WordPressの人気プラグイン「Better Search Replace」に脆弱性
ホームページに実装されるCMSで世界的シェアを誇るのはWordPressですが、そのプラグインの中でも人気のある「Better Search Replace」に脆弱性が見つかりました。
Wordfenceが1月24日に発表した警告によれば、WordPressの人気プラグイン「Better Search Replace」のバージョン1.4.4以下に重大な脆弱性が見つかっています。
この脆弱性を悪用されると、認証されていない第三者がPHPオブジェクトを挿入でき、他のプラグインを介してファイルの削除やデータの窃取が可能になります。影響を受けるバージョンは1.4.4以下であり、対策としては1.4.5以上のバージョンへのアップデートが必要。この脆弱性はCVE-2023-6933として報告されており、信頼できない入力を逆シリアル化する不具合が原因。
Wordfenceによれば、この脆弱性はBetter Search Replaceだけでなく、POPを含む他のプラグインやテーマでも悪用される可能性があります。Wordfenceは過去24時間で数千件の悪用試みを観測し、影響を受ける可能性があるWordPressサイトの管理者には速やかな対応が求められています。
WordPressの危険性
WordPressのプログラムはオープンソースのため、プログラムの内容が公開されています。かつ世界でNo1のCMSシェアを持つことから世界中のハッカーから狙われやすいという特徴があります。
かつWordPressは「プラグイン」で、いろいろな機能を選んで組み込めるというメリットがありますが、その「プラグイン」はそれぞれの会社が開発しているため、そのプラグインに脆弱性が見つかり「プラグイン」の方が狙われるということも多いです。
そうするとWordPressは常にバージョンアップする必要はありますし、かつ「プラグイン」の方も常にバージョンアップしていかなくてはなりません。
その際に問題となるのは、WordPressのバージョンに対して、プラグインのバージョンが適合しないこともあり、WordPressのバージョンを上げたら、プラグインが機能しなくなったとうことも多々あります。そのためWordPressを実装しているWebサイトの中には自動でのバージョンアップを止めているサイトも実は多いのです。
そしてバージョンアップを止めている期間が長くなればなるほど、プラグインのバージョンアップをするためには、WordPressの本体のバージョンアップもしなければならないなどの手間が増えますし、手間が増えればその費用もかさんできます。
WordPressはオープンソースで無料だから初期費用を抑えられると思いがちですが、実はセキュリティ対策にかかるランニングコストが大きいのです。
WordPressではないCMSってないの?
あります。しかも安全で、安い国産のCMSがあります。
それは「a-blog cms」というCMSです。
この「a-blog cms」は、名古屋のアップルップル社が開発したCMSで、実装数も5,000サイトを超えています。当社でもCMSをホームページに実装する場合は「a-blog cms」を勧めしてきましたので実装数は100サイトを超えました。このCMSは何がいいかという言うと、セキュリティ対策で苦労することがほぼないです。国産のCMSのため世界的シェアとしては1%以下。海外から狙われることはWordPressと比べれば皆無に等しいです。
あとは、国産CMSということもあり、管理画面は日本人にとって、とても使いやすいことも人気です。
WordPressから乗り換えたい方は当社にご連絡ください
WordPressのセキュリティ対策にうんざりしている。その都度、バージョンアップ費用をホームページ制作会社から請求されるのも何とかしたい。
そんな方は当社にご連絡ください。
既存のWebサイトのCMSを「a-blog cms」に変更すること可能です。
