【WordPressのセキュリティ情報】「All in One SEO Pack」プラグインにXSSの脆弱性。

はじめに

WordPressのプラグインとして、よく利用されている「All in One SEO Pack」プラグインにXSSの脆弱性が発見されました。

下記の記事では、200万人に影響があるとされています。

参照（英語サイト）：https://www.wordfence.com/blog/2020/07/2-million-users-affected-by-vulnerability-in-all-in-one-seo-pack/

すでにパッチ（修正アップデート）が配布されているため、利用されている方は、最新版への更新をおすすめします。

アップデートが必要となるプラグインのバージョン情報ですが、3.6.1以下のバージョンは影響があるようです。

確認方法は？

確認の方法ですが、下記をご覧ください。

下記に当てはまる場合は、アップデートの対象です。

① WordPressにログイン

② サイドバーのメニュー内にある「プラグイン」へ移動

③ 該当箇所の数値が、3.6.1以下の場合

今回の脆弱性のXSSとは？

XSS（クロスサイトスクリプティング）という脆弱性は、サイトへ訪問した人に対して、悪意のあるスクリプトが実行されてしまう可能性があります。

どういったリスクが有るか、というと第三者に情報が漏洩する恐れがあります。

例えば、あるサービスのアカウント情報が漏洩し、不正にアカウントを利用されてしまうケースや、過去の事例としてはTwitterで罠が仕込まれたツイートを勝手にしてしまうといった被害などが出ております。

さいごに

WordPressは、サイトに気軽に利用されているシステムですが、常にアップデートされているシステムです。

作ったままで放置されているサイトや、アップデートがされていないサイトがほとんどだと思います。

ただし、定期的にシステムの脆弱性が発生している事実もありますので、Wordpressのアップデートについては定期的に行っていくことをおすすめしております。

この機会に、セキュリティリスクについても検討していきましょう。