jQueryを使うとサイトが重くなるということで、テーマやプラグインの脱jQuery化の流れがあります。
実はWordpressはダッシュボードにログインするとjQueryが読み込まれるので、WordpressコアではjQueryが使われています。
WordPressは自前でjQueryを持っており、最近のWordpressに同梱されているjQueryのバージョンは3.7です。
jQueryは様々なバージョンがある
jQueryは1.x系、2.x系、3.x系とバージョンがあります。
1.x系と2.x系は更新が止まっております。
1.x系:1.12.4が最終バージョン
2.x系:2.2.4が最終バージョン
古いサイトでは、読み込んでいるjQueryのバージョンが1.x系、2.x系が多いと思います。
jQueryのバージョンが1.x系、2.x系はセキュリティ問題あり
jQueryのバージョンが1.x系、2.x系はjQuery には、クロスサイトスクリプティングの脆弱性が存在します。
最終バージョンでも問題は残ったままです。
最新のWordpressコアのjQueryを使っていれば問題はない
jQuery 3.x系もセキュリティ問題はあり、最新バージョンを使う方が安全です。
WordPressコアに同梱されているjQueryは3.7です。
もし、Wordpressコアに同梱されているjQueryを使っていてWordpressコアのバージョンが5.6以下であったり、最新版のWordpressを使っていない場合は、jQueryのバージョンを確認しましょう。
jQueryのバージョンを確認する方法
jQueryのバージョンは読み込んでいるパスを確認すればわかります。
ソースを確認する
ブラウザでサイトのソースを確認して、jQueryの読み込みコードを確認します。
#https://ajax.googleapis.com/ajax/libs/jquery/3.7.1/jquery.min.js?ver=3.7.1
バージョン番号がクエリでついていたり、パスにバージョン番号が含まれていることがあります。
ブラウザのコンソールを使う
検証ツールやディベロッパーツールで、コンソールを開いて以下をコピペします。
$.fn.jquery
自前でjQueryを読み込んでいるサイトやテーマは要注意
自作テーマや有料テーマ等の一部では、jQueryを自前で読み込んでいるケースがあります。
- WordPressに同梱されているjQueryのバージョンとは異なるバージョンを使いたい
- jQueryの$をそのまま使いたい
など理由はいろいろとあると思います。
しかし、jQueryにセキュリティ問題があることは意外と認識されていませんので、いちいちバージョンアップしようとは思わないようです。
Affinger6は、WordpressのjQueryではなく、GoogleのjQuery1.13.2が使われておりますが、バージョンアップされる感じはありません。
WordPress 5.5以降ではjquery-migrateが読み込まれなくなっていますので、jQueryのバージョンを上げる時は、jquery-migrateとセットで行った方がよいでしょう。
まとめ
jQueryのXSS(クロスサイトスクリプティング)は、軽微なセキュリティ問題ですが、セキュリティ診断などを行うと、バージョン変更で改善しなければならなくなります。
単純にjQueryの読み込むバージョンを変更するだけなので、対応した方がよいでしょう。
バージョンアップで互換性に不安がある場合は、jquery-migrateを使えば問題箇所がわかります。