- SERVICE
Webサイト・CMSの保守管理・運用
- WORKS
- ABOUT US
- NEWS & COLUMN
- RECRUIT
皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。
この記事は2024年12月16日に執筆しています。
今回はAddToAny Share Buttonsのバージョンと脆弱性への対応状況についてまとめてみたいと思います。
AddToAny Share Buttonsは、WordPressサイトの記事や固定ページに各種ソーシャルメディア共有ボタンを簡易に設置できるプラグインであり、AddToAnyチームによって開発・サポートされています。
WordPressのPlugin Directoryの統計情報によると、アクティブインストールは40万以上、総ダウンロード数1771万回以上を計測しており、世界でも人気のあるプラグインの一つと言ってよいでしょう。
一方で、人気のあるプラグインであるため、攻撃対象になりやすい側面もあります。
そこで、この記事では、企業のWeb担当の皆様に向けて、AddToAny Share Buttonsの概要並びに、脆弱性及びその対応状況をご紹介することで、AddToAny Share Buttonsを安心して使用していただけるようにしたいと思います。
少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。
前述の通り、AddToAnyチームによって開発・サポートが継続されている、オープンソースのWordPress向けプラグインです。
このプラグインを使用すると、WordPressサイトの記事や固定ページに各種ソーシャルメディア共有ボタンを簡易に設置できるプラグインです。
FacebookやX、LinkedIn、Pinterest、LINEといった主要プラットフォームのみならず、多数のSNS・Webサービスへのリンクを一括して設定することができます。
しかしながら、当社のようなWeb制作会社の場合、AddToAny Share Buttonsを利用することはあまりありません。
大手企業の場合、SNS共有ボタン一つにしてもブランドガイドラインやデザイン要件が定められているケースがありますし、表示速度を優先するケースから極力外部スクリプトの読み込みを減らしたいという理由もあります。
もちろん、セキュリティ保守の観点からは、できるだけプラグインの数を増やしたくないという理由もあります。
しかしながら、当社がこれまでに保守を引き受けたWordPressサイトには、AddToAny Share Buttonsが使用されていたことはあります。
日本国内でも多く使用されているプラグインの一つという印象です。
複数の共有先サービス対応 |
数十種類以上のソーシャルメディアおよび共有先サービスボタンを設置できます。 Facebook、X、LinkedIn、Pinterest、LINEなどの主要プラットフォームに加え、ユーザーのニーズや地域に応じて、マイナーなサービスも柔軟に選択できます。 |
投稿・ページ単位での設置 |
任意の記事、固定ページ、アーカイブページ、カスタム投稿タイプなど、表示させたい箇所に共有ボタンを挿入できます。 また、ウィジェットやショートコードを通じて、サイト内の特定領域やサイドバーにも容易に設置できます。 |
デザイン・レイアウト調整 |
無料版でも表示する共有ボタンのサイズ、形状、並び方、カラー、アイコンスタイルといった基本的なデザイン調整を行えます。 シンプルな管理画面から、テーマに合わせた外観カスタマイズを実施することができます。 |
レスポンシブ対応 | ボタンはデバイスや画面幅に応じて自動的にサイズや配置を調整し、スマートフォンやタブレットでも使いやすい共有ボタンを表示できます。 |
解析ツール連携 | 標準的なトラッキング機能を通じて、Google Analyticsなどの外部解析ツールとの統合が可能です。 |
ショートコード・ ウィジェット対応 |
ショートコードやウィジェットに対応しており、テーマ編集やPHPコード変更を行わずに、管理画面から簡単に共有ボタンを任意の場所へ挿入できます。 |
前述のように、人気のあるプラグイン(ダウンロード数が多いプラグイン)は、攻撃のターゲットとして狙われやすいという側面があります。
当社では、WordPress自体は非常に堅牢なCMSであり、バージョンアップをしっかりと行えば大きな侵入のリスクは少ないと考えています。
実際に、WordPress本体(コア)の脆弱性の数はプラグインやテーマに比べて少なく、特に最近では緊急レベルの脆弱性報告は減少しています。
※詳細は、当社が公表しているWordPressの脆弱性情報一覧を参照してください。
一方で、膨大な数のプラグインやアドオンが存在し、それらの脆弱性を狙った攻撃が増加しています。
※「20 WordPress Statistics You Should Know in 2023」によれば、WordPressに関連する脆弱性の約90%はプラグインに、6%はテーマに、残りの4%はWordPressコアに起因しているとのことです。
特に、AddToAny Share Buttonsのようなダウンロード数の多いプラグインは、多くのユーザーに利用されているため狙われやすい傾向にあります。
そのため、当社では、脆弱性に対する対応が遅い、もしくは対応しないプラグインは、クライアントに推奨していません。
AddToAny Share Buttonsは定期的にアップデートがされており、2024年12月16日現在、未修正の脆弱性は見つかっていないため、使用は問題ないと考えております。
公式サイトに直接的な記載は見つけることができませんでしたが、AddToAny Share Buttonsでは、一般的なセマンティックバージョニングに近い形式で更新が行われているようです。
3つの数字の左から「メジャーバージョン.マイナーバージョン.パッチバージョン」となります。
2024年12月16日現在、AddToAny Share Buttonsの最新バージョンは1.8.13であり、WordPress 6.7.1までテストされています。
通常のオープンソースソフトウェアでは、公式のサポート(新機能の追加、不具合の改修、セキュリティパッチの提供)対象は最新パッチバージョンのみであることから、最新パッチバージョンへのアップデートを推奨いたします。
2024年12月16日現在での、AddToAny Share Buttonsのバージョン情報は次の通りです。
バージョン | リリース日 | サポート期限 | 修正された脆弱性 |
1.8.13 | 2024年11月21日 | サポート中 | - |
1.8.12 | 2024年10月25日 | 2024年11月21日 | - |
1.8.11 | 2024年7月25日 | 2024年10月25日 | - |
1.8.10 | 2024年4月16日 | 2024年7月25日 | - |
1.8.9 | 2023年10月27日 | 2024年4月16日 | - |
1.8.8 | 2023年8月11日 | 2023年10月27日 | - |
1.8.7 | 2023年7月12日 | 2023年8月11日 | - |
1.8.6 | 2023年3月29日 | 2023年7月12日 | - |
1.8.5 | 2022年7月27日 | 2023年3月29日 | - |
1.8.4 | 2022年1月24日 | 2022年7月22日 | - |
1.8.3 | 2021年12月28日 | 2022年1月24日 | - |
1.8.2 | 2021年11月18日 | 2021年12月28日 | - |
1.8.1 | 2021年11月17日 | 2021年11月18日 | - |
1.8.0 | 2021年11月2日 | 2021年11月17日 | - |
1.7.48 | 2021年10月5日 | 2021年11月2日 | CVE-2021-24616 |
1.7.47 | 2021年10月5日 | 2021年10月5日 | - |
1.7.46 | 2021年8月4日 | 2021年10月5日 | CVE-2021-24568 |
1.7.15 | 2017年8月16日 | 2017年8月16日 | Wordfence |
※上記の内容は、WordPress公式サイト開発ログの情報を正として、バージョン1.7.46までを掲載しています。
※バージョン1.7.46未満については、下記脆弱性が修正されたバージョンを追記しています。
※既知の脆弱性が存在バージョンはグレーにしています。
AddToAny Share Buttonsの最新バージョンは1.8.13であり、当社が把握している全ての脆弱性に修正対応済みとなっています。
また、AddToAny Share Buttons 1.7.47以下のバージョンをご使用の場合には、既知の脆弱性が存在している可能性がありますので、最新バージョンへとアップデートをしてください。
なお、AddToAny Share Buttons自体に関する脆弱性情報で、当社が把握しているものは次の通りです。
脆弱性情報 | 深刻度 | 影響を受けるバージョン | 修正されたバージョン |
CVSS v3 4.8 (警告) |
AddToAny Share Buttons 1.7.47までのバージョン | AddToAny Share Buttons 1.7.48 | |
CVSS v3 5.4 (警告) |
AddToAny Share Buttons 1.7.45までのバージョン | AddToAny Share Buttons 1.7.46 | |
CVSS v3 4.7 (警告) |
AddToAny Share Buttons 1.7.14までのバージョン | AddToAny Share Buttons 1.7.15 |
※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。CVEにて採番されていない脆弱性情報については、Wordfenceへのリンクを掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しており、その他の情報については、JVN iPediaなどでご確認ください。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulnerability Database(以下「NVD」)や独立行政法人情報処理推進機構(以下「IPA」)に準拠しています。NDV、IPAでスコアリングがされていない場合には、Wordfenceのスコアを記載しています。
※本記事における脆弱性情報は、AddToAny Share Buttons無料版についてのものであり、AddToAny Share Buttons有料版のものは含まれておりません。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVD、Wordfenceなどの情報を確認されたうえで、自己責任でご利用ください。
前述のように、AddToAny Share Buttonsは人気のあるプラグインであり、日本国内でも利用者は多数いるものと推察されます。
しかしながら、AddToAny Share Buttons自体のバージョンアップをしようと思っても、最新のWordPressで上手く動かなかったり、PHPのバージョンアップが必要であったり、設定が複雑であるなどの問題に直面することもあるかと思います。
taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、AddToAny Share ButtonsとWordPressはもちろんのこと、PHP、MySQL、MariaDBについても知見を有しています。
※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。
AddToAny Share Buttonsを使用したWebサイト制作やアップデートを含む保守管理に関しては、こちらのお問合せよりお気軽にご相談ください。
taneCREATIVEに所属する謎のトラ。
2024年12月16日執筆