2022.05.09基礎知識
【2022年4月】WordPressのセキュリティ情報やお役立ち情報
目次
WordPress 5.9.3はバグフィックスを中心としたメンテナンスリリース
4月初旬にWordPress 5.9.3がリリースされました。
今回のリリースはバグフィックスが中心となっており、コアに関する9個のバグとブロックエディッタに関する10個のバグの修正が行われています。
WordPressは定期的に上記のようなメンテナンスリリースが公開されています。
今回のようなバグフィックスのリリースではなく、セキュリティフィックス中心のリリースも度々行われており、サイト運営者側がメンテナンスを怠ることが原因でハッキング被害が起こることもあります。
WordPressで作ったサイトはセキュリティ面で不安があるといった声もありますが、こうしたリリースに注目することで被害に遭いにくくすることができます。
可能であれば更新内容を確認して、アップデートすることを推奨します。
WordPress 5.9.3 Maintenance Release
Webサイト4月CMSシェア報告
Q-Successの調査にて2022年4月のWebサイト向けCMS (Content Management System)のシェア率が発表されました。
WordPressが数ヶ月ぶりにシェア率を落とし、WixとSquarespace、Adobe Systemsのシェア率が上がった結果となっています。
WordPressがFSE(フルサイト編集)を導入したように、ノーコードでのサイト制作を求める流れか、今後の動きに注目です。
- None(不明):3月 33.5% → 4月 33.3%(0.2%DOWN)
- WordPress:3月 43.3% → 4月 43.0%(0.3%DOWN)
- Shopify:3月 4.4% → 4月 4.4%(-)
- Wix:3月 2.0% → 4月 2.2%(0.2%UP)
※Q-Successは、上位1000万のWebサイト(2013年6月までの上位100万)を調査対象とし、Alexaによって提供されたWebサイトの人気ランキングの3カ月の平均順位を用いています。
4月Webサイト向けCMSシェア、WixとSquarespaceが成長 | TECH+
脆弱性報告
2022年3月末〜4月に発見された脆弱性を紹介致します。
Elementor Website Builder
Elementorが提供するWordPressのデザインを制御できるプラグイン「Elementor Website Builder」にて、ログイン可能なユーザーであれば管理画面における任意の機能を利用できる脆弱性「CVE-2022-1329」が明らかとなりました。
- CVSSv3.1スコア:9.9(緊急)
- 対象バージョン:3.6.0 〜 3.6.2
リモートより悪意あるファイルをアップロードされ、任意のコードを実行される恐れがあります。
現地時間4月12日にて、脆弱性が修正された「3.6.3」がリリースされています。
最新版としては「3.6.4」が提供されていますので、対象バージョンを利用されている方は早急にアップデートしましょう。
Advanced Custom Fields / Advanced Custom Fields Pro
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月30日にWordPress 用プラグイン Advanced Custom Fields における認証欠如の脆弱性について発表しました。
CVSSv3.1スコアは6.5(警告)となっていますが、データベース上のアクセス権限のないデータを閲覧される恐れがあります。
ユーザー権限があることが前提ですが、ユーザー権限を乗っ取られている危険性を含んでいます。
- CVSSv3.1スコア:6.5(警告)
- 対象バージョン:5.12.1 未満
対象バージョンを利用されている方は開発者が提供する情報をもとに、最新版へアップデートしましょう。
アクセスしてきたユーザーを詐欺サイトにリダイレクトするWordPress向けマルウェア蔓延中
WordPress向けのセキュリティソリューションを提供しているSucuriが4月3日(現地時間)、公式ブログ「WordPress Popunder Malware Redirects to Scam Sites」にて、WordPress で作成されたWebサイトに対してアクセスしたユーザーを詐欺サイトにリダイレクトするマルウェアが蔓延しているとして警告されました。
このマルウェアは2021年3月に検出され、現在の合計で1万7,000サイト以上、2022年に入ってから3,000サイト以上の感染が確認されています。
テーマ内のfooter.phpファイルに挿入され、感染されたファイルは長い空行の後、JavaScriptでリダイレクト用のコードが記述されてしまうようです。
特定のプラグインやテーマが感染源となっているわけではなく、侵害された管理者アカウントを使用し、組み込みのファイルエディタ機能で挿入している可能性が高いとSucuriは分析しています。
Sucuriはwp-adminの管理者パネルを保護するためにWordPressのセキュリティを確認することを推奨しています。
WordPress Popunder Malware Redirects to Scam Sites