2019年5月3日（金・祝）、GitHubに登録しているメールアドレス宛に、”One of your dependencies may have a security vulnerability”という件名でメールが届きました。内容を確認すると、GitHubのセキュリティ検知機能(新しいタブで開く)が、WordPressのリポジトリのうち、“wp-content/themes/twentynineteen/package-lock.json”に脆弱性があるかもしれないとのことです。

「Twenty Nineteen」の脆弱性を確認

メールに記述されている[Review vulnerable dependecy]のボタンをクリックすると、GitHubのセキュリティ機能が検知している、脆弱性の一覧画面が表示されています。画像では3つの脆弱性が指摘されており、いずれもWordPressサイトで”wp-content/themes/twentynineteen/package-lock.json”が指摘の対象となっています。

どれでも良いのでクリックすると、”We found a potential security vulnerability in one of your dependencies.”が表示されます。[See security alert]をクリックします。

赤色の背景色で”High serverity”と表示されていますね。おそらく緊急度の高い脆弱性のような気がします。

脆弱性対策 → 「Twenty Nineteen」を削除

「Twenty Nineteen」のテーマ作者さんが気づいて修正してくれると良いのですが、いつ修正してもらえるか分かりません。「Twenty Nineteen」を使っていなければ、WordPressの管理画面から「Twenty Nineteen」を削除することが次善策になると思います。

テーマの削除

WordPressの管理画面から[外観]から[テーマ]をクリックします。

画面の右下に[削除]ボタンがありますのでクリックします。問題がなければブラウザから表示されるお知らせ画面の[OK]をクリックしてテーマの削除を完了させます。

GitHubの確認

WordPressをGitで管理している場合、「Twenty Nineteen」を削除したことをコミットして、GitHubにプッシュして更新します。

# cd /var/www/html
# git add -A
# git commit -m"Twenty Nineteen delete"
# git push origin master

GitHubのNotificationを確認すると、GitHubのセキュリティ検知機能から脆弱性を指摘するお知らせがなくなっていることが分かります。