基礎知識 2022.03.04 2024.06.27

【2022年2月】WordPressのセキュリティ情報やお役立ち情報

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO

1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。

【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make
■WordPress保守/運用サービス「wp.support
■WordPressハッキング/緊急復旧対応サービス「wp.rescue
■WordPressバージョンアップ代行サービス「wp.versionup

WordPress 5.9.1がリリース バグ修正のメンテナンスアップデート

2022年2月22日(米国時間)にWordPress 5.9.1が、リリースされました。
今回の更新は85件のバグが修正されているアップデートになっています。
バグの内訳としては以下の通りです。

  • WordPress本体(コア)で33件
  • ブロックエディターで52件

WordPress 5.9.1を実行するために推奨されるサーバー要件は下記の通り。

  • PHP 7.4 以上
  • MySQL 5.7 以上かMariaDB 10.2 以上
  • Nginx または Apache

バグの修正がされているメンテナンスアップデートですので、WordPress 5.9をお使いの場合は更新することを推奨します。

参考:WordPress 5.9.1がメンテナンスリリース(85件のバグを修正)

引き続きWordPress のシェア率は増加、Adobe SystemsやMicrosoft Systemsの新勢力CMSが追加


Q-Successの調査にて2022年2月のWebサイト向けCMS (Content Management System)のシェア率が発表されました。
2022年2月はWordPressのシェアが順調に伸びている一方で、Adobe SystemsやMicrosoft SystemsといったCMSが登場。
Adobe Systemsのシェア率は1%、Microsoft Systemsのシェア率は0.2%となっています。
AdobeとMicrosoft誰もが知っている名前がついているCMSが今後どのように推移していくのか注目です。

None(不明):1月 33.8% → 2月 33.7%(0.1%DOWN)
WordPress:1月 43.2% → 2月 43.3%(0.1%UP)
Shopify:1月 4.4% → 2月 4.4%(-)
Wix:1月 1.9% → 2月 1.9%(-)

※Q-Successは、上位1000万のWebサイト(2013年6月までの上位100万)を調査対象とし、Alexaによって提供されたWebサイトの人気ランキングの3カ月の平均順位を用いています。

参考:2月Webサイト向けCMSシェア、WordPressが増加

Updraft、Essential Addons for Elementor、PHP Everywhereに関する脆弱性情報


Updraft、Essential Addons for Elementor、PHP Everywhereについての脆弱性情報を紹介します。

UpdraftPlus

UpdraftPlusはWordpressでWebサイトのバックアップを簡単に作成・復元できるプラグインです。
今回発見されたのは、本来であればバックアップの取得は管理者権限を持つアカウントに限られるのが、この脆弱性によってWebサイト上にアカウントを持っている人ならば誰でもバックアップを取得できる状態となっていたようです。

WordPress.prgの提供する情報によると、UpdraftPlusの利用サイトは300万サイト以上あるとのこと。
修正パッチの強制インストールは開始されていますので、お使いの場合はバージョンが、無料版では1.22.4、プレミアム版だと2.22.4 になっているかを確認しましょう。

参考:Critical Vulnerability Fixed In Essential Addons for Elementor Plugin

Essential Addons for Elementor

2022年1月にWordPressのプラグイン「Essential Addons for Elementor」のセキュリティアップデートがリリースました。

Essential Addons for Elementorはサイトをドラッグ&ドロップで直感的にカスタマイズできるプラグインで、2022年2月時点で500万以上のサイトにてアクティベートされている状況です。

Essential Addons for Elementorを有効にしている状態で、この脆弱性を悪用されると、サーバー内の意図しないファイルを読み込まれてしまい、機密情報を盗まれたり、他の攻撃手法と組み合わせることでサーバーを乗っ取られる可能性があります。

脆弱性の対象となるバージョンはEssential Addons for Elementor 5.0.4 およびそれ以前のバージョンとなっていますので、使用されている方はすぐに現状のバーキョンを確認しましょう。

参考:NVD – CVE-2022-0320

PHP Everywhere

PHP Everywhereは3万以上のWordPressサイトにインストールされているプラグインで、WordPressの個別ページにPHPコードの埋め込みが可能になるプラグインです。

このプラグインにおいて発見された脆弱性は、リモートからコード実行が可能で、かつサイト乗っ取りが可能になるとのこと。

脆弱性が存在するとされるプロダクトおよびバージョンはPHP Everywhere version 2.0.3及びこれより前のバージョンとなっていますので、使用されている方はすぐに現状のバーキョンを確認しましょう。

参考: Critical Vulnerabilities in PHP Everywhere Allow Remote Code Execution

Updraft、Essential Addons for Elementor、PHP Everywhereいずれのプラグインも多くの方が利用されているプラグインであり、すべての脆弱性が緊急(Critical)となっていますので、使用されている方はすぐにバージョンを確認をしてください。

WordPress保守・運用のパートナーなら「wp.support」にお任せ!

WordPressサイトを運用していて、以下のようなお悩みはありませんか?

  • 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
  • サイトのUI/UXを改善したいけれど、自社内では難しい…
  • WordPressサイトを高速化したいけれど、ノウハウがない…
  • セキュリティ対策をしたいけれど、知識のある人材がいない…
  • 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
  • ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する

バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!

wp.support資料

WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?

面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!

【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...

WordPressに関することなら何でもご相談ください!

もっと詳しく