- SERVICE
Webサイト・CMSの保守管理・運用
- WORKS
- ABOUT US
- NEWS & COLUMN
- RECRUIT
皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。
この記事は、WP Social Bookmarking Lightの脆弱性情報と代替プラグインについてまとめたもので、2025年1月17日に執筆しています。
WP Social Bookmarking Lightは、WordPressサイトにFacebookやX、はてなブックマーク、LINEなど主要なSNS・ブックマークサイトのボタンを簡単に表示できるSNS共有プラグインであり、日本語対応であることから日本のユーザーに親しまれてきました。
しかしながら、脆弱性への対応が困難になったことから開発・サポートが終了し、2023年7月27日よりWordPress公式サイトでの公開が停止されています。
そこで、この記事では、企業のWeb担当の皆様に向けて、WP Social Bookmarking Lightの脆弱性情報と代替プラグインについてご紹介することで、ご使用になられているWP Social Bookmarking Lightの問題と対応策を把握していただけるようにしたいと思います。
少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。
WP Social Bookmarking Lightの最終バージョンは2.0.7であり、CVE-2023-25029が未修正のままとなっています。
また、WP Social Bookmarking Lightをご使用の場合には、全てのバージョンで既知の脆弱性が存在しますので、削除をしてください。
なお、WP Social Bookmarking Light自体に関する脆弱性情報で、当社が把握しているものは次の通りです。
脆弱性情報 | 深刻度 | 影響を受けるバージョン | 修正されたバージョン |
CVE-2023-25029 JVNDB-2023-007259 |
CVSS v3 8.8 (重要) |
WP Social Bookmarking Light 2.0.7までのバージョン | 修正されていません |
CVE-2015-9433 JVNDB-2015-008375 |
CVSS v3 6.5 (警告) |
WP Social Bookmarking Light 1.7.9までのバージョン | WP Social Bookmarking Light 1.7.10 |
※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS
v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しており、その他の情報については、JVN iPediaなどでご確認ください。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational
Vulnerability Database(以下「NVD」)に準拠しています。ただし、NVDに記載がない場合、Wordfenceのスコアを記載しています。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVD、Wordfenceなどの情報を確認されたうえで、自己責任でご利用ください。
前述のように、WP Social Bookmarking Lightは2023年7月27日をもってWordPress公式サイトでの公開が停止されました。
そのため、WP Social Bookmarking Lightが使用されているWordPressサイトは、重要レベルの脆弱性を有していることになり、また、今後未改修の脆弱性が修正されることは期待できない状態となっています。
Webサイトのセキュリティを確保するために、速やかに代替プラグインへの移行が推奨されます。
当社の方で安全性と継続性について一定の確度が見込んでいる代替プラグインは次の2つです。
① AddToAny Share Buttons
FacebookやX、Pinterestなどの大手SNSに加え、はてなブックマークなど多数のSNSに対応できます。
参考:AddToAny Share Buttonsのバージョンと脆弱性情報
② Jetpack
Automattic(WordPress.com)公式の多機能プラグイン「Jetpack」に含まれるSNS関連機能で代替するという手法もあります。
参考:Jetpackのバージョンと脆弱性情報
taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、WP Social Bookmarking LightとWordPressはもちろんのこと、PHP、MySQL、MariaDBについてもノウハウを有しています。
※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。
WP Social Bookmarking Lightを使用したWordPressサイトのセキュリティ対策に関しては、こちらのお問合せよりお気軽にご相談ください。
taneCREATIVEに所属する謎のトラ。
2025年1月17日執筆