- SERVICE
Webサイト・CMSの保守管理・運用
- WORKS
- ABOUT US
- NEWS & COLUMN
- RECRUIT
皆さんこんにちは。taneCREATIVEの「ちほうタイガー」です。
この記事は2024年10月17日に執筆しています。
今回はNo Category Baseのバージョンと脆弱性への対応状況についてまとめてみたいと思います。
No Category Baseは、WordPressのカテゴリースラッグから/category/を自動的に削除できるプラグインであり、Marios Alexandrou によって開発・サポートが継続されています。
WordPressのPlugin Directoryの統計情報によると、アクティブインストールは10万以上、総ダウンロード数は71万回以上を計測しており、人気があるプラグインの一つと言ってよいでしょう。
Web制作会社である当社も、WordPressサイトの場合には、よく使用させていただいております。
No Category Baseは数多くある有名プラグインのなかで、現時点で脆弱性が見つかっていない数少ないプラグインです。
一方で、人気が高いほど攻撃対象になるリスクもあるため、今後見つかるかもしれない脆弱性への適切な対応が重要になります。
この記事では、企業のWeb担当の皆様に向けて、No Category Baseの概要並びに、脆弱性及びその対応状況をご紹介することで、No Category Base自体については安心して使用していただけるようにしたいと思います。
少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。
前述の通り、No Category Baseは、Marios Alexandrou によって開発・サポートが継続されているオープンソースのWordPressプラグインです。
このプラグインを使用すると、WordPressのカテゴリースラッグから/category/を自動的に削除し、SEO対策やURLの短縮化を実現することができます。
カテゴリーベースを削除 |
WordPressのデフォルトで設定されている/category/というスラッグをURLから自動的に削除する機能です。 例えば、通常のカテゴリーページURLがhttps://example.com/category/sample-category/の場合、このプラグインを使用することで、URLをhttps://example.com/sample-category/に短縮することができます。 これにより、よりシンプルなURL構造を作り、クローラーやユーザーにとっての可読性を向上させることができます。 |
WPML互換 |
WordPressの多言語対応プラグインであるWPML(WordPress Multilingual Plugin)と互換性を有しています。 多言語サイトでカテゴリーページを運営している場合でも、各言語で適切にスラッグが削除され、上記利点を多言語環境でも享受できます。 |
リダイレクト機能 |
古いURL形式(/category/付きのURL)でアクセスされた場合でも、自動的に新しいURL(/category/なしのURL)にリダイレクトさせることができます。 このリダイレクト機能により、古いリンクやブックマークが機能し続けることで、SEO対策やユーザーエクスペリエンスへの悪影響を最小限に抑えることができます。 リダイレクトはSEO対策面で悪影響を与えないように適切に301リダイレクトを使用します。 |
前述のように、人気のあるプラグイン(ダウンロード数が多いプラグイン)は、攻撃のターゲットとして狙われやすいという側面があります。
当社では、WordPress自体は非常に堅牢なCMSであり、バージョンアップをしっかりと行えば大きな侵入のリスクは少ないと考えています。
実際に、WordPress本体(コア)の脆弱性の数はプラグインやテーマに比べて少なく、特に最近では緊急レベルの脆弱性報告は減少しています。
※詳細は、当社が公表しているWordPressの脆弱性情報一覧を参照してください。
一方で、膨大な数のプラグインやアドオンが存在し、それらの脆弱性を狙った攻撃が増加しています。
特に有名なプラグインは、多くのユーザーに利用されているため、脆弱性が発見された場合、そのプラグインを狙った攻撃が集中する可能性があります。
※「20 WordPress Statistics You Should Know in 2023」によれば、WordPressに関連する脆弱性の約90%はプラグインに、6%はテーマに、残りの4%はWordPressコアに起因しているとのことです。
No Category Baseは数多くある有名プラグインのなかで、現時点で脆弱性が見つかっていない数少ないプラグインです。
しかしながら、当社では、更新が滞っているプラグインについては、たとえ現在脆弱性が発見されていなかったとしても、クライアントに推奨していません。
公式サイトに直接的な記載はありませんが、No Category Baseは、通常のセマンティックバージョニングに準拠し、左からメジャーバージョン、マイナーバージョン、パッチバージョンの3つの数字で構成されていました。
しかしながら、直近リリースされた1.2と1.3は二桁だけでリリースされており、これがパッチバージョンの0を省略しているのか、独自のバージョニングに切り替えたのかは判断できません。
通常のオープンソースソフトウェアでは、公式のサポート(新機能の追加、不具合の改修、セキュリティパッチの提供)は最新パッチバージョンのみを対象としており、No Category Baseでも同様の対応が行われていると考えられます。
2024年10月17日現在での、No Category Baseのバージョン情報は次の通りです。
バージョン | リリース日 | サポート期限 | 修正された脆弱性 |
1.3 | - | サポート中 | - |
1.2 | - | - | - |
1.1.5 | - | - | - |
1.1.0 | 2012年7月2日 | - | - |
1.0.0 | 2011年12月2日 | 2012年7月2日 | - |
※上記の内容は、WordPress公式サイトの開発ログの情報を正として掲載しています。
※リリース日については「tags」フォルダのtagging versionが1.1.0から更新されていないため、正確な日付は不明です。
No Category Baseの最新バージョンは1.3であり、当社が把握している限り、脆弱性は見つかっていません。
前述のように、No Category Baseは人気のあるプラグインであり、Web制作の現場でWordPressを利用する場合には、よくお世話になるプラグインです。
しかしながら、No Category Base自体のバージョンアップをしようと思っても、WordPressやPHPのバージョンアップが必要であったり、設定が複雑であるなどの問題に直面することもあるかと思います。
taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、No Category BaseとWordPressはもちろんのこと、PHP、MySQL、MariaDB、各種サーバーについてもノウハウを有しています。
※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。
No Category Baseを使用したWordPressサイト制作やアップデートを含む保守管理に関しては、こちらのお問合せよりお気軽にご相談ください。
taneCREATIVEに所属する謎のトラ。