wp.geek|世界のWordPress最新情報を届けるメディア WordPressのプロによる
情報発信メディア

2022.01.11基礎知識

【2021年12月】WordPressのセキュリティ情報やお役立ち情報

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社プレート 取締役

1985年北海道生まれ。200社以上のWordPressサイトの制作を担当し、「wp.support」では一部上場企業を含め、様々なサイトのWordPress保守・セキュリティをサポートしている。

この著者の他の記事を見る >>

Webサイト【12月CMSシェア報告】WordPressは+0.2%、Wixが3位へ浮上

Q-Successの調査にて2021年12月のWebサイト向けCMS (Content Management System)のシェア率が発表されました。
2021年112はWordPress、Shopify、Wixがシェアを伸ばしており、CMSを使っていないサイトが減少しております。

WordPressとShopifyは継続的に増加傾向にあり、WixやSquarespaceに関しても若干ながら増加傾向にあります。それに反してJoomlaは減少傾向にあるようです。

None(不明):11月 34.3% → 12月 34.0%(0.3%DOWN)
WordPress:11月 42.8% → 12月 43.0%(0.2%UP)
Shopify:11月 4.2% → 12月 4.3%(0.1%UP)
Wix:11月 1.8% → 12月 1.9%(0.1%UP)

※Q-Successは、上位1000万のWebサイト(2013年6月までの上位100万)を調査対象とし、Alexaによって提供されたWebサイトの人気ランキングの3カ月の平均順位を用いています。

>>Webサイト12月CMSシェア、Wixが3位へ浮上 | TECH+

All In One SEOプラグインで重大な脆弱性が確認されたので4.1.5.3へ更新が必要


WordPressの人気SEOプラグインである「All in One SEO」にて重大な2件の脆弱性が確認されました。
この脆弱性を放置しておくと、Webサイトの乗っ取りやデータベースに記録された情報を盗まれる危険性があります。

今回の脆弱性の影響を受けるのはバージョン4.0.0から4.1.5.2で、脆弱性の内容は下記の2つ。

①認証されたユーザーによる特権昇格の脆弱性(バージョン4.0.0から4.1.5.2に影響)
②認証されたユーザーによるSQLインジェクションの脆弱性(バージョン4.1.3.1から4.1.5.2に影響)

CVSS v3(脆弱性の深刻度を評価するための指標)によると、「①認証されたユーザーによる特権昇格の脆弱性」が9.9で深刻度「緊急」、②認証されたユーザーによるSQLインジェクションの脆弱性が7.7で深刻度「高」に指定されています。
当社によるソース解析では、ユーザーがログイン可能なサイトのみで発生する被害と見ており、当プラグインを導入している全てのサイトで直ちに危険な状態となる訳ではありませんが、All in One SEOは300万を超えるWebサイトで使用されていることから極めて影響が大きいことから、早急なアップデートが推奨されています。

>>Severe Vulnerabilities Fixed in All In One SEO Plugin Version 4.1.5.3

【重要】HeartbleedやShellshockに並ぶ最悪の脆弱性「Log4Shell」について


Apache Log4jにリモートコード実行の脆弱性が発見され、CVSS v3(脆弱性の深刻度を評価するための指標)のスコアは最大の10(緊急)とされました。

簡単かつ遠隔からの任意コード実行が可能なことから、ただちに対応することが求められています。
この脆弱性の発見は、この10年で1、2を争う「最悪の脆弱性」だと言われており、Amazon Web Services、Microsoft、GoogleなどIT業界が一斉に注意喚起をするほどです。

今回影響を受けるのは、Apache Log4j 2.0-beta9から2.14.1までのバージョンで、脆弱性が修正されたバージョンは「Apache Log4j バージョン2.15.0」です。

今回の脆弱性は、歴代の深刻な脆弱性である「Heartbleed」や「Shellshock」に匹敵するという声もでており、通称「Log4Shell」と呼ばれています。

影響を受けるシステムは多岐にわたっており、影響範囲を完全に網羅した情報は存在しておらず、使っているシステムは迅速に問題が修正されたバージョンへアップデートの対応が望ましいです。

自社で入れてないから問題がないというわけではなく、サーバー管理会社等に確認をしましょう。
エックスサーバーやロリポップといったレンタルサーバー各社は影響がないことを公表しております。
レンタルサーバーをお使いの方は、各社のお知らせをぜひ確認しましょう。

>>Log4j – Apache Log4j Security Vulnerabilities
>>CVE -CVE-2021-44228

State of the Word 2021 基調講演の日本語字幕動画とハイライト

WordPress共同創設者であるマット・マレンウェッグによる恒例の基調講演”State of the Word 2021″ が、米国時間12月14日に行われました。

このイベントは、ワクチン接種の証明を持った少数の観客を招いてニューヨーク市にて行われ、ライブイベントまで足を運べなかった方々も、世界各地からライブ配信にて視聴することができました。

WordPressの過去から未来まで幅広くスポットライトを当て、コントリビューターの増加、翻訳、最近のリリースマイルストーン、教育イニシアチブなど、さまざまな話題が取り上げられました。

公開が予定されているWordPress 5.9の特徴であるフルサイト編集、ブロックパターン、グローバルスタイルオプション、画像コントロール強化などのデモも紹介されました。

動画が公開されていますので、興味がある方はぜひご視聴ください。

>>Highlights from State of the Word 2021

注目記事バナー
2022.01.11