基礎知識 2023.09.07 2023.09.08
【2023年8月】WordPressのセキュリティ情報やお役立ち情報
目次
160万以上のサイトに影響する404件の脆弱性を報告
WordPressの安全性を守るための報奨金プログラムを実施している「Patchstack」によると、WordPress.org でホストされているプラグインのうち、404個のプラグインで脆弱性が蓄積されているとして、WordPressのプラグインレビューチームへ報告しました。
通常、Patchstackはプラグイン開発者に連絡を取って改善を依頼しますが、開発者に連絡が取れずレビューチームに送信することにした、とのこと。
これらの多数の放棄されたプラグインによる影響を「ゾンビプラグインパンデミック」と名づけています。
WordPress.orgはこれを受けて、70%以上のプラグインを閉鎖。
しかし、同様のプラグインはこれからも増え続ける見込みで、さらなる対策が必要となっています。
2023年8月度のWordPress脆弱性情報
2023年8月度に発見された脆弱性をご紹介します。
今月はWordPressプラグインに関する脆弱性が21個発見されました。
プラグイン名 | リスク | 対象バージョン | 脆弱性内容 |
---|---|---|---|
Advanced Custom Fields | クロスサイトスクリプティング(XSS) | 中 | 6.1.7未満 |
ElementsKit Elementor Addons | アクセス制御の不備 | 中 | 2.9.0未満 |
Forminator | ファイルアップデートの脆弱性 | 緊急 | 1.24.6未満 |
Gutenberg Blocks by Kadence Blocks | ファイルアップデートの脆弱性 | 高 | 3.1.10未満 |
InfiniteWP Client | 機密情報漏えいの脆弱性 | 低 | 1.12.0未満 |
Hide My WP Ghost | バイパスの脆弱性 | 中 | 5.0.25未満 |
TI WooCommerce Wishlist | SQLインジェクション | 緊急 | 2.7.3未満 |
Slimstat Analytics | クロスサイトスクリプティング(XSS) | 中 | 5.0.8未満 |
Advanced File Manager | 機密情報漏えいの脆弱性 | 低 | 5.1.0未満 |
Change WP Admin Login | バイパスの脆弱性 | 中 | 1.1.3未満 |
EmbedPress | クロスサイトスクリプティング(XSS) | 中 | 3.8.2未満 |
Blog2Social | クロスサイトスクリプティング(XSS) | 高 | 7.2.0未満 |
wpDataTables | PHP Object インジェクション | 低 | 2.1.65未満 |
Booster for WooCommerce | アクセス制御の不備 | 中 | 7.0.0未満 |
Folders | ファイルアップデートの脆弱性 | 中 | 2.9.2未満 |
Post Grid Combo | 機密情報漏えいの脆弱性 | 高 | 2.2.50未満 |
iThemes Sync | アクセス制御の不備 | 中 | 2.1.13未満 |
Profile Builder | アクセス制御の不備 | 中 | 3.9.7未満 |
Cost Calculator Builder | アクセス制御の不備 | 中 | 3.1.42未満 |
AI Engine: ChatGPT Chatbot | クロスサイトスクリプティング(XSS) | 中 | 4.7.7未満 |
PostX – Gutenberg Post Grid Blocks | クロスサイトスクリプティング(XSS) | 高 | 3.0.5未満 |
WordPress.orgが「100年プラン」を発表
WordPress.orgを運営するAutomattic社は、8月25日に新プラン「100-Year Plan(100年プラン)」を発表しました。
ドメインとデータを100年間保護する、というもので、価格は「3万8,000ドル(約550万円)」の1回払い。
写真・音声・ビデオなどのデジタル資産を残したい家族や過去・現在・未来までを残しておきたいと考える会社の創業者、あらゆるテクノロジーの変化に適応できるオンラインホームを求める人などを想定しているとのこと。
高額なサービスというだけあって、分散されたデータセンター間で複数のバックアップする他、無制限の帯域幅・クラス最高のスピード・強力なセキュリティ、24時間365日のフルサポートも提供しています。面白いところでは、新生児にサイトを贈る場合の所有権スムーズな譲渡も支援する、といったものも。
CEOのマット・マレンウェッグ氏によると、長期的な思考を促進するために設立されたNPO団体「ロングナウ財団」からもインスピレーションを受けたそうです。
長期的なサービス提供を担うのだ、という同社の意気込みが感じられますが、ここ数年でも大きな技術革新がいくつもあったように、100年後の未来に「Web」という仕組みがあるのか、ドメインは機能しているのかなど、現状では想像できない要素もあります。
同社が変化にどう対処し、このサービスを継続していくのか、ゆっくりと見守りたいですね。
(100年後までは流石に生きていないと思いますが)
WordPress保守・運用のパートナーなら「wp.support」にお任せ!
WordPressサイトを運用していて、以下のようなお悩みはありませんか?
- 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
- サイトのUI/UXを改善したいけれど、自社内では難しい…
- WordPressサイトを高速化したいけれど、ノウハウがない…
- セキュリティ対策をしたいけれど、知識のある人材がいない…
- 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
- ちょっとしたトラブルを気軽に相談できる相手が欲しい…
「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。
既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。
WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。
バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!