2023年2月27日にWordfenceブログが更新されました。
2023 年 1 月 26 日、Wordfence チームは、300 万を超えるサイトにインストールされている WordPress プラグインであるAll In One SEO Packの 2 つの脆弱性を開示しました。
影響を受けるAll In One SEO Packのバージョンは4.2.9。このバージョンを利用している方はすぐにパッチが適用された4.3.0にバージョンアップしましょう。
2つの脆弱性はストアド型のクロスサイトスクリプティングで、管理者レベルの権限を持つユーザーのものと、寄稿者以上のユーザーがアクセスできるものだとのこと。
クロスサイトスクリプティングとは?
クロスサイトスクリプティングとは、Webサイトの脆弱性を利用し、記述言語であるHTMLに悪質なスクリプトを埋め込む攻撃のこと。
今回発見されたのは、ストアド型と呼ばれるWeb サイトが蓄積しているコンテンツ中に紛れ込ませるタイプのもので、攻撃者が用意した悪意あるスクリプトを、サイトのリンクなどに設置し、訪問者がそれを利用することで別のサイトに遷移して、悪意あるスクリプトが実行されます。場合によっては情報漏洩につながるので注意が必要です。
セキュリティを万全なものに
WordPressにセキュリティプラグインを導入し、プラグインに脆弱性が発見されたら更新or代替プラグインを導入し削除しましょう。
とはいえ、使いたいプラグインがWordPress最新版に対応していなかったり、PHPバージョンが合わなかったりと色々面倒なことも多々あります。
もし、自分で対応しきれない場合はその道のプロにお願いしてしまうのも一つの手だと思います。
弊社ネクスト・アクションでは、技術相談からエラー復旧、保守運用まで行っておりますので、更新時間がない方や、自信がない方はお気軽にご相談ください。