お問い合わせはコチラから

jQueryは1.x系、2.x系ともにセキュリティ問題あり

サイト運営

jQueryを使うとサイトが重くなるということで、テーマやプラグインの脱jQuery化の流れがあります。

実はWordpressはダッシュボードにログインするとjQueryが読み込まれるので、WordpressコアではjQueryが使われています。

WordPressは自前でjQueryを持っており、最近のWordpressに同梱されているjQueryのバージョンは3.7です。

jQueryは様々なバージョンがある

jQueryは1.x系、2.x系、3.x系とバージョンがあります。

1.x系と2.x系は更新が止まっております。

1.x系:1.12.4が最終バージョン

2.x系:2.2.4が最終バージョン

古いサイトでは、読み込んでいるjQueryのバージョンが1.x系、2.x系が多いと思います。

jQueryのバージョンが1.x系、2.x系はセキュリティ問題あり

jQueryのバージョンが1.x系、2.x系はjQuery には、クロスサイトスクリプティングの脆弱性が存在します。

最終バージョンでも問題は残ったままです。

JVNDB-2015-008097 - JVN iPedia - 脆弱性対策情報データベース
脆弱性対策情報データベース

最新のWordpressコアのjQueryを使っていれば問題はない

jQuery 3.x系もセキュリティ問題はあり、最新バージョンを使う方が安全です。

WordPressコアに同梱されているjQueryは3.7です。

もし、Wordpressコアに同梱されているjQueryを使っていてWordpressコアのバージョンが5.6以下であったり、最新版のWordpressを使っていない場合は、jQueryのバージョンを確認しましょう。

jQueryのバージョンを確認する方法

jQueryのバージョンは読み込んでいるパスを確認すればわかります。

ソースを確認する

ブラウザでサイトのソースを確認して、jQueryの読み込みコードを確認します。

#https://ajax.googleapis.com/ajax/libs/jquery/3.7.1/jquery.min.js?ver=3.7.1

バージョン番号がクエリでついていたり、パスにバージョン番号が含まれていることがあります。

ブラウザのコンソールを使う

検証ツールやディベロッパーツールで、コンソールを開いて以下をコピペします。

$.fn.jquery

自前でjQueryを読み込んでいるサイトやテーマは要注意

自作テーマや有料テーマ等の一部では、jQueryを自前で読み込んでいるケースがあります。

  • WordPressに同梱されているjQueryのバージョンとは異なるバージョンを使いたい
  • jQueryの$をそのまま使いたい

など理由はいろいろとあると思います。

しかし、jQueryにセキュリティ問題があることは意外と認識されていませんので、いちいちバージョンアップしようとは思わないようです。

Affinger6は、WordpressのjQueryではなく、GoogleのjQuery1.13.2が使われておりますが、バージョンアップされる感じはありません。

WordPress 5.5以降ではjquery-migrateが読み込まれなくなっていますので、jQueryのバージョンを上げる時は、jquery-migrateとセットで行った方がよいでしょう。

Enable jQuery Migrate Helper
Get information about calls to deprecated jQuery features in plugins or themes.

まとめ

jQueryのXSS(クロスサイトスクリプティング)は、軽微なセキュリティ問題ですが、セキュリティ診断などを行うと、バージョン変更で改善しなければならなくなります。

単純にjQueryの読み込むバージョンを変更するだけなので、対応した方がよいでしょう。

バージョンアップで互換性に不安がある場合は、jquery-migrateを使えば問題箇所がわかります。

この記事を書いた人
ブーン

はるばる日本よりオランダ王国へやってまいりました。
自分の経験が少しでも参考になれば嬉しいです。
お問い合わせは、『こちら』からお願い致します。

\ブーンをフォロー/
スポンサーリンク
サイト運営
\シェアお願いします!/
\ブーンをフォロー/
こんな記事も読まれています

失敗しないレンタルサーバーランキング

mixhost

不正アクセスに強くて使いやすいおススメサーバー
\本サイトで利用中/
メリット①:自動ウィルス駆除対応
メリット②:サイトの表示速度が速い!
メリット③:転送量の上限が多い!
メリット④:自由にプラン変更ができ、アクセス増にも対応できる!
メリット⑤:バックアップデータが無料で復元できる!
メリット⑥:Wordpressが簡単にインストールできる!
メリット⑦:どのプランでも初期費用が無料!
メリット⑧:10日間の無料お試し期間と30日の返金保証!

Conoha Wing

国内Wordpress最速の最強サーバー
メリット①:圧倒的な表示速度
メリット②:レンタルサーバーと独自ドメインがセットでお得◎
メリット③:プラン変更はすべてのプランで自由自在
メリット④:一か月の利用転送量の制限が緩い(9TB~)
メリット⑤:WordPresサイトの移行が簡単

エックスサーバー

国内シェアNo1の安定性と実績が魅力。ALL SSDで死角なしの万能サーバー。
メリット①:サイトの表示速度が安定して速い!
メリット②:アクセス負荷に強くて安定性が高い!
メリット③:24時間365日の充実サポートで安心!電話サポートもあり!
メリット④:転送量が多い!
メリット⑤:自動バックアップ機能付き!
メリット⑥:WordPressが簡単にインストールできる!
メリット⑦:10日の無料お試し期間がある!

タイトルとURLをコピーしました