CG
(@du-bist-der-lenz)
どのプラグインでも同じですが、一度あることは二度、三度ある。狙われるのは、それだけ利用者が多いからですね。
ご連絡頂きありがとうございます。
ご説明が不足しており失礼しました。
現状問題ないというのは、昨年9月ごろの記事となります。
こちらは対策済みとの事でしょうか。
https://tarosky.co.jp/news/1405
また、追加のご質問となりますが
現状、ネットでの記事で出ているもので解決していないものは御座いますか?
※公表されていないものは含めない場合
お手数では御座いますがご確認頂けると幸いです。
https://wordpress.org/plugins/w3-total-cache/#developers
に
0.9.5.4:Fixed regression with browser caching and query strings
とありますね。
不安な場合は、以下のような形で該当プラグインに関するセキュリティの問い合わせがプラグインフォーラムにないか確認されることをおすすめします。
Search
*
そもそも論になりますが、AWSを利用されるのであればプラグインによるキャッシュではなく、AWS CloudFrontの利用を検討されてはいかがでしょうか?
https://aws.amazon.com/jp/cloudfront/
CG
(@du-bist-der-lenz)
近いところだと9月13日に、WordPressの「Welcart」プラグインで脆弱性が見つかり、脆弱性に対応した修正版が公表されましたよね。被害の拡大・再発の防止、情報セキュリティ対策の向上のためにセキュリティセンターでは経済産業省の告示に基づき、コンピュータウイルス・不正アクセス・脆弱性情報に関する発見・被害の届出や情報提供を受け付けています。ネットでの記事ででているものとなると、信ぴょう性がどんなものかは確認が大切でしょう。
昨年9月頃の、W3 Total Cacheの問題は解決していると思われますが、一年経過してることもあり油断はならないでしょう。
WordPress.orgのプラグインのページにはバージョンごとの変更履歴が掲載されています。
W3 Total Cacheの場合ですとこちらのページです。
W3 Total Cache
まずその脆弱性が発見された時期と脆弱性の概要を確認し、その後の変更履歴を追ってみましょう。それらしい修正の報告はありますか? あればその件については問題ないでしょう。その脆弱性への修正が特定されなくても、脆弱性発見後のプラグインの更新が何度もあるようであれば、状況として対策されている可能性は高いだろうとも思います。
とはいえ広く使われるプログラムほど、脆弱性の発見とは無縁ではいられません。新しい脆弱性は発見される可能性はこのプラグインに限らず十分ありますが、発見からの開発者による対処の早さを重視して選ぶというのも有効なプラグインの選択基準だと思います。
>Okamoto Hidetaka様
ご回答頂きありがとうございます。
現状、表(ニュース)に出ている脆弱性については
対策済みとの事で承知しました。
また、該当プラグインのセキュリティ情報につきまして
jvnの方で確認しておりましたが御座いませんでしたので
今後は、ご教示頂いた内容で確認したいと思います。
>AWS CloudFrontの利用を検討されてはいかがでしょうか?
S3とCloudfrontとの連携を考えており
該当プラグインはその手段として利用しようと考えております。
ただ、検証段階となり、他プラグインも検証しつつ
今回脆弱性の内容に気づきこちらのフォーラムへご質問させて頂きました。
お忙しい中ご丁寧に対応頂きお礼申し上げます。
>CG様
ご連絡頂き有難うございます。
解決の旨承知しました。
>witch_doktor様
ご連絡頂き有難うございます。
脆弱性に対しては、変更履歴の確認との事で承知しました。
また、pluginの選定条件につきましては、
脆弱性の発見からの開発者による対処までの
期間で選ぶ基準を設けた方が良いとの事で承知しました。
ご確認頂きお礼申し上げます。