こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。
2022年1月28日に、WordPressのプラグイン「The Photo Gallery」に、複数のクロスサイトスクリプティングの脆弱性があることが報告されました。
https://jvndb.jvn.jp/ja/contents/2021/JVNDB-2021-007000.html
これらの脆弱性の原因は、画像編集ページなどでのユーザー入力の不適切な処理が原因です。
WordPressの脆弱性をついた攻撃について
該当のプラグインを有効にしている場合、情報を取得される場合や情報を改ざんされる可能性があります。WordPress本体が攻撃されるとリモートでの改ざんが可能になり、サイトからの情報をリモートで不正取得されることがあります。
共通脆弱性評価システム(CVSS)での基本評価では、安全性への影響が部分的で、攻撃の複雑さは中程度になっています。
https://jvndb.jvn.jp/ja/contents/2021/JVNDB-2021-007000.html
対象のプラグインとバージョン
2022年1月28日に報告された脆弱性の影響を受ける対象のプラグインは、TenWeb, Inc.の「The Photo Gallery」の1.5.69未満のバージョンです。
下記が対象プラグインの公式ページです。
脆弱性への対策方法
脆弱性への対策は以下の方法が有効です。
・プラグインを最新バージョンにアップデートする
・WordPressを常に最新バージョンに保つ
・webサイトのログインURLを変更する
・脆弱性診断サービスを定期的に利用する
上記に示した対策方法の中で、最も有効なのが最新バージョンにアップデートする方法です。WordPressは脆弱性を解消するために、定期的にアップデートされているため、常に最新バージョンにしておくことで、脆弱性への対策が可能になります。
まとめ
使いやすくサイトを作成するツールとして人気のWordPressですが、脆弱性というデメリットがあります。脆弱性への対策をしなければ、不正ログインなどによる攻撃を受け、大切な情報を改ざんされてしまう危険性があります。より安全にwebサイトを利用するためには、常に最新バージョンに保っておくことが最も有効な対策といえます。
弊社では日々WordPressおよびプラグインのセキュリティ情報をチェックしており、お客様のサーバーで利用しているプラグインについては検証、本番それぞれの環境でアップデートを代行可能です。
リリース後のWordPressサイトのセキュリティ情報のチェックが追いつかない場合はぜひご相談くださいませ。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
