「WordPress」長い間更新されていないプラグインの安全性はどうなのか

plugin-security-min

WordPressのプラグインをいざ使おうと思ったときに、1年や下手したら2年以上更新されていないプラグインがあります。

この場合セキュリティ的にどうなのかと考えてしまい使うか、使うべきではないのか迷ってしまいますよね。というのも「WordPress」というワードでたまにGoogleでニュース検索をする時があるのですが、結構な頻度で脆弱性が見つかったというニュースが目に入ってくるからです。

SPONSORED LINK

photo by DaveBleasdale

中には以前使っていたプラグインや今も使用しているプラグインに脆弱性が発見されたというニュース記事もあります。

具体例を挙げると今年の5月に「Jetpack」に脆弱性が発見されたというニュースを見て、その時は「Jetpack」を利用していたので驚いたという記憶があります。

悪用されれば管理者アカウントが乗っ取られたり、訪問者が不正なWebサイトに誘導されたりする恐れがある。

このプラグインはWordPress公式のプラグインですし利用者が多く狙われやすいというのもあったのでしょう。「Jetpack」は結構な頻度で更新されているプラグインでこの時もすぐにアップデートで対応してくれましたし、この記事が出た時点で脆弱性にアップデート対応されていたのでさほど問題はなかったように思います。

「インストールプラグイン」最終更新日確認

念のため自分が入れているプラグインの最終更新日を確認してみました。ダッシュボード (管理画面) からプラグイン一覧 → 確認したいプラグインの「詳細を表示」をクリックで確認することができます。

「Category Order」を確認してみましょう。WordPressの仕様上カテゴリの表示順を変更できないようでそれを変更するためのプラグインです。

plugin-security2-min

えっ、8年?!8か月の間違いでなくて..? 作成者のページもリンク切れです。こんなに更新されてなかったのか。

plugin-security3-min

と驚きましたが、「Category Order」はそもそもカテゴリの順番を変更するというだけのちょっとした機能を持っているだけなのであまり脆弱性とか関係ないのでしょうか?

でもこのプラグインは結構なWordPressユーザーが使っているかと思いますが。プラグインの機能にもよるんでしょうか。謎です。

他のプラグインは以前の更新日が2か月や4か月前のようでした。

プラグインを使用する前に確認を

脆弱性があるかどうかなんて一見してわからないのですから、お目当てのプラグインを見つけたらそのプラグインについて書かれているネット上のWEBサイトをよくよく確認した方がいいかと。

僕はニュース検索をよく使うのですが、例えばGoogleのニュース検索で「WordPress」「WordPress プラグイン」「WordPress 脆弱性」などのワードで確認するのもいいかもしれません。

結構頻繁に脆弱性が発見されているのがわかります。やはり世界で一番使用されているCMSというだけあって対象になりやすいようです。

プラグインに脆弱性が見つかると即座にニュースとして米国などのどこかしらの機関が発表するのでしっかりとチェックするのをお勧めします。

脆弱性が見つかったとニュースになっている時点で、アップデートなど何らかの対策がされている場合が多いですけどね。

関連記事




この記事が気に入ったら
いいね!しよう

最新情報をお届けします

Twitterでめちゃログをフォローしよう!