WordPress人気プラグインの安全度検証(前編) - Akismet、Contact Form 7ほか

3. Jetpack by WordPress.com

ブログスペースを貸し出すサービスであるWordPress.comで提供している各種機能を、インストール型のWordPressに置いても利用できるようにしたプラグイン。アクセス解析やSNSへの投稿、コンタクトフォームの設置などがパッケージされています。

Jetpack by WordPress.comの安全性について

更新日についてはchangelog等にリリースバージョンの記載がなかったため記載なしと表記させていただきました。表中の記載は割愛いたしましたが、ver.2.9.2～2.2.4の19バージョンと2.2.2～1.9.1の13バージョン、合計32バージョンは(すなわちver.3.0で対応されるまでは)、外部から記事を公開される脆弱性が含まれております。現行の最新バージョンにおいては安全ではありますが、ブログメディア等のサイトを運用される際には注意が必要となります。

Jetpack by WordPress.comについての総評

現行の最新バージョンは安全です。しかし、利用ユーザー数が多く、過去にはXML-RPC機能を悪用した踏み台攻撃等も発生しております。

したがって、対策として、Apache等のWebサーバサイドで通信を塞いでしまい、必要な時のみxmlrpc.phpへのアクセスを許可する設定にすることをお勧めいたします。

XML-RPCサービスを無効化するWordPressPluginもありますが、サーバ設定にて対応するほうが無難です。

httpd.confの場合、以下のような記載を追記しhttpdを再起動すれば設定は完了となります。

<files xmlrpc.php>
Order Deny, Allow
Deny from all
</files>

これを追記する場所はどこでも問題ありません。

4. All in One SEO Pack

検索エンジン最適化(SEO)に必要な一連の作業をまとめて行うことのできるプラグインです。メインページのtitle、meta description、meta keywordsの設定に始まり、Webマスターツールへの登録、GoogleAnalyticsへの登録などがワンタッチでできます。

All in One SEO Packの安全性について

更新頻度についてはWordPress本体のマイナーアップデート時にAll in One SEO Packもアップデートを実施しているようですので、最新版のプラグインを利用する限り安全と言えます。

All in One SEO Packについての総評

最新版のプラグインを利用する限りは安全ですが、過去にXSSの脆弱性が発見されたことを考えると、未発見の脆弱性が潜んでいる可能性があります。

検索エンジンからのアクセスはサイトの生命線です。メタ情報が外部から書き換えられることのないよう、何らかの対策を行うことを推奨します。

対策としては、ページ内の記載文章やファイルサイズの改竄検知システムの導入、diffコマンドを利用したファイル容量・記載内容等の定期的な比較、有事の際にすばやくバックアップファイルを現行利用サーバに展開できる準備などをしておくことが望ましいでしょう。

5. WordPress SEO by Yoast

All in One SEO packと双璧をなすSEOプラグイン。All in One SEO packよりも高機能、多機能、かつ細かく設定ができます。SEO上級者用プラグインです。

WordPress SEO by Yoastの安全性について

更新頻度ですが、非常に頻繁に更新を実施しています。changelogを見る限り、Bugfixesと同量のEnhancements(機能強化)を実施しているようなので、刻々と変化する検索エンジンに対応しているのだと思います(あくまで筆者の推測です)。若干ではありますが、WordPressの非推奨関数をプログラム内で利用している傾向が見てとれるため、常に最新のプラグインを利用するようにご注意いただく必要があります^※5 。

※5 メジャーなプラグインにおいても脆弱性が発生しうる理由について
ほとんどの場合、非推奨関数を利用してプログラムを構築していることが原因です。現行バージョンにおいては推奨関数であってもアップグレード時に非推奨関数となる場合もあり、現行利用できる推奨関数であっても脆弱性が発見されるケースが多いため、脆弱性が根絶されません(詳細は関数リファレンスを参照)。

WordPress SEO by Yoastについての総評

コチラに関しても、All in One SEO Packと同様、検索エンジンからの評価を損なわないためにもセキュリティ対策を実施しておくべきかと思います。対策の内容もAll in One SEO Packと同様です。

本体の脆弱性について

プラグインではありませんが、WordPress本体の脆弱性についても触れておきましょう。

既に公開されている脆弱性は以下のとおりです。

2012年1月以降に公開されたWordPress本体のバージョンと脆弱性

上記は2012年1月以降に公開されたWordPress本体のバージョンと主な脆弱性です。プログラムバグやプログラムバグに起因する脆弱性については記載しておりません。また、掲載する図があまりにも大きくなるため、3.6.1～3.9の本体バージョンの脆弱性は掲載を割愛しております。詳細な情報が必要な方は、レオンテクノロジーまでお問い合わせいただければ提供いたします。

以上、今回は人気ランキング1位～5位までのプラグインについて、過去の脆弱性やセキュリティ上の懸念点について精査していきました。次回は6位～10位までをご紹介いたします。詳細を解説する中で設計方針などにも触れる予定ですので、ぜひ次回もご覧ください。