セキュリティ事件簿

WordPressの人気プラグインAll in One SEOを使っているブロガーはバージョンアップをしよう

  /

こんにちは、のみぞうです。

WordPressを自前で運用しているブロガーさんとかアフィリエイターさんは多いと思うのですが(このブログもそうです)

人気有名プラグインの「All in One SEO」に緊急の脆弱性が見つかったのでまだの人はバージョンアップしようぜって話をします。

この記事の対象となる人
  • All in One SEOを使っている人
  • バージョンアップ?なにそれ美味しいの?って人
  • 脆弱性?日本語で言ってもらって良いですか?って人

もくじ
  1. All in One SEOプラグイン
  2. 脆弱性って?
  3. All in One SEOの脆弱性
  4. All in One SEO を使ってるけどつまりどうしたらいいの?という方へ
  5. まとめ

All in One SEOプラグイン

WEBサイトを運営する人なら誰でも、Google検索したらの上の方にサイトを表示されてほしいと思うものです。

Googleに限らず検索エンジンは、クローラーと呼ばれる自動ロボットでインターネットの中にある膨大な量のWEBサイトを洗い出し、検索できるように情報を整理整頓しています。
検索した人の意図にぴったりのサイトを表示させるためには、そのクローラーが正しくサイトの内容を解釈する必要がありますので、運営者は自分のサイトやブログ記事の内容を正しくクローラーに伝える必要があります。その伝える活動のことをSEO(Search Engine Optimizationの略)って言います。

手作業でSEOをすることもできますが、結構やることがあってなかなか手間がかかります。WordPressでサイト運営している場合、All in One SEOをインストールすると、その手間を減らすことができますし、めっちゃわかりやすい〜ってことで有名なプラグインです。ちなみに無料でも使える。すごい。関係ないけど前はAll in One SEO Packって名前だった気がする、いつ変わったの?

私もブログ開設当初は使っていたのですが、SEO対策はWordPressテーマの方で対応できるのでわざわざプラグイン入れなくて良いのでは、と気づいてから外しました。

なので今このブログでは使ってないのですが、無料テーマを自分でカスタマイズして使ってる方とかにはAll in One SEOは有益なプラグインだと思います。

脆弱性って?

プラグインに限らず、世の中には様々なプログラムがあり、知識のない人でも利用できるものも多いです。しかし、これらは使っているうちに不具合が発見されることがあります。発見された不具合の中で、悪用可能なもののことを「脆弱性(ぜいじゃくせい)」と呼びます。


脆弱性に気づいた人は「このプログラムの中にこういう脆弱性があります」って報告機関に報告をします。脆弱性として正式に認定されると、脆弱性識別番号(例:CVE-2021-00000 とか  ←2021年に見つかった0個目の脆弱性って意味)という他と被らない番号が振られて管理されます。あとその脆弱性がどれくらいヤバいものなのか一定の基準で判定されます。

脆弱性の情報は世界中で共有され、インターネットで普通に検索することができます。特に深刻なものが見つかった時には大きなニュースになることもあります。

不具合がない状態で出してくれればいいのに!
インターネットに公開されているプログラムは、今までいろんな人が作ってきたものの上に積み上げられているんだよ。色んな人の成果があるからこそ無料で便利なものが使えてる反面、1人で全部やってる訳じゃないから作ってる時点では知らなかったってことも多いよ。

All in One SEOの脆弱性

先日All in One SEOのプラグインの中に2つの脆弱性が報告されました。
※のみぞうは直接検証できてないので記事読んだ解説だけします(ごめん)

Jetpack
外部リンク
 
Severe Vulnerabilities Fixed in All In One SEO Plugin Version 4.1.5.3
https://jetpack.com/2021/12/14/severe-vulnerabilities-fixed-in-all-in-one-seo-plugin-version-4-1-5-3/
During an internal audit of the All In One SEO plugin, we uncovered an SQL Injection vulnerability and a Privilege Escalation bug.

英語が嫌いな方はマイナビの記事が比較的読みやすかった。

1個め 特権昇格の脆弱性(CVE-2021-25036)

CVSSスコア 9.9(深刻度:緊急) 要するに激ヤバなので急いで対応しようレベル。

影響を受けるAll in One SEOのバージョン:4.0.0~4.1.5.2

悪用するには攻撃者がWordPressのユーザーで「購読者」などの権限の低いユーザーを持っている必要があります。ただしうっかり攻撃が刺さると最終的にリモートコード実行ができる(要するにサーバの中でできることは大抵なんでもできる状態。設定を変えたりデータを抜き出したり他の攻撃の加害者にされちゃったり色々)らしい。

記事では300万を超えるサイトに影響があるとか書かれてますが、WordPressを普通にブログとして使っている場合は必ず悪用できるユーザーがいるとは限らないのでは…?そこまでいくか…??と思いつつ。自分で意識しないうちにユーザーができていたりすることもあると思うので、管理者の方はこの機会に一度確認するのが良いのではって思います。

ユーザーの確認方法はこちら

2個め SQLインジェクションの脆弱性(CVE-2021-25037)

CVSSスコア 7.7(深刻度:高) 割とヤバいよヤバいよレベル(語彙力)

影響を受けるAll in One SEOのバージョン:4.1.3.1~4.1.5.2

WordPressユーザーの情報(ユーザー名とかパスワードの符号)などをデータベースから抜き出すことができるって脆弱性です。これを悪用するにはそもそも権限の高いユーザーが必要ですが、上記1個めの脆弱性があるのでセットで危険が倍率ドン。ということみたい。

All in One SEO を使ってるけどつまりどうしたらいいの?という方へ

バージョンを確認して、もし最新版でなければバージョンアップをしたほうがいいと思います(大丈夫だと思うけど不具合がでたときのために事前にバックアップは取ろう)

確認とバージョンアップの手順をスクショ付きで書いておきますのでよかったらどうぞ。

影響があるのかどうか確認する方法

①WordPressにログインして「プラグイン>インストール済プラグイン」をクリック

②All in One SEOの説明の部分にあるバージョンの数字を確認する

バージョンアップする方法

①WordPressにログインしてプラグインのところに「新バージョンのAll in One SEOが利用できます」という表示がでていたら、バックアップをとって更新をクリック

可能であれば自動更新を有効化しておくと楽です

WordPressユーザーの確認方法

①WordPressにログインして「ユーザー>ユーザー一覧」をクリック

②使ってないユーザーがいないか確認

まとめ

All in One SEOに限らず、WordPress使ってる人はちょいちょい脆弱性が発見されるのでプラグインと本体はまめにバージョンアップをしようぜ!あとそういうのずっと気にしているのって面倒くさいと思うからできれば自動で上がるようにしといた方がいいと思うよ!って話でした。


間違ってたこととか追加情報あったら随時追記していきます。ではこの辺で。

wordpress 初心者向け
こちらの記事もおすすめ