【2024年10月版】Yoast SEOのバージョンと脆弱性情報

皆さんこんにちは。taneCREATIVEの「ちほうタイガー」です。
この記事は2024年10月28日に執筆しています。

今回はYoast SEOのバージョンと脆弱性への対応状況についてまとめてみたいと思います。

Yoast SEOは、WordPressサイトでの検索エンジン最適化対策(SEO対策)を支援するプラグインであり、Yoast社に所属するTeam Yoastによって開発・サポートされています。

WordPressのPlugin Directoryの統計情報によると、アクティブインストールは1000万以上、総ダウンロード数7億3300万回以上を計測しており、世界でも有名なプラグインの一つと言ってよいでしょう。

一方で、有名なプラグインであるため、攻撃対象になりやすい側面もあります。

そこで、この記事では、企業のWeb担当の皆様に向けて、Yoast SEOの概要並びに、脆弱性及びその対応状況をご紹介することで、Yoast SEOを安心して使用していただけるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

Yoast SEOとは

前述の通り、Yoast SEOは、Yoast社に所属するTeam Yoastによって開発・サポートが継続されている、オープンソースのWordPress向けプラグインです。

このプラグインを使用することで、WordPressサイトでの基本的な検索エンジン最適化対策(SEO対策)を簡単に行うことができます。

実際のところ、当社のようなWeb制作会社の場合、Yoast SEOを利用することはあまりありません。
クライアントの要望に応えるにはYoast SEOの無料版でできることは制限的ですし、脆弱性が定期的に数多く見つかっている点もお勧めしにくい点です。
また、セキュリティ保守の観点からは、できるだけプラグインの数を増やしたくないという理由もあります。

しかしながら、下記機能を直感的に簡単に使用できることから、当社がこれまでに保守を引き受けたWordPressサイトは、Yoast SEO が使用されていたことは数多くあります。
日本国内では特に多く使用されているプラグインの一つです。

Yoast SEOの主な機能

タイトルとディスクリプションの設定 各ページや投稿のタイトルタグとメタディスクリプションを簡単に編集できます。
これにより、検索エンジンの検索結果ページに表示される内容を最適化し、クリック率(CTR)の向上を目指せます。
XMLサイトマップの生成 自動でXMLサイトマップを生成し、GoogleやBingなどの検索エンジンに送信できます。
このサイトマップは、ウェブサイトのページ構造を明確にし、新しいページや更新されたページに対して、検索エンジンのクローラーを呼び込むことができ、これにより、インデックス登録速度が向上する他、SEO効果が期待できます。
Googleの検索結果プレビュー Googleの検索結果ページでどのように表示されるかをリアルタイムでプレビューできます。
このプレビューにより、タイトルやメタディスクリプションが適切な長さで収まっているか、ユーザーの目を引くかどうかを確認しながら編集できます。
重複コンテンツの回避 カノニカルURLを設定することで、重複ページが検索エンジンに悪影響を与えることを避け、検索エンジンが正しいページを優先的にインデックスするように促します。
これにより、サイトの評価を適切に保つことができます。
パンくずリストの設置 パンくずリストの生成を支援し、ユーザーと検索エンジンにウェブサイトの構造をより分かりやすく伝えます。
ユーザーがサイト内での位置を把握しやすくなるだけでなく、リッチスニペットとして検索結果に表示される可能性があるため、SEOにもプラスとなります。
可読性解析とSEO解析 Yoast SEOは、コンテンツの可読性とSEOスコアをリアルタイムで評価します。
可読性解析では、文章の流れや構成、段落の長さをチェックし、SEO解析ではキーワード密度や内部リンクの有無を分析します。
これにより、ユーザーと検索エンジンの両方に最適なコンテンツ作成が可能です。

開発・アップデートの継続

前述のように、有名なプラグイン(ダウンロード数が多いプラグイン)は、攻撃のターゲットとして狙われやすいという側面があります。

当社では、WordPress自体は非常に堅牢なCMSであり、バージョンアップをしっかりと行えば大きな侵入のリスクは少ないと考えています。
実際に、WordPress本体(コア)の脆弱性の数はプラグインやテーマに比べて少なく、特に最近では緊急レベルの脆弱性報告は減少しています。
※詳細は、当社が公表しているWordPressの脆弱性情報一覧を参照してください。

一方で、膨大な数のプラグインやアドオンが存在し、それらの脆弱性を狙った攻撃が増加しています。
※「20 WordPress Statistics You Should Know in 2023」によれば、WordPressに関連する脆弱性の約90%はプラグインに、6%はテーマに、残りの4%はWordPressコアに起因しているとのことです。

特に、Yoast SEOのようなダウンロード数の多いプラグインは、多くのユーザーに利用されているため狙われやすい傾向にあります。
そのため、当社では、脆弱性に対する対応が遅い、もしくは対応しないプラグインは、クライアントに推奨していません。

Yoast SEOは定期的にアップデートされ、脆弱性が迅速に修正されているため、問題ないと考えております。

Yoast SEOのバージョン情報に関するポイント

公式サイトに直接的な記載はありませんが、Yoast SEOは、通常のセマンティックバージョニングとは異なる独自のバージョニングを採用しており、左からメジャーバージョン、マイナーバージョンの2つの数字で構成されています。

Yoast社がこのようなバージョニングを採用している理由についてはこちらのやり取りをご覧ください。
もっとも、古いバージョンや、緊急のパッチが必要な場合には、3桁目のパッチバージョンをリリースしています。

2024年10月28日現在、Yoast SEOの最新バージョンは23.7であり、WordPress6.6.2までテストされています。

通常のオープンソースソフトウェアでは、公式のサポート(新機能の追加、不具合の改修、セキュリティパッチの提供)対象は最新パッチバージョンのみであることから、最新パッチバージョンへのアップデートを推奨いたします。

バージョン22.6以下には既知の脆弱性があるため、最新のパッチバージョンへのアップデートを実施してください。

Yoast SEOのバージョン情報

2024年10月28日現在での、Yoast SEOのバージョン情報は次の通りです。

バージョン リリース日 サポート期限 修正された脆弱性
23.7 2024年10月22日 サポート中 -
23.6 2024年10月8日 2024年10月22日 -
23.5 2024年9月24日 2024年10月8日 -
23.4 2024年9月3日 2024年9月24日 -
23.3 2024年8月20日 2024年9月3日 -
23.2 2024年8月6日 2024年8月20日 -
23.1 2024年7月23日 2024年8月6日 -
23.0 2024年7月2日 2024年7月23日 -
22.9 2024年6月18日 2024年7月2日 -
22.8 2024年5月28日 2024年6月18日 -
22.7 2024年5月14日 2024年5月28日 CVE-2024-4984
22.6 2024年4月30日 2024年5月14日 CVE-2024-4041
21.1 2023年9月5日 2023年9月19日 CVE-2023-40680
20.5 2023年4月11日 2023年4月26日 CVE-2023-28775
20.2.1 2023年3月2日 2023年3月14日 Wordfence
17.3 2021年10月5日 2021年10月19日 CVE-2021-25118
15.0 2020年9月29日 2020年10月14日 CVE-2023-28785
14.9 2020年9月1日 2020年9月29日 CVE-2023-32300
CVE-2023-28780
11.6-RC5 2019年7月8日 2019年7月23日 CVE-2019-13478
9.2 2018年11月20日 2018年11月21日 CVE-2018-19370
5.8 2017年11月15日 2017年12月5日 CVE-2017-16842
3.4.1 2016年8月2日 2016年8月8日 CVE-2021-24153
3.3 2016年6月14日 2016年6月15日 Wordfence
3.2.5 2016年5月6日 2016年6月14日 Wordfence
2.2 2015年6月10日 2015年6月11日 CVE-2012-6692
2.1 2015年4月20日 2015年4月21日 Wordfence
1.7.4 2015年3月11日 2015年3月26日 CVE-2015-2293
1.4.7 2013年6月14日 2013年6月21日 Wordfence

※上記の内容は、Yoast SEO changelogの情報を正として、バージョン22.6までを掲載しています。また、それ以前のバージョンについては、下記脆弱性が修正されたバージョンを追記しています。
※バージョン22.6以下には既知の脆弱性が存在するため、グレーにしています。

Yoast SEOの脆弱性情報

Yoast SEOの最新バージョンは23.7であり、当社が把握している全ての脆弱性に修正対応済みとなっています。

また、Yoast SEO 22.6以下のバージョンをご使用の場合には、既知の脆弱性が存在しますので、最新バージョンへとアップデートをしてください。
特にバージョン14.8以下をご使用の場合には重要レベルの脆弱性が存在する他、緊急レベルの脆弱性が存在する可能性がありますので、最新バージョンへのアップデートを強く推奨いたします。

なお、Yoast SEO自体に関する脆弱性情報で、当社が把握しているものは次の通りです。

脆弱性情報 深刻度 影響を受けるバージョン 修正されたバージョン
CVE-2024-4984
CVE-2024-4984 Detail
CVSS v3
6.4 (警告)
・Yoast SEO 22.6までのバージョン ・Yoast SEO 22.7
CVE-2024-4041
CVE-2024-4041 Detail
CVSS v3
6.1 (警告)
・Yoast SEO 22.5までのバージョン ・Yoast SEO 22.6
CVE-2023-40680
JVNDB-2023-026324
CVSS v3
4.8 (警告)
・Yoast SEO 21.0までのバージョン ・Yoast SEO 21.1
CVE-2023-32300
JVNDB-2023-022793
CVSS v3
6.1 (警告)
・Yoast SEO 14.8までのバージョン ・Yoast SEO 14.9
CVE-2023-28785
JVNDB-2023-007230
CVSS v3
5.4 (警告)
・Yoast SEO 14.9までのバージョン ・Yoast SEO 15.0
CVE-2023-28780
JVNDB-2023-018628
CVSS v3
8.8 (重要)
・Yoast SEO 14.8までのバージョン ・Yoast SEO 14.9
CVE-2023-28775
JVNDB-2023-027091
CVSS v3
5.3 (警告)
・Yoast SEO 20.4までのバージョン ・Yoast SEO 20.5
Wordfence
Yoast
CVSS v3
6.4 (警告)
・Yoast SEO 20.2までのバージョン ・Yoast SEO 20.2.1
CVE-2021-25118
JVNDB-2021-018629
CVSS v3
5.3 (警告)
・Yoast SEO 16.7から17.2 ・Yoast SEO 17.3
CVE-2021-24153
JVNDB-2021-005274
CVSS v3
5.4 (警告)
・Yoast SEO 3.4.0までのバージョン ・Yoast SEO 3.4.1
CVE-2019-13478
JVNDB-2019-006209
CVSS v3
9.8 (緊急)
・Yoast SEO 11.5までのバージョン ・Yoast SEO 11.6-RC5
CVE-2018-19370
JVNDB-2018-014166
CVSS v3
6.6 (警告)
・Yoast SEO 9.1までのバージョン ・Yoast SEO 9.2
CVE-2017-16842
JVNDB-2017-010257
CVSS v3
4.8 (警告)
・Yoast SEO 5.7.1までのバージョン ・Yoast SEO 5.8
Wordfence
Acunetix
CVSS v3
4.7 (警告)
・Yoast SEO 3.2.5までのバージョン ・Yoast SEO 3.3
Wordfence
Acunetix
CVSS v3
5.3 (警告)
・Yoast SEO 3.2.4までのバージョン ・Yoast SEO 3.2.5
Wordfence
Patchstack
CVSS v3
6.1 (警告)
・Yoast SEO 2.0.1までのバージョン ・Yoast SEO 2.1
CVE-2015-2293
JVNDB-2015-001840
CVSS v2
6.8 (警告)
・WordPress SEO by Yoast 1.7.0から1.7.3
・WordPress SEO by Yoast 1.6.0から1.6.3
・WordPress SEO by Yoast 1.5.6までのバージョン
・WordPress SEO by Yoast 1.7.4
・WordPress SEO by Yoast 1.6.4
・WordPress SEO by Yoast 1.5.7
CVE-2015-2292
JVNDB-2015-001839
CVSS v3
6.5 (警告)
・WordPress SEO by Yoast 1.7.0から1.7.3
・WordPress SEO by Yoast 1.6.0から1.6.3
・WordPress SEO by Yoast 1.5.6までのバージョン
・WordPress SEO by Yoast 1.7.4
・WordPress SEO by Yoast 1.6.4
・WordPress SEO by Yoast 1.5.7
Wordfence
Acunetix
CVSS v3
6.5 (警告)
・WordPress SEO by Yoast 1.4.6までのバージョン ・WordPress SEO by Yoast 1.4.7
CVE-2012-6692
JVNDB-2015-003196
CVSS v2
4.3 (警告)
・WordPress SEO by Yoast 2.1.1までのバージョン ・WordPress SEO by Yoast 2.2

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。CVEの番号が採番されていない脆弱性情報については、Wordfence、Yoast、Patchstackなどの情報へのリンクを掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しており、その他の情報については、JVN iPediaなどでご確認ください。CVSS v3の適用前の脆弱性情報についてはCVSS v2に基づいて記載しています。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulnerability Database(以下「NVD」)や独立行政法人情報処理推進機構(以下「IPA」)に準拠していますが、NVD、IPAにてスコアリングされていない場合には、Wordfenceのスコアに準拠しています。
※WordPress SEO by YoastはYoast SEO の旧名称で同一のプラグインです。2015年ごろにプラグイン名が変更されました。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。

Yoast SEOのバージョンアップを継続する体制について

前述のように、Yoast SEOは世界的に有名なプラグインであり、日本国内でも人気のあるプラグインです。

しかしながら、Yoast SEO自体のバージョンアップをしようと思っても、WordPressやPHPのバージョンアップが必要であったり、設定が複雑であるなどの問題に直面することもあるかと思います。

taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、Yoast SEOとWordPressはもちろんのこと、PHP、MySQL、MariaDBについてもノウハウを有しています。

※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。

Yoast SEOを使用したWebサイト制作やアップデートを含む保守管理に関しては、こちらのお問合せよりお気軽にご相談ください。

この記事を書いた存在
ちほうタイガー

taneCREATIVEに所属する謎のトラ。