2018.11.22

WordPressのAMP化プラグインで脆弱性(2018/11/21現在)

    つい先日、こんな記事を書いたばかりでしたが

    https://mediassort.jp/contents01/wordpressが脆弱なんてのはデマ!正しい知識を身に着け/

     

    いってるそばから脆弱性問題ですね

     

    どんな問題?

    今回の問題は、要約すると

    WordPressサイトでよく使われている人気プラグインの一つ「AMP for WP」に脆弱性が見つかりましたよ、使用している方は不正なアクセスがされる危険性が高まっています

    って話ですね。

    プラグインってのは便利ですが、その分複雑なプログラムで組まれていることが多いので穴が見つかりやすいんですよね。。プラグイン使うのをためらう理由の一つです。

     

    「AMP for WP」ってなんぞ?

    まだまだあんまり認知はされてないかもですが、googleとTwitterが共同で開発を進めてるオープンソースの。。。とややこしいのは置いといて

    HTMLを特殊なルールでコーディングすることによって、サイトを超高速化する技術です。

    これがまた厄介で、CSSはすべてインライン表記とか、JSは原則使えずAMP Script使えだとか、imgタグとかみたいな主流なのはamp-imgとかっていう専用のタグ使わなきゃだったりとか、、、まぁ結構習得がめんどくさいのです。

    習得しちゃえば、結構便利なんですが。

    でまぁ、こんなの1から覚えるとかよくわかんないよーって人に、「今のあなたのWordpressサイトを自動でAMP化してあげよう!(ただしデザインはテンプレね!)」ということをしてくれるプラグインです。

    まぁ、優秀ですね。このプラグインをカスタマイズして、このサイトでも使うかなーなんて思っていました。

    どんなサイトで使えるプラグイン?

    どこでも使えるんですが、「ページを行ったり来たりするようなサイト」は特におすすめなんじゃないかと。

    タベログみたいなサイトとか、NEWSサイトとか、ECサイトですね。

    結局は「サイトを高速化してくれる」ってだけなので。。。高速表示されるから、アクセスが増えて自然とSEOも高まるとかメリットはありますが、コーポレートサイトなんかではあんま意味ないかな。。。と思います。

     

    結局どうすればいい?

    脱線してAMPのお話みたいになっちゃいましたが、やることは簡単です。

     ・プラグインを導入している人

    必須でなければ、いったん消しちゃったほうがいいです。

    サイト規模が小さく、そんな気にしないよーって人は残しておいてもいいんじゃないかと。

    サイトが会社の生命線だ!みたいな超重要な人は、いったん消しましょう。

    ※amp版のURLへリンク飛ばしている場合は、通常版のURLへ変更しないと記事へ飛べなくなってしまいます

     

     ・プラグインを導入してない人

    対応不要です

     

     

    以上です。

    プラグインは便利な反面、色々と問題もあるので、導入の際は

    ・今の環境(WordpressのVer、サーバー環境等)で問題ないか

    ・セキュリティ上問題ないか

    ・信頼できる発行元か

    等を良く調べて、後で取り返しのつかないことがないように気を付けましょう。

    プラグイン導入前はサイト、DB両方のBackupを取っておけば安心ですね。

    Yoshiki Kobayashi
    Yoshiki Kobayashi

    ITインフラのエンジニア・コンサルタントを経た後、
    職種を変え動画クリエイターとWebエンジニアを兼業する。
    飽きっぽく、常に新しいことに取り組んでいないと落ち着かず
    現在はVR動画とAMPについて勉強中。
    東京から離れるために奮闘中。