WordPressプラグインCustom Field Suiteの脆弱性:リスクと対策ガイド


2024年07月31日

はじめに

2024年5月頃にWordPressのプラグインである『Custom Field Suite』に脆弱性が見つかったと報告がありました。

2024年7月現在『Custom Field Suite』プラグインの最新バージョンは公開されておらず、
こちらのプラグインを利用しているサイトは直ちに使用を一時停止することを推奨いたします。

『Custom Field Suite』プラグインとは

Custom Field Suite は、WordPressサイトにカスタムフィールドを追加するためのプラグインです。
カスタムフィールドは、投稿やページに追加のデータを保存できる機能で、Custom Field Suiteはカスタムフィールドを直感的かつ柔軟に行えるようにします。
固定ページなどのカスタマイズや自作テーマの作成時によく使われているプラグインです。

また、Custom Field Suite 最大の強みとしてカスタムフィールドの「繰り返しフィールド」を無料で扱える点だと思います。
他のカスタムフィールドを扱うプラグインでは「繰り返しフィールド」が有料オプションになっているものが多いです。
その中で無料で「繰り返しフィールド」を使える点は大きな強みだと思います。

Custom Field Suite の脆弱性

見つかった脆弱性は「クロスサイトスクリプティング(XSS)」です。

v2.6.7 および それ以前のバージョンが対象であり、
2024年7月現在、『Custom Field Suite』の最新バージョンはv2.6.7です。
つまり、今現在も『Custom Field Suite』プラグインは「クロスサイトスクリプティング(XSS)」の脆弱性に晒されています。

クロスサイトスクリプティング(XSS)とは

クロスサイトスクリプティング(XSS)は、ウェブアプリケーションのセキュリティ上の脆弱性の一つで、攻撃者が悪意のあるスクリプトを他のユーザーのブラウザで実行させる攻撃手法です。XSS攻撃によって、攻撃者はユーザーの通信を乗っ取ったり、個人情報を盗み出したり、偽のコンテンツを表示させることができます。

具体的な手法につきましては掲載することはできませんのでご了承ください。

対策方法

2024年7月現在も脆弱性に対応した『Custom Field Suite』のアップデートバージョンがリリースされていないため、直ちに使用を停止した方が良いです。

ただ、カスタムフィールドを扱うプラグインのため、プラグインをただ停止してしまうと、
カスタムフィールドを利用していたページではエラーコード等が表示されてしまう可能性があります。

対象のページ内で利用しているコードを確認しつつ、カスタムフィールドが宣言されているコードを全て取り除き、その上でプラグインを停止またはアンインストールを行いましょう。

代替えプラグイン

Advanced Custom Fields (ACF)

『Advanced Custom Fields (ACF)』プラグインも『Custom Field Suite』同様カスタムフィールドを扱えるプラグインとなっています。
使い勝手もよく似ていて、移行するには良いプラグインとなっています。

ただ、こちらは「繰り返しフィールド」は有料オプションとなっているため、
「繰り返しフィールド」を使っていたコンテンツには大幅な修正が必要になってしまう場合もあります。

まとめ

『Custom Field Suite』プラグインは2024年7月の現時点では使用を停止した方が良いと思われます。
最新バージョンが出次第、利用を再開するか、他のカスタムフィールド用プラグインを導入するか検討が必要です。

ホームページ更新代行 – YouTopia は本記事の対策も可能ですので、
まずはお問合せくださいませ。


ホームページの更新代行はYouTopia

YouTopiaでは個人から中小企業の方向けのホームページ更新代行を行っております。