Safe SVGは、ワードプレスでSVGファイルのアップロードを可能にするプラグインです。 このプラグインを使用すると、サイトに影響を与えるSVG / XMLの脆弱性を防止しながらSVGファイルをアップロードすることができます。 メディアライブラリからアップロードされたSVGファイルをプレビューできる機能も提供します。

このプラグインは、SVGファイルをセニタイツ(Sanitise)してセニタイツされていないファイルのアップロードによるセキュリティ上の問題を予防するそうです。 Safe SVGの有料版では、SVGO最適化とSVGファイルをアップロードすることができるユーザに制限する機能を提供します。

ワードプレスSafe SVGプラグイン

Safe SVGプラグインは、約10万を超えるサイトに設置されて使用されています。 Safe SVGの1.9.4以下のバージョンでサービス拒否攻撃(Denial of Service)の脆弱性が発見され、数日前に、セキュリティの問題がパッチされたバージョンに更新されました。 しかし、今日チェックしてみると、このプラグインワードプレスストアから一時的に削除されたと表示されていますね。

Safe SVGプラグインの削除

このプラグインは、2019年11月6日に一時的に削除され、ダウンロードすることができ、現在検討中です。 Safe SVGプラグインを使用している場合は、セキュリティのためにプラグインを除去し、セキュリティ上の問題の検討が行われているワードプレスストアに再登録されるまで待つことをお勧めします。

代替プラグインで SVG Supportというプラグインがあります。 このプラグインは、現在の30万個以上のサイトで有効になっており、メディアラリライブラリーでSVGをサポートするようにして、簡単なIMGタグを使用して、SVGファイルのコードを簡単に埋め込む(Embed)することができる機能を提供します。

ワードプレスでは、現在、アップロードする前に、SVGファイルに<xml>タグを含むように要求します。 アップロードしようとすると、セキュリティエラーが発生した場合、コードエディタ(例えば、sublime text)でSVGファイルを開き、次の行をSVGファイルの最初の行に追加し、[保存してください:<?xml version = "1.0" encoding = " utf-8 "?>

※サービス拒否攻撃(Denial of Service; DoS)は、システムを悪意を持って攻撃して、そのシステムのリソースを不足させて、元の意図された用途に使用できないようにする攻撃である。 特定のサーバーに多数の接続の試みを作って他の利用者が正常にサービスの利用をしないようにしたり、サーバーのTCP接続を底出すなどの攻撃がこの範囲に含まれる。(出典:ウィキペディア)

※SVGと - スケーラブルベクタグラフィックス(Scalable Vector Graphics; SVG)は2次元ベクトルグラフィックスを表現するためのXMLベースのファイル形式で、1999年W3C(World Wide Web Consortium)の主導の下で開発されたオープン標準のベクトルグラフィックファイル形式である。 SVG形式の画像とその動作は、XMLテキストファイルで定義されて検索化・リスト化・スクリプト化が可能であり、必要に応じ圧縮も可能である。(出典:ウィキペディア)

注:

コメントを残す

コメントを入力してください!
名前を入力してください