世界中で広く使われ、日本でも数百万のWEBサイトのコンテンツマネジメントシステム(CMS)として使用されている人気の「WordPress」。そんなWordPressを導入した時は間違いなく導入されているであろう人気のプラグイン「All In One SEO(AIOSEO)」に2023年1月に脆弱性が発見されたことが公表されました。
目次
超人気のプラグイン「All In One SEO(AIOSEO)」とは
WordPressより引用:All in One SEOダウンロードページ
Word Pressでホームページを作成・管理するうえでもSEO対策は非常に重要です。
“All in One SEO”は、Word PressでSEO対策を専門家や開発者でなくても誰でも簡単に設定・管理が可能となりWEBサイトを検索エンジンに対して最適化してくれるプラグインツールとして世界中で300万以上のWEBサイトで利用されている無料のツールです。
「All In One SEO(AIOSEO)」に確認された脆弱性
今回発見された脆弱性は2つのクロスサイトスクリプティング(XSS)問題で、特定の要素にスクリプトを挿入できる可能性があります。これらの問題は、「DEFIANT」によって検出され、2023年1月26日に開発者に報告されました。
脆弱性の影響を受ける「All In One SEO(AIOSEO)」のバージョン
今回の発表で脆弱性の影響を受けるバージョンは4.2.9以前のバージョンになります。
プラグインをインストールされている方はWord Pressの管理画面にある「プラグイン」から「All In One SEO(AIOSEO)」のバージョンを確認してください。
WordPress管理画面より引用
今回発見された脆弱性の評価とリスク
「CVE-2023-0585」については管理者の権限が必要である一方、「CVE-2023-0586」の問題については、寄稿者以上の権限を有するユーザーが悪用可能であるため、投稿が編集者によって確認される過程などで問題が発生する可能性が想定されています。
これらの脆弱性のカナが共通脆弱性評価システム「CVSSv3」によって評価され、「CVE-2023-0586」は「6.4」、「CVE-2023-0585」は「4.4」のスコアがつけられました。これらのスコアは、その脆弱性の重要度を「中(Medium)」と示しています。
「All In One SEO(AIOSEO)」で発見された脆弱性の対策
今回発見されている脆弱性は、2023年2月6日にすでに公開されたプラグイン「同4.3.0」にて修正が施されました。さらに、その後のアップデートである「同4.3.1.1」でも、追加の修正版がリリースされています。
既に提供元から修正版がリリースされていますが、まだアップデートしていない方はすぐに確認してアップデートをすることをお薦め致します。
まとめ「Word Pressのプラグインは必ず最新バージョンにアップデートを」
既に最新版がリリースされてから約7ヶ月経過していますが、未だアップデートをされていないケースがあるようです。
今回の脆弱性を放置し狙われるとSEOの対策をするつもりが逆に検索順位を下げてしまう可能性もあります。まずは自社のプラグインのバージョンを確認、そしてサイト全体の脆弱性の診断も合わせて実施してください。
【この記事と関連する記事はコチラ】