WordPress周りの脆弱性情報のソース

2021-06-24
2021-08-21

プラグインやテーマを含めるとWordPressの脆弱性は毎日のように出てくるものなので、情報にしっかりキャッチアップしておく必要がある。

さすがに毎日張り付いて情報を収集するのは厳しいが、WPScanやithemes.comのニュースレターを購読すれば月一や週一の十分な頻度で簡単に脆弱性情報を知ることができる。

WPScan

https://wpscan.com/

ユーザー登録してログインしてSubscribe to Newsletterするとメールで脆弱性レポートが送られてくる。

基本は毎月1日の配信で、前月に発見されたWordPress本体、プラグインやテーマ脆弱性のリストが含まれる。
加えて非常にクリティカルな脆弱性の場合はこの月イチのレポートとは別に速報的なお知らせが来る。

プラグイン

WPScanプラグインをインストールすると、運用中のWordPressの脆弱性をリアルタイムにまとめてチェックすることができる。
利用にはWPScan.comのユーザー登録で得られるトークンが必要。

ただしfreeプランだと25回/1日のAPI制限がある。
APIリクエストの回数はWordPress本体で1回、プラグインの個数分、テーマの個数分の合計となるため、プラグインを多めに使っているサイトだとチェックを完了できない。

運用的に有用だと思うのならば有料版を検討するのもひとつ。

ithemes.com

ソースはWPScanだが毎週木曜日、週1回の頻度でレポートが送られてくるため、WPScanのニュースレターより早めのキャッチアップができるのがメリット。

iThemes Securityプラグインをインストールした際の設定画面か、または適当なVulnerability Reportを開いて「Get the weekly WordPress Vulnerability Report delivered right to your inbox.」の横の「Subscribe now」をポチっとすれば購読できる。

自動更新していても油断は禁物

WordPress本体、プラグイン、テーマの自動更新を有効にしていれば基本的に脆弱性の修正も自動で行われると考えてよい。のでそれほどシビアに脆弱性情報をウォッチする必要はなくなる。

ただしプラグインやテーマは打ち捨てられてアップデートされなくなるケースがある点に注意。
そうした修正が見込めないプラグインやテーマの脆弱性が見つかった場合は自分で修正するか利用を終了するかの選択をしなくてはならない。

Profile

フルスタック気味のフリーランスプログラマー。

どちらかと言うと得意はインフラ構築とサーバーサイドプログラミングですが、フロントエンドもぼちぼちやっています。

最近の興味範囲はWordPress、AWS、サーバーレス、UIデザイン。

愛車はセロー。カメラはペンタックス。旅好きです。横浜在住。