基礎知識 2024.01.31 2024.02.02
【2024年1月】WordPress脆弱性情報&注目ニュース まとめ|WooCommerceプラグインに脆弱性発見など
2024年1月度のWordPress脆弱性情報
2024年1月度に発見された脆弱性をご紹介します。
今月はWordPressやプラグインに関連する脆弱性が28個発見されました。
今回は、500万以上のサイトでインストールされているECサイト構築機能を追加する「WooCommerce」プラグインでも脆弱性が見つかるなど、注意すべき項目も多数あります。
自社のWordPressで使用している場合は、速やかに修正済みバージョンへのアップデート、アンインストールなどの対策を行いましょう。
- OMGF GDPR/DSGVO Compliant, Faster Google Fonts
- 深刻度: 緊急
- 脆弱性: 認証不足 & クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6600
- インストール数: 300,000+
- 影響を受けるバージョン: OMGF <= 5.7.9
- 修正済みバージョン: OMGF 5.7.10
- GiveWP
- 深刻度: 緊急
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-51415
- インストール数: 100,000+
- 影響を受けるバージョン: GiveWP <= 3.2.2
- 修正済みバージョン: GiveWP 3.3.0
- LearnPress
- 深刻度: 緊急
- 脆弱性: SQLインジェクション
- CVE: CVE-2023-6634
- インストール数: 90,000+
- 影響を受けるバージョン: LearnPress <= 4.2.5.7
- 修正済みバージョン: LearnPress 4.2.5.8
- WooCommerce
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- インストール数: 5,000,000+
- 影響を受けるバージョン: WooCommerce < 8.4.0
- 修正済みバージョン: WooCommerce 8.4.0
- Essential Addons for Elementor
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-7044
- インストール数: 2,000,000+
- 影響を受けるバージョン: Essential Addons for Elementor <= 5.9.4
- 修正済みバージョン: Essential Addons for Elementor 5.9.5
- Hostinger
- 深刻度: 重要
- 脆弱性: 認証不足
- CVE: CVE-2023-6751
- インストール数: 2,000,000+
- 影響を受けるバージョン: Hostinger <= 1.9.7
- 修正済みバージョン: Hostinger 1.9.8
- LightStart
- 深刻度: 重要
- 脆弱性: 認証不足
- CVE: CVE-2023-7019
- インストール数: 700,000+
- 影響を受けるバージョン: LightStart <= 2.6.8
- 修正済みバージョン: LightStart 2.6.9
- Happy Elementor Addons
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- インストール数: 400,000+
- 影響を受けるバージョン: Happy Elementor Addons <= 3.10.0
- 修正済みバージョン: Happy Elementor Addons 3.10.1
- WP Google Maps
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6697
- インストール数: 400,000+
- 影響を受けるバージョン: WP Google Maps <= 9.0.28
- 修正済みバージョン: WP Google Maps 9.0.29
- POST SMTP Mailer
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-7027
- インストール数: 300,000+
- 影響を受けるバージョン: POST SMTP Mailer <= 2.8.7
- 修正済みバージョン: POST SMTP Mailer 2.8.8
- PDF Invoices & Packing Slips for WooCommerce
- 深刻度: 重要
- 脆弱性: SQLインジェクション
- CVE: CVE-2024-22147
- インストール数: 300,000+
- 影響を受けるバージョン: PDF Invoices & Packing Slips for WooCommerce <= 3.7.5
- 修正済みバージョン: PDF Invoices & Packing Slips for WooCommerce 3.7.6
- Orbit Fox Companion
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-0508
- インストール数: 200,000+
- 影響を受けるバージョン: Orbit Fox Companion <= 2.10.27
- 修正済みバージョン: Orbit Fox Companion 2.10.28
- PageLayer
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6738
- インストール数: 200,000+
- 影響を受けるバージョン: PageLayer <= 1.7.8
- 修正済みバージョン: PageLayer 1.7.9
- AMP for WP
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-0587
- インストール数: 100,000+
- 影響を受けるバージョン: AMP for WP <= 1.0.92.1
- 修正済みバージョン: AMP for WP 1.0.93
- Essential Blocks
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-7071
- インストール数: 100,000+
- 影響を受けるバージョン: Essential Blocks <= 4.4.6
- 修正済みバージョン: Essential Blocks 4.4.7
- Schema & Structured Data for WP & AMP
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-22146
- インストール数: 100,000+
- 影響を受けるバージョン: Schema & Structured Data for WP & AMP <= 1.25
- 修正済みバージョン: Schema & Structured Data for WP & AMP 1.26
- WordPress Button Plugin MaxButtons
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6594
- インストール数: 100,000+
- 影響を受けるバージョン: WordPress Button Plugin MaxButtons <= 9.7.4
- 修正済みバージョン: WordPress Button Plugin MaxButtons 9.7.6
- List category posts
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6994
- インストール数: 100,000+
- 影響を受けるバージョン: List category posts <= 0.89.3
- 修正済みバージョン: List category posts 0.89.4
- Plugin for Google Reviews
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6884
- インストール数: 100,000+
- 影響を受けるバージョン: Plugin for Google Reviews <= 3.1
- 修正済みバージョン: Plugin for Google Reviews 3.2
- EmbedPress
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6986
- インストール数: 80,000+
- 影響を受けるバージョン: EmbedPress < 3.9.5
- 修正済みバージョン: EmbedPress 3.9.6
- 3D Flipbook
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6776
- インストール数: 70,000+
- 影響を受けるバージョン: 3D Flipbook <= 1.15.2
- 修正済みバージョン: 3D Flipbook 1.15.3
- Amelia
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6808
- インストール数: 60,000+
- 影響を受けるバージョン: Amelia <= 1.0.93
- 修正済みバージョン: Amelia 1.0.94
- MapPress Maps for WordPress
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6524
- インストール数: 50,000+
- 影響を受けるバージョン: MapPress Maps for WordPress <= 2.88.16
- 修正済みバージョン: MapPress Maps for WordPress 2.88.17
- WP Recipe Maker
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6958
- インストール数: 50,000+
- 影響を受けるバージョン: WP Recipe Maker <= 9.1.0
- 修正済みバージョン: WP Recipe Maker 9.1.1
- Complianz GDPR/CCPA Cookie Consent
- 深刻度: 警告
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6498
- インストール数: 800,000+
- 影響を受けるバージョン: Complianz GDPR/CCPA Cookie Consent <= 6.5.5
- 修正済みバージョン: Complianz GDPR/CCPA Cookie Consent 6.5.6
- FluentForm
- 深刻度: 警告
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-0618
- インストール数: 400,000+
- 影響を受けるバージョン: FluentForm <= 5.1.5
- 修正済みバージョン: FluentForm 5.1.7
- Filebird
- 深刻度: 警告
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-0691
- インストール数: N/A
- 影響を受けるバージョン: Filebird <= 5.6.0
- 修正済みバージョン: Filebird 5.6.1
- WP RSS Aggregator
- 深刻度: 警告
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-0630
- インストール数: 60,000+
- 影響を受けるバージョン: WP RSS Aggregator <= 4.23.4
- 修正済みバージョン: WP RSS Aggregator 4.23.5
WooCommerce8.5.0で脆弱性でロールバック|8.4.0は安全
WordPressにEC機能を追加するプラグイン「WooCommerce」の最新バージョン「8.5.0」でクロスサイトスクリプティングの脆弱性が発見されました。
この脆弱性については、「8.4.0」のバージョンでは修正されていたようでロールバックするという対処がとられています。
したがって、「8.4.0」のバージョンを使っている場合は安全です。
また、2024年1月31日時点で最新バージョンは「8.5.2」となっており、脆弱性修正済みのバージョンが公開されており、最新バージョンに更新しても問題ありません。
もし「8.5.0」をインストールしてしまい、現在もそのまま使用している場合は最新バージョンにアップデートすることを推奨します。
テーマ・プラグイン・レンタルサーバーのシェア・表示速度ランキングをマニュオンが発表
2024年1月時点のWordPressテーマ・プラグイン・レンタルサーバーのシェア、表示速度ランキングをマニュオンが発表しました。
以下、代表的なランキングのみ掲載します。
なお、ランキングの完全な情報については、こちらの記事を参照してください。
WordPressサーバー国内シェア率ランキング
日本国内のWordPressサーバーシェア率は以下になります。
- エックスサーバー
- さくらインターネット
- ロリポップ
- Conoha WING
- お名前.com レンタルサーバー
エックスサーバーやさくらインターネットなど、有名なレンタルサーバーが上位を占めています。
WordPressテーマ国内シェア率ランキング
WordPressテーマのシェア率は以下になります。
- SWELL
- Cocoon
- Lightning
- JIN
- SANGO
近年注目されているSWELL、Cocoon、Lightningが上位でした。
SWELLはこのほかに表示速度ランキングでも1位を獲得しています。
WordPressプラグイン国内シェア率ランキング
プラグインのシェア率は以下になります。
- Contact Form 7
- All in One SEO Pack
- Site Kit by Google
- Table of Contents Plus
- Jetpack
お問い合わせフォームを作成する「Contact Form 7」、SEO機能を提供する「All in One SEO Pack」、Googleの各サービスとの連携ができる「Site Kit by Google」など、サイトを運営する上で基本的な機能を提供するプラグインが上位にランクインしています。
WordPress保守・運用のパートナーなら「wp.support」にお任せ!
WordPressサイトを運用していて、以下のようなお悩みはありませんか?
- 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
- サイトのUI/UXを改善したいけれど、自社内では難しい…
- WordPressサイトを高速化したいけれど、ノウハウがない…
- セキュリティ対策をしたいけれど、知識のある人材がいない…
- 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
- ちょっとしたトラブルを気軽に相談できる相手が欲しい…
「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。
既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。
WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。
バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!