの変化に適応できるオンラインホームを求める人などを想定しているとのこと。

高額なサービスというだけあって、分散されたデータセンター間で複数のバックアップする他、無制限の帯域幅・クラス最高のスピード・強力なセキュリティ、24時間365日のフルサポートも提供しています。面白いところでは、新生児にサイトを贈る場合の所有権スムーズな譲渡も支援する、といったものも。

CEOのマット・マレンウェッグ氏によると、長期的な思考を促進するために設立されたNPO団体「ロングナウ財団」からもインスピレーションを受けたそうです。

長期的なサービス提供を担うのだ、という同社の意気込みが感じられますが、ここ数年でも大きな技術革新がいくつもあったように、100年後の未来に「Web」という仕組みがあるのか、ドメインは機能しているのかなど、現状では想像できない要素もあります。
同社が変化にどう対処し、このサービスを継続していくのか、ゆっくりと見守りたいですね。
(100年後までは流石に生きていないと思いますが)

WordPress保守・運用のパートナーなら「wp.support」にお任せ!

WordPressサイトを運用していて、以下のようなお悩みはありませんか?

  • 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
  • サイトのUI/UXを改善したいけれど、自社内では難しい…
  • WordPressサイトを高速化したいけれど、ノウハウがない…
  • セキュリティ対策をしたいけれど、知識のある人材がいない…
  • 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
  • ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する

バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!

wp.support資料

WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?

面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!

【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...

WordPressに関することなら何でもご相談ください!