100万ダウンロード超え、SEO対策統合プラグイン、All in One SEO Pack に脆弱性

言わずと知れた、超有名プラグイン、All in One SEO PackにJVNにて脆弱性が報告されました。

WordPress 用プラグイン All in One SEO Pack における情報管理不備の脆弱性

All in One SEO Pack は、WordPress 用のプラグインです。All in One SEO Pack では、初期設定で、本文の一部を含む META タグをページに追加する機能が有効となっています。追加された META タグから、WordPress の「パスワード保護」機能で閲覧を制限したページであっても、本文の一部を閲覧される可能性があります。

パスワード保護を施したページが見られるということで、乗っ取りのような重大性はないかと思われますが、いずれにしろ気分のいいものではありません。

 

対策もすでに公表されており、アップデートを行うか、もしくは

  • All in One SEO Pack の設定画面で「詳細を自動生成」(“Autogenerate Descriptions”) 機能を無効にする

と言う方法を使うことで、脆弱性を回避することが可能とのこと。

 

おそらく日本語版だとAdvanced Settingsの中の、「詳細を自動生成」というやつですね。確かにデフォルトでチェックが入っています。

General Settings ‹ 株式会社レオンテクノロジーはWEBサイトを守るセキュリティ会社です — WordPress

こいつを外すより、アップデートを行うほうが安全だとは思いますが、故あってアップデート出来ない方は、この方法が良いかもしれません。

 

レオンテクノロジーは現在、一緒に働く仲間を募集しております!
興味がある方はこちらから!

セキュリティに関するご相談はこちらから!

こんな記事も読まれています