Qode Bridgeに致命的な脆弱性
Qode Bridge Wordfenceで脆弱性を指摘される
Envato Themeforestで20万セールス以上の実績をもつQode Bridgeに内包されるプラグイン、Bridge Coreに対してWordfenceが脆弱性を指摘しました。
指摘のレベルはCriticalでスコア6.1と結構深刻な領域になっています。
該当プラグインのバージョンは3.0.9でこの記事を書いている現在ではアップデートはリリースされていません。
脆弱性の内容はクロススクリプティングで悪質なスクリプティングを特定のurlに付与することでハッカーが攻撃を加えることが可能であるというセキュリティホールです。
今のところWordfenceはBridge Coreのアンインストールを推奨しています。
Qode Brideは人気の有料テーマファイル
筆者は以前ThemeforestでQode Bride を3ライセンスほど購入しました。
Qode Bridgeは海外で結構人気のあるテーマでページビルダーがセットで、WooCommerceにも対応、 Themeforest では20万ライセンスほど販売実績のある有名テーマファイルです。
筆者もまだライセンスを購入した3サイトほどQode Bridgeで運用しています。
Qode Bridgeのテーマビルダー
WP Bakery Page Builder が付属しています。
今はわかりませんが、Elementor も付属されます、というか無料版のインストールを促されます。
筆者のElementor との出会いはこの推奨インストールで、Elementor 推奨のテーマHelloをインストールすることにより、皮肉にもQode Bridgeからどんどん遠ざかっていきました。
Bridegeの脆弱性に対する対策
筆者はかつてQode Bridgeを多くのサイトで利用していました。
それも1ライセンスで複数のサイト運用ができた時代ですが。。。
1ライセンス1サイトが明言されてからは、多くのサイトをElementor +Helloへと移行していきました。
と、いうのもQode Bridgeのセキュリティ上の脆弱性が指摘されたのは今回が初めてではなく2020年ころも何回かありました。
同時期にBridgeの推奨プラグインにElementor が現れはじめどんどんElementor へと傾いていきました。
それは今でも同じで、2023年のいまベストなWordpressを使ったウェブソリューションはElementor ProとHelloの組み合わせです。
この記事を投稿してから12日後の2023年9月13日にQode Bridgeの更新とともにBridge Coreプラグインの更新がされ脆弱性が解消されたようです。
Wordfenceからもアラートがなくなりました。
-
Qode Bridgeに致命的な脆弱性の関連リンク