2023年10月24日
キャッシュ系プラグインとして人気のLiteSpeedキャッシュプラグインのXSS脆弱性にパッチ、400万以上のWordPressサイトに影響とリリースされていますので、ご利用のサイトは必ずアップデートを行なってください。影響を受けるバージョンは5.6以下
クロスサイト・スクリプティング(XSS)の脆弱性
XSS脆弱性は一般的に、データのサニタイズとエスケープと呼ばれるセキュリティプロセスの欠如を利用するタイプです。
サニタイズとは、問い合わせフォームのような正当な入力によってアップロードできるファイルの種類をフィルタリングする技術として認知されています。
今回のLiteSpeedの脆弱性では、ショートコード機能の実装により、悪意のあるハッカーが、データのサニタイズとエスケープという適切なセキュリティプロトコルが実施されていればアップロードできなかったスクリプトをアップロードできるようになっている状態に。
LiteSpeed Cache for WordPress(LSCWP)
バージョン: 5.7
最終更新日: 2週間前
有効インストール数: 4百万以上
WordPress バージョン: 4.0またはそれ以降
検証済み最新バージョン: 6.3.2
WordPress(ワードプレス)で脆弱性リリースが出た場合の対処方
まず、WordPressの脆弱性は多くの有志が確認を行なっており、他のCMSや言語より脆弱性が多くみられて心配になるサイトもあるかもしれません。
ただし、ブラックボックスのままにせず必ずアップデート通知が来る事と、セキュリティ情報をキャッチアップしていれば何も問題のない素晴らしいCMSの一つです。
担当者が退職したりあまり利用方法がわからず、WordPress(ワードプレス)が管理できない場合
まず、今回のようなキャッシュプラグインは必要がない場合はデリート。
今のWordPressは作り方次第ですが、あわない構成にしない限りは5個以内で収まるはずです。
毎日、毎週自社で確認できない場合は、制作会社にフィードバックを行なってくれる企業や保守依頼をお願いしてみてください。