2021.12.21 WordPressのプラグインAll in One SEOで深刻な脆弱性が発見!

2021.12.24

Smart Style Complex Inc.

2021年12月21日(現地時間)、WordPressで最も使われているプラグインの一つであるAll in One SEOで深刻な脆弱性が発見されたことを、サイバーセキュリティ企業のSucuriが同社ブログ内で報告しています。

今回はその脆弱性について、対策と特徴を解説します。

Sucuri社該当記事
Critical Vulnerabilities in All in One SEO Plugin Affects Millions of WordPress Websites

All in One SEO とは?

All in One SEOとは、WordPressのプラグイン(アプリケーションの機能を拡張するソフトウェア)の一つです。All in One SEOは無料で利用することができ、簡単にSEO対策の設定を行うことができるため、非常に多くのWordPressに導入されています。

具体的には、All in One SEOには以下のような機能があります。

  • タイトル・ディスクリプション・キーワードの設定機能
  • XMLサイトマップの送信機能
  • Google Analytics・Google search Consoleとの連携機能
  • Noindexの設定機能
  • SNSの設定機能

今回発見された脆弱性の特徴

All in One SEO内の脆弱性は以下の2件発見されていて、All in One SEOのバージョンが4.0.0〜4.1.5.2の場合対策が必要になります。All in One SEOは300万以上のWebサイトで使われているプラグインなので、この影響は非常に大きなものになる可能性があります。

  • 認証されたユーザーによる特権昇格の脆弱性(バージョン4.0.0から4.1.5.2に影響)
  • 認証されたユーザーによるSQLインジェクションの脆弱性(バージョン4.1.3.1から4.1.5.2に影響)

「認証されたユーザーによる特権昇格の脆弱性」とは?

「認証されたユーザーによる特権昇格の脆弱性」とは、アカウント権限をチェックする機能が無効になって、どんな権限でも申請し放題になってしまうということです。つまり通常「閲覧権限」しか与えられない外部の人間の権限が「管理者権限」まで引き上げられてしまうのです。そうなるとWebサイトの乗っ取りや、データベースに記録された情報の盗み出し・上書きが可能となってしまいます。サイバーセキュリティ企業のSucuriはこの脆弱性の深刻度を「緊急」(CVSS Score: 9.9)としています。

認証されたユーザーによるSQLインジェクションの脆弱性とは?

「認証されたユーザーによるSQLインジェクションの脆弱性」とは、上記「認証されたユーザーによる特権昇格の脆弱性」によって不正に高い権限を持った外部の人間が、SQLコマンドを実行し、ユーザーの資格情報や管理者情報などの機密データをデータベースから漏洩させることが可能となってしまうということです。サイバーセキュリティ企業のSucuriはこの脆弱性の深刻度を「高い」(CVSS Score: 7.7)としています。

どのようなサイトが特に危険?

今回発見された脆弱性に関しては、ユーザー登録・会員登録機能があるサイトは特に注意が必要です。登録のための投稿欄を設置していると、「認証されたユーザーによる特権昇格の脆弱性」を突かれてしまいます。

また、アカウントのログイン情報が流出しているサイトも危険です。

以上2点に心当たりがある場合は、All in One SEOのバージョンを確認してください。

WordPressの脆弱性への対策

All in One SEOのバージョンが4.0.0から4.1.5.2の場合、4.1.5.3へ更新することで今回の脆弱性をカバーすることができます。

今回の脆弱性の件に限らず、日頃からアカウント情報が流出する可能性を回避する、また、不正ログインを回避することを考えておくことが大切です。

SSCが制作したサイトでは以下のような対策を標準またはオプションで対応しています。これによって不正アクセスが起こる可能性を減らし、万が一アタックがあった場合でもすぐに特定できる状態にしています。

  • サブディレクトリにインストールする
  • 管理画面のログインページURLをデフォルトから変更する
  • ログイン時に画像認証を追加する
  • WordPressと分かる記述を排除する
  • ログイン試行回数に制限を掛ける
  • コメントを受け付けない設定にする
  • アカウントID、パスワードを複雑にする
  • WP本体、プラグインの定期的なアップデートする
  • 未使用プラグインを削除する
  • 管理画面に固定IP制限を掛ける
  • 管理画面に基本認証を掛ける
  • コアとなる設定ファイルのアクセスを制限する
  • 利用者ごとにアカウントを用意する
  • 公開後はphpMyAdminを削除する
  • ログイン情報のログを取得する

まとめ

今回の件のように、Web上では、早急に対応しなければいけない深刻な脆弱性がしばしば発見されます。しかし企業のWeb担当者様だけでは、常に最新の情報をキャッチし、それに対応することは難しいのではないでしょうか。SSCでは月額8,000円〜のWordPress保守管理サービスを提供しています。今回の件で不安になった方は、ぜひ以下のお問い合わせからご相談ください。

お問い合わせ

The following two tabs change content below.
Smart Style Complex Inc.
Twitter のプロフィールFacebook のプロフィール

Smart Style Complex Inc.

創業2011年から現在まで、およそ200社のWebサイト・コンテンツ制作・コンサルティングを手掛けてきたWeb専門代理店です。営業に関するお知らせやプレスリリースのほか、当社で蓄積したWebマーケティングに関する知的資産(ナレッジ)を公開します。執筆者はデザイン、開発、SEO、コンテンツマーケティング、営業など各部門の専門家です。
このエントリーをはてなブックマークに追加