セキュリティの
学び場

今回の解説ニュース

WordPressのプラグインに複数の脆弱性が発見されています。ご利用中の方はアップデートを検討してください。発見された脆弱性の内容と、WordPressのプラグインを使う際に、セキュリティの観点で気を付けるべきポイントについて説明します。

今回の脆弱性は、WordPress用プラグインNinja Formsにクロスサイトリクエストフォージェリとクロスサイトスクリプティングの脆弱性が存在するというものです。影響を受けるシステムは、クロスサイトリクエストフォージェリは3.4.31より前のバージョンで、クロスサイトスクリプティングは3.8.1より前のバージョンです。影響として、当該製品にログインした状態のサイト管理者が細工されたページにアクセスした場合、意図しない操作をさせられたり、当該製品を使用しているサイトにアクセスしているユーザのウェブブラウザ上で任意のスクリプトを実行されたりする可能性があるということです。深刻度を表すCVSSv3の基本値は4.3と5.4で、3番目に高い「警告」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2024-25572」「CVE-2024-26019」「CVE-2024-29220」で検索してみてください。

WordPressが世界中で利用されている理由

WordPressが世界中で利用されている理由として、無料で使えて、拡張性があり、使いやすいことなどが挙げられます。

WordPressはオープンソースのソフトウェアであり、誰でも無料で利用することができます。そのため、コストを抑えたい個人や中小企業にとっては、魅力的な選択肢の一つとなっています。

また、WordPressには、プラグインと呼ばれる拡張機能が豊富に用意されており、プラグインを導入することで、コメントやフォーム、SEO対策など、様々な機能を追加することができます。また、テーマと呼ばれるデザインテンプレートも豊富に揃っているので、サイトのデザインを簡単に変更することができます。

さらに、WordPressは、プログラミング知識がなくても直感的に操作できるシンプルなインターフェースが特徴で、初心者でも簡単にウェブサイトを作成して、編集することができます。

以上から、ブログ、企業サイト、ECサイトなど、幅広い用途で利用されていますが、一方で、その技術的な敷居の低さから、セキュリティインシデントも数多く発生しています。

セキュリティの観点で気を付けるべきポイント

WordPressのプラグインを使う場合は、基本的なセキュリティ対策に加えて、信頼できるプラグインのみを使用することが必要です。

一般的なセキュリティ対策と同様に、プラグインの脆弱性を悪用した攻撃を防ぐために、常に実績のある最新バージョンを利用することが重要です。WordPress本体の設定画面から自動アップデートを有効化するか、定期的に手動でアップデートを確認した上で、適用するようにしましょう。また、不要なプラグインは脆弱性の発見やアップデートの負担が大きくなるため、必要な機能のみに厳選して導入しましょう。使用していないプラグインはアンインストールするか、無効にしておくことが重要です。

悪意のある開発者によって作成されたプラグインは、マルウェアを仕込んだり、ユーザー情報を窃取したりするコードが埋め込まれている可能性があります。そのため、WordPress公式ディレクトリまたは信頼できる開発者のサイトからプラグインをダウンロードして、インストールすることが重要です。もし、プラグインを導入する前に、ユーザーレビューや評価を確認できる場合は、悪評が目立つプラグインは避けた方がいいかもしれません。ダウンロード数や開発者の対応状況なども参考になりますので、事前に確認するようにしましょう。