火曜日に、Webサイトをセキュアに保つ必要性について、まじめな指摘を行っている、かなりバカバカしいビデオをご紹介した。

  残念なことに、Webサイトの潜在的な脆弱性を制限するのは、必ずしも直感的ではないようだ。考慮する必要がある新たな点が、常に存在するのだ。

  たとえば、非常にポピュラーなWordPress(.org)パブリッシング・プラットフォームを取り上げてみよう。WordPress自体は、セキュリティに関しては非常に良い仕事をしている。残念ながら、WordPressサイトを運営している人びとが、みな同様だとは言えない。多くのWebサイト管理者が、WordPressのインストールを期限切れのままにしており、その結果、障害の起きたWordPressサイトが数多くオンラインに存在する。

  しかし、プラットフォームを最新にしている管理者でさえ、まだ心配すべきものがある。テーマだ。

  製品セキュリティのプロで侵入テスターであるJanne Ahlbergは、ParallelusによるいくつかのWordPressテーマが、クロスサイト・スクリプティング(XSS)脆弱性の影響を受けることを発見した。

  以下は同XSS脆弱性のスクリーンショットで、Uniteテーマについて示している:

Para.llel.us Unite

  Ahlbergのテストによれば、同XSS脆弱性はリモートJavaScriptの実行に使用することができる。影響を受けるサイトには個人のブログの他、企業Webサイトも含まれる。詳細については彼のブログ「Janne's corner」で読める。

  WordPressのインストールを安全に保つための詳細に関しては、以下の記事を参照して欲しい:WordPressの強化

アップデート:開発者によれば、——影響を受けたParallelusテーマは、現在修正されている。