1. TOPTOP
  2. インフラ
  3. GitHub
  4. GitHubがWordPressテーマ「Twenty Nineteen」に脆弱性があるかもしれないことを示唆

GitHubがWordPressテーマ「Twenty Nineteen」に脆弱性があるかもしれないことを示唆

github_wp_twenty_nineteen_vulnerability_0

2019年5月3日(金・祝)、GitHubに登録しているメールアドレス宛に、”One of your dependencies may have a security vulnerability”という件名でメールが届きました。内容を確認すると、GitHubのセキュリティ検知機能が、WordPressのリポジトリのうち、“wp-content/themes/twentynineteen/package-lock.json”に脆弱性があるかもしれないとのことです。

「Twenty Nineteen」の脆弱性を確認

github_wp_twenty_nineteen_vulnerability_1_2

メールに記述されている[Review vulnerable dependecy]のボタンをクリックすると、GitHubのセキュリティ機能が検知している、脆弱性の一覧画面が表示されています。画像では3つの脆弱性が指摘されており、いずれもWordPressサイトで”wp-content/themes/twentynineteen/package-lock.json”が指摘の対象となっています。

github_wp_twenty_nineteen_vulnerability_2

どれでも良いのでクリックすると、”We found a potential security vulnerability in one of your dependencies.”が表示されます。[See security alert]をクリックします。

github_wp_twenty_nineteen_vulnerability_2

赤色の背景色で”High serverity”と表示されていますね。おそらく緊急度の高い脆弱性のような気がします。

脆弱性対策 → 「Twenty Nineteen」を削除

「Twenty Nineteen」のテーマ作者さんが気づいて修正してくれると良いのですが、いつ修正してもらえるか分かりません。「Twenty Nineteen」を使っていなければ、WordPressの管理画面から「Twenty Nineteen」を削除することが次善策になると思います。

テーマの削除

github_wp_twenty_nineteen_vulnerability_4

WordPressの管理画面から[外観]から[テーマ]をクリックします。

github_wp_twenty_nineteen_vulnerability_5

画面の右下に[削除]ボタンがありますのでクリックします。問題がなければブラウザから表示されるお知らせ画面の[OK]をクリックしてテーマの削除を完了させます。

GitHubの確認

WordPressをGitで管理している場合、「Twenty Nineteen」を削除したことをコミットして、GitHubにプッシュして更新します。

# cd /var/www/html
# git add -A
# git commit -m"Twenty Nineteen delete"
# git push origin master

github_wp_twenty_nineteen_vulnerability_6

GitHubのNotificationを確認すると、GitHubのセキュリティ検知機能から脆弱性を指摘するお知らせがなくなっていることが分かります。