最近WordPressのバージョンが4.8に上がりましたが、複数のプラグインで脆弱性が報告されているそうです。
という事で、それらのプラグインを調べてみました。
もし使っている人がいましたら、バージョンを確認して必要なら早めにアップデートをして下さいね。
Contents
「NextGEN Gallary」
人気の高いフォトギャラリー用のプラグインです。
写真家などにも愛用されているプラグインですが、脆弱性を悪用されるとユーザー情報が盗まれる可能性があるそうです。
「WordPress Download Manager」
ダウンロード用プラグインとして人気のWordPress Download Manager ですが、バージョンによって違う脆弱性が確認されている様です。
2.9.50 より前のバージョン
クロスサイトスクリプティング(XSS)の脆弱性があるそうです。
クロスサイトスクリプティング(XSS)とは、ユーザのアクセス時に表示内容が生成される「動的Webページ」の脆弱性、もしくはその脆弱性を利用した攻撃方法のことです。 動的Webページの表示内容生成処理の際、Webページに任意のスクリプトが紛れ込み、Webサイトを閲覧したユーザ環境で紛れ込んだスクリプトが実行されてしまいます。
2.9.51 より前のバージョン
こちらにはオープンリダイレクトの脆弱性が発見されたそうです。
オープンリダイレクトとはWebブラウザによるインターネット上のサイトアクセスに関して、入力したサイトから他のサイトへ自動的に移動する機能のこと。
「WP-Members」
XSSに関しては↑の「WordPress Download Manager」の説明を参照してください。
「WP Job Manager」
求人情報用のプラグイン「WP Job Manager」では、 1.26.2 より前のバージョン」で、アクセス制限不備の脆弱性が存在しているそうです。
この脆弱性が悪用されると、リモートの第三者によって画像ファイルをアップロードされる可能性があるそうで、既に日本でも20日現在で70程のサイトが改ざんの被害にあっているそうです。
今のところ具体的に名前が挙がっているのは上記のプラグインですが、トラブルは何か起きてからしかニュースになりません。
WordPressは世界で一番利用されているCMSなので、攻撃されやすいという問題もあります。
今年はじめには世界中で150万件のサイト改ざんがあったばかりで、日本でも被害の報告が多数上がっているので他人事ではありません。
しかし、いずれも小まめにWordPressやプラグインをアップデートしておけば大半は防げるので、定期的にアップデートを行いましょう。
尚、プラグインの脆弱性とは別に、今年の4月にはWordPress4.8ではIE(インターネットエクスプローラー)の8・9・10のサポートを終了しました。
全く使えないと言う訳ではありませんが、新しいバージョンのプラグインでは正常に作動しないなどの不具合もあり得ます。
また、マイクロソフトもこれらのブラウザのサポートを終了しているので、サポートのないブラウザを使う事は危険です。
これらのブラウザを使っている方は早めに別のブラウザに乗り替えた方がいいでしょう。