2022.04.01基礎知識
【2022年2月】WordPressのセキュリティ情報やお役立ち情報
目次
WordPress 5.9.1がリリース バグ修正のメンテナンスアップデート
2022年2月22日(米国時間)にWordPress 5.9.1が、リリースされました。
今回の更新は85件のバグが修正されているアップデートになっています。
バグの内訳としては以下の通りです。
- WordPress本体(コア)で33件
- ブロックエディターで52件
WordPress 5.9.1を実行するために推奨されるサーバー要件は下記の通り。
- PHP 7.4 以上
- MySQL 5.7 以上かMariaDB 10.2 以上
- Nginx または Apache
バグの修正がされているメンテナンスアップデートですので、WordPress 5.9をお使いの場合は更新することを推奨します。
参考:WordPress 5.9.1がメンテナンスリリース(85件のバグを修正)
引き続きWordPress のシェア率は増加、Adobe SystemsやMicrosoft Systemsの新勢力CMSが追加
Q-Successの調査にて2022年2月のWebサイト向けCMS (Content Management System)のシェア率が発表されました。
2022年2月はWordPressのシェアが順調に伸びている一方で、Adobe SystemsやMicrosoft SystemsといったCMSが登場。
Adobe Systemsのシェア率は1%、Microsoft Systemsのシェア率は0.2%となっています。
AdobeとMicrosoft誰もが知っている名前がついているCMSが今後どのように推移していくのか注目です。
None(不明):1月 33.8% → 2月 33.7%(0.1%DOWN)
WordPress:1月 43.2% → 2月 43.3%(0.1%UP)
Shopify:1月 4.4% → 2月 4.4%(-)
Wix:1月 1.9% → 2月 1.9%(-)
※Q-Successは、上位1000万のWebサイト(2013年6月までの上位100万)を調査対象とし、Alexaによって提供されたWebサイトの人気ランキングの3カ月の平均順位を用いています。
参考:2月Webサイト向けCMSシェア、WordPressが増加
Updraft、Essential Addons for Elementor、PHP Everywhereに関する脆弱性情報
Updraft、Essential Addons for Elementor、PHP Everywhereについての脆弱性情報を紹介します。
UpdraftPlus
UpdraftPlusはWordpressでWebサイトのバックアップを簡単に作成・復元できるプラグインです。
今回発見されたのは、本来であればバックアップの取得は管理者権限を持つアカウントに限られるのが、この脆弱性によってWebサイト上にアカウントを持っている人ならば誰でもバックアップを取得できる状態となっていたようです。
WordPress.prgの提供する情報によると、UpdraftPlusの利用サイトは300万サイト以上あるとのこと。
修正パッチの強制インストールは開始されていますので、お使いの場合はバージョンが、無料版では1.22.4、プレミアム版だと2.22.4 になっているかを確認しましょう。
参考:Critical Vulnerability Fixed In Essential Addons for Elementor Plugin
Essential Addons for Elementor
2022年1月にWordPressのプラグイン「Essential Addons for Elementor」のセキュリティアップデートがリリースました。
Essential Addons for Elementorはサイトをドラッグ&ドロップで直感的にカスタマイズできるプラグインで、2022年2月時点で500万以上のサイトにてアクティベートされている状況です。
Essential Addons for Elementorを有効にしている状態で、この脆弱性を悪用されると、サーバー内の意図しないファイルを読み込まれてしまい、機密情報を盗まれたり、他の攻撃手法と組み合わせることでサーバーを乗っ取られる可能性があります。
脆弱性の対象となるバージョンはEssential Addons for Elementor 5.0.4 およびそれ以前のバージョンとなっていますので、使用されている方はすぐに現状のバーキョンを確認しましょう。
PHP Everywhere
PHP Everywhereは3万以上のWordPressサイトにインストールされているプラグインで、WordPressの個別ページにPHPコードの埋め込みが可能になるプラグインです。
このプラグインにおいて発見された脆弱性は、リモートからコード実行が可能で、かつサイト乗っ取りが可能になるとのこと。
脆弱性が存在するとされるプロダクトおよびバージョンはPHP Everywhere version 2.0.3及びこれより前のバージョンとなっていますので、使用されている方はすぐに現状のバーキョンを確認しましょう。
参考: Critical Vulnerabilities in PHP Everywhere Allow Remote Code Execution
Updraft、Essential Addons for Elementor、PHP Everywhereいずれのプラグインも多くの方が利用されているプラグインであり、すべての脆弱性が緊急(Critical)となっていますので、使用されている方はすぐにバージョンを確認をしてください。