WordPressのセキュリティプラグイン「Wordfence」をリリースしているDefiant.Incの記事によれば

2 Million Users Affected by Vulnerability in All in One SEO Pack

著名なWordPressプラグイン

「All In One SEO Pack」

にXSSの脆弱性が発見されたとのこと。

7/10に発見され、7/15には修正パッチが発表されているとのことなので、プラグインを更新してバージョンを3.6.2（以降）にアップデートしましょう。

WordPressサイトにAll In One SEO Packプラグインを導入している人は、

WordPressダッシュボード＞更新

もしくは

プラグイン＞インストール済プラグイン

に進んで

All In One SEO Packを更新します。

修正パッチが当たったバージョンは3.6.2ですので、バージョン3.6.2（以降）になっていれば大丈夫です。

XSSの脆弱性って何？　どんな危険があるの？

XSS攻撃を受けると、悪意あるスクリプトを仕込まれてサイト訪問者の個人情報を盗まれたり、フィッシングサイトに誘導されたり、新しい管理ユーザーを追加してサイトを乗っ取ったりされる危険性があります。

どんなサイトが危険なの？

基本的には投稿を作成できる権限を持つユーザー（寄稿者、作成者、編集者など）が悪意あるスクリプトを挿入できてしまう、という脆弱性のようです。

そのため管理者一人で運営しているサイトの場合はリスクは少ないかもしれませんが、何らか別の侵入を受けた後に仕込まれる危険もあるので、やはりアップデートしておくに越したことはないかと思います。

そもそもAll In One SEO Packを入れない方がいいテーマも増えている

ちなみに「All In One SEO Pack」、以前は定番SEOプラグインとして多くの方が使っていました。

2～3年前くらいの常識？ではWordPress入れたら

「とりあえずJetpackとAll In One SEO Pack入れて……と」

していた人も多いかと思います（私もそうでした）。

しかし、All In One SEO Packは重いプラグインなのでサイト表示が重くなるデメリットがあり（現在はサイト表示が軽いことがサイト評価に寄与する）

定番プラグインであるがゆえに攻撃を受けやすい面もあり

元々複数だったプラグインをまとめたものなので、コードが書ける人に言わせれば内部コードが汚くなる、という話もあります

（このあたり、私は専門外なのでわからないのですが）。

そんなわけで、テーマとの関係によりますが、入れないで済むならば入れない方が良いプラグインとも言えます。

SEO対応が施されている最近の有料WordPressテーマでは同じような機能が最初からテーマに組み込まれているものも多くなっています。

その場合は機能が競合して悪影響になる場合もありますので、テーマで推奨されているプラグインをよく確認しましょう。

All In One SEO Packが不要・非推奨なWordPressテーマ

たとえば私が確認した中では、All In One SEO Packが不要・非推奨なテーマでは

などが挙げられます。

All In One SEO Pack推奨のWordPressテーマ

一方、STORK19ではAll In One SEO Packを「おすすめのプラグイン」として紹介しています。

ちなみにカスタマイズで作ってもらった当サイトもAll In One SEO Packを使ってます……。

セキュリティ面ではHTMLサイトの方が気楽な場合も

WordPressは非常に使いやすく、無料からでも綺麗なサイトが構築でき、便利なプラグインなども多くあります。

私も大いに使っていますし、おすすめもしています。

一方で利用ユーザーが世界的に多い分、攻撃の対象にもなりやすい面はあります。

WordPress自体のバージョンやプラグインを定期的にアップデートしないといけない、というのが、「放置系」のサイトを作りたい場合には若干面倒な部分ですね。

（まあなかなか今の時代、「放置」で上位表示され続けるサイト自体難しくはありますが……）

数ページのミニサイトを作ってなるべく放置したいような場合には、SIRIUSなどで作るHTMLサイト（静的サイト）の方がメンテナンスは楽かもしれません。

何が何でもWordPressが優れている、というわけではないですので、可能であれば用途に応じて使い分けると良いでしょう。