基礎知識 2023.07.26

【2021年12月】WordPressのセキュリティ情報やお役立ち情報

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO

1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。

【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make
■WordPress保守/運用サービス「wp.support
■WordPressハッキング/緊急復旧対応サービス「wp.rescue
■WordPressバージョンアップ代行サービス「wp.versionup

Webサイト【12月CMSシェア報告】WordPressは+0.2%、Wixが3位へ浮上

Q-Successの調査にて2021年12月のWebサイト向けCMS (Content Management System)のシェア率が発表されました。
2021年112はWordPress、Shopify、Wixがシェアを伸ばしており、CMSを使っていないサイトが減少しております。

WordPressとShopifyは継続的に増加傾向にあり、WixやSquarespaceに関しても若干ながら増加傾向にあります。それに反してJoomlaは減少傾向にあるようです。

None(不明):11月 34.3% → 12月 34.0%(0.3%DOWN)
WordPress:11月 42.8% → 12月 43.0%(0.2%UP)
Shopify:11月 4.2% → 12月 4.3%(0.1%UP)
Wix:11月 1.8% → 12月 1.9%(0.1%UP)

※Q-Successは、上位1000万のWebサイト(2013年6月までの上位100万)を調査対象とし、Alexaによって提供されたWebサイトの人気ランキングの3カ月の平均順位を用いています。

>>Webサイト12月CMSシェア、Wixが3位へ浮上 | TECH+

All In One SEOプラグインで重大な脆弱性が確認されたので4.1.5.3へ更新が必要


WordPressの人気SEOプラグインである「All in One SEO」にて重大な2件の脆弱性が確認されました。
この脆弱性を放置しておくと、Webサイトの乗っ取りやデータベースに記録された情報を盗まれる危険性があります。

今回の脆弱性の影響を受けるのはバージョン4.0.0から4.1.5.2で、脆弱性の内容は下記の2つ。

①認証されたユーザーによる特権昇格の脆弱性(バージョン4.0.0から4.1.5.2に影響)
②認証されたユーザーによるSQLインジェクションの脆弱性(バージョン4.1.3.1から4.1.5.2に影響)

CVSS v3(脆弱性の深刻度を評価するための指標)によると、「①認証されたユーザーによる特権昇格の脆弱性」が9.9で深刻度「緊急」、②認証されたユーザーによるSQLインジェクションの脆弱性が7.7で深刻度「高」に指定されています。
当社によるソース解析では、ユーザーがログイン可能なサイトのみで発生する被害と見ており、当プラグインを導入している全てのサイトで直ちに危険な状態となる訳ではありませんが、All in One SEOは300万を超えるWebサイトで使用されていることから極めて影響が大きいことから、早急なアップデートが推奨されています。

>>Severe Vulnerabilities Fixed in All In One SEO Plugin Version 4.1.5.3

【重要】HeartbleedやShellshockに並ぶ最悪の脆弱性「Log4Shell」について


Apache Log4jにリモートコード実行の脆弱性が発見され、CVSS v3(脆弱性の深刻度を評価するための指標)のスコアは最大の10(緊急)とされました。

簡単かつ遠隔からの任意コード実行が可能なことから、ただちに対応することが求められています。
この脆弱性の発見は、この10年で1、2を争う「最悪の脆弱性」だと言われており、Amazon Web Services、Microsoft、GoogleなどIT業界が一斉に注意喚起をするほどです。

今回影響を受けるのは、Apache Log4j 2.0-beta9から2.14.1までのバージョンで、脆弱性が修正されたバージョンは「Apache Log4j バージョン2.15.0」です。

今回の脆弱性は、歴代の深刻な脆弱性である「Heartbleed」や「Shellshock」に匹敵するという声もでており、通称「Log4Shell」と呼ばれています。

影響を受けるシステムは多岐にわたっており、影響範囲を完全に網羅した情報は存在しておらず、使っているシステムは迅速に問題が修正されたバージョンへアップデートの対応が望ましいです。

自社で入れてないから問題がないというわけではなく、サーバー管理会社等に確認をしましょう。
エックスサーバーやロリポップといったレンタルサーバー各社は影響がないことを公表しております。
レンタルサーバーをお使いの方は、各社のお知らせをぜひ確認しましょう。

>>Log4j – Apache Log4j Security Vulnerabilities
>>CVE -CVE-2021-44228

State of the Word 2021 基調講演の日本語字幕動画とハイライト

WordPress共同創設者であるマット・マレンウェッグによる恒例の基調講演”State of the Word 2021″ が、米国時間12月14日に行われました。

このイベントは、ワクチン接種の証明を持った少数の観客を招いてニューヨーク市にて行われ、ライブイベントまで足を運べなかった方々も、世界各地からライブ配信にて視聴することができました。

WordPressの過去から未来まで幅広くスポットライトを当て、コントリビューターの増加、翻訳、最近のリリースマイルストーン、教育イニシアチブなど、さまざまな話題が取り上げられました。

公開が予定されているWordPress 5.9の特徴であるフルサイト編集、ブロックパターン、グローバルスタイルオプション、画像コントロール強化などのデモも紹介されました。

動画が公開されていますので、興味がある方はぜひご視聴ください。

>>Highlights from State of the Word 2021

WordPress保守・運用のパートナーなら「wp.support」にお任せ!

WordPressサイトを運用していて、以下のようなお悩みはありませんか?

  • 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
  • サイトのUI/UXを改善したいけれど、自社内では難しい…
  • WordPressサイトを高速化したいけれど、ノウハウがない…
  • セキュリティ対策をしたいけれど、知識のある人材がいない…
  • 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
  • ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する

バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!

wp.support資料

WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?

面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!

【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...

WordPressに関することなら何でもご相談ください!