- 2014年5月21日
- WordPress脆弱性情報 , セキュリティについて
WordPressプラグインには危険がいっぱい
世界で最も有名なCMSである、WordPressはすでに9000万以上のサイトで使われていると言われています。
そして、その特長の一つがカスタマイズ性の高さにあることは、一度利用したことのある方であれば納得でしょう。
しかし、そのカスタマイズ性の高さ故に、時としてWordPressは重大なセキュリティホールを抱え込むことになります。
実際、ここ数週間だけを見ても
- Formidable Forms プラグインに任意のコードを実行できる脆弱性
- Bonuspressx プラグインに脆弱性
- Query Interface プラグインにいくつかの問題
- wordpress Photo-Gallery プラグインに、CSRFアタックに対する脆弱性
- WP Affiliate Managerプラグインに脆弱性
- WordPress iMember360プラグインに脆弱性
- Jetpackプラグインに深刻な脆弱性
と、深刻な脆弱性がいくつも発見されており、その中には対策がまだ取られていないものも含まれています。放置しておけば、重要な個人情報や、クレジットカード情報の漏洩、ひいてはサイトの乗っ取りなどを招きかねない状況です。
そして、そのほとんどの原因は「プラグイン」です。実際、WordPress本体は非常に多くの方が使い、監視の目を光らせてるので、セキュリティホールがあれば迅速に発見されますし、週背も早いことが多いです。
しかし、プラグインは違います。プラグインを使っている人はほんの少数かもしれません。また、気づいたとしても、メーカーや作者が放置してしまえばそれでおしまいです。重要なプラグインであっても、利用を止めざるをえない場合もあります。
ですから、WordPressを用いる場合は、常に最新の脆弱性情報を取り込みながら、プラグインの導入は慎重に行っていただくことをお勧め致します。