wp.geek|世界のWordPress最新情報を届けるメディア WordPressのプロによる
情報発信メディア

2022.06.07基礎知識

【2022年5月】WordPressのセキュリティ情報やお役立ち情報

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社プレート 取締役

1985年北海道生まれ。200社以上のWordPressサイトの制作を担当し、「wp.support」では一部上場企業を含め、様々なサイトのWordPress保守・セキュリティをサポートしている。

この著者の他の記事を見る >>

2022年5月25日 【WordPress6.0 Arturo】をリリース

日本時間 2022年5月25日に WordPress6.0 Arturo(アルトゥーロ) がリリースされました。
WordPress 6.0 は、ダッシュボードからバージョンアップを実行できるようになっています。
このリリースは、グラミー賞を受賞したジャズミュージシャン、アルトゥーロ・オファリル にちなんで命名されました。
アルトゥーロは現代ラテンジャズに大きな影響を与えた偉大なジャズミュージシャンです。

今回のリリースはメジャーバージョンアップではありますが、前回の5.9のバージョンアップと比べインパクトは少ないバージョンアップとなります。
ブロックエディタとフルサイト編集(FSE)の改修がメインとなります。

  • ブロックロック

    ブロックの移動、ブロックの削除、またはその両方をロックできるようになりました。
    ロックされたブロックの一部のアクションを無効にすることができます。
    この機能によって、「誤ってブロックを並び替えてしまう」「編集中のブロックを削除してしまう」というミスを防ぐことが可能となり、投稿者のストレスが軽減されるようになりました。

  • カテゴリ/タグのリマインダー

    投稿の公開時に必要なカテゴリやタグを設定していない場合、事前公開パネルで提案をしてくれるようになりました。
    この機能により、公開前の入力漏れなどを防ぎ易くなりました。

  • フルサイト編集(FSE)

    フルサイト編集(FSE)の機能も強化され、より便利にサイトの編集を行うことができるようになりました。
    コードエディターをサイトエディターに追加

    • コードエディターをサイトエディターに追加

      サイトエディターにおいてもコードエディターが使えるようになりました。

    • テーマをエクスポート

      テーマをエクスポートしたい時、WordPress5.9ではテンプレートのみが対象でしたが、WordPress6.0からはテーマ内のすべてのファイルがエクスポートできるようになりました。

    • パターンディレクトリからパターンを追加

      WordPress5.8にて導入された theme.jsonの機能が強化されました。
      patternsプロパティが追加され、theme.jsonから任意のパターンを簡単に追加できるようになりました。
      これまではパターンディレクトリからコピーした情報をphpに組み込む必要がありましたが、themes.jsonの petternsプロパティに追加したいパターン名を記述することで追加できるようになっています。

直感的なサイト編集機能が重要視される昨今、WordPressも例外なく上記のような機能を強化しています。
今後もより一層サイト編集が直感的になり、エンジニアでない方でも自由に表現をできるようになっていくと予想されます。

WordPress 6.0のリリースに関しては下記リンクでも確認できます。

WordPress 6.0 Arturo

Webサイト5月CMSシェア報告

Q-Successの調査にて2022年5月のWebサイト向けCMS (Content Management System)のシェア率が発表されました。
WordPressのシェアはほぼ横ばいの動きを続け、2位のShopifyはシェアが若干ながら減少傾向に変化しました。
そんな中、Wixはシェアを増やし、このままの勢いで増加傾向が続いた場合は、Shopifyを抜いてCMSシェア2位となる可能性も考えられます。

  • None(不明):4月 33.3% → 5月 33.1%(0.2%DOWN)
  • WordPress:4月 43.0% → 5月 43.0%(-)
  • Shopify:4月 4.4% → 5月 4.3%(0.1%DOWN)
  • Wix:4月 2.2% → 5月 2.3%(0.1%UP)

※Q-Successは、上位1000万のWebサイト(2013年6月までの上位100万)を調査対象としており、Alexaによって提供されたWebサイトの人気ランキングの3カ月の平均順位を用いています。

Webサイト5月CMSシェア、Wixの増加続く | TECH+

脆弱性報告

2022年4月末〜5月に発見された脆弱性を紹介致します。

テーマ「Jupiter」および「JupiterX Premium」

Elementorが提供するWordPressのデザインを制御できるソフトウェア「Elementor Website Builder」にて、ログイン可能なユーザーであれば管理画面における任意の機能を利用できる脆弱性「CVE-2022-1329」が明らかとなりました。

  • CVSSv3.1スコア:9.9(緊急)
  • 対象バージョン:

    • Jupiterテーマ 6.10.3 未満
    • JupiterXテーマ 2.0.7 未満
    • JupiterXコアプラグイン 2.0.8 未満

Jupiterテーマがこの脆弱性の影響を受けるとされており、データベース上のアクセス権限のないデータを閲覧される恐れがあります。
ユーザー権限があることが前提ですが、ユーザー権限を乗っ取られる危険性を含んでいます。

これを受けて脆弱性が修正されたJupiterテーマ「6.10.2」、JupiterXテーマ「2.0.7」、JupiterXコアプラグイン「2.0.8」がリリースされています。
対象バージョンを利用されている方は早急にアップデートしましょう。

プラグイン「The School Management Pro」

オンラインスクール管理プラグイン「The School Management Pro」プラグインにバックドアが仕込まれていたことが判明しました。
バージョン8.9 〜 9.9.6 のコード内に、暗号化されたバックドアコードの記述が見つかったということですが、いつどのように挿入されたものかは判明していないようです。

このバックドアにより、このプラグインがインストールされたサイトで任意のPHPコードを実行される危険性が存在します。
CVSSv3.1スコアは10.0(緊急)と最大スコアとなっています。

  • CVSSv3.1スコア:10.0(緊急)
  • 対象バージョン:8.9 〜 9.9.6

対象バージョンを利用されている方は開発者が提供する情報をもとに、直ちに最新版へアップデートしましょう。

なお、無料版である「he School Management」プラグインにはこの脅威は存在しないとのことです。

どんなプラグインも安全というわけではなく、更新されているプラグインですらこうしたことが発生するリスクがあります。
しばらくの間更新されていないプラグインの利用については、インストール前に念入りに調査し、脆弱性報告がないか情報収拾をする習慣を付けることが大切です。

WordPress Mega Meetup Japan が開催

これまで定期的に開催されてきたWordPress公式イベント「WordCamp」は新型コロナウイルスの流行により、日本での開催予定がないようです。
そこで定期的に開催されているWordPress Meetupの運営者たちが集まり、2022年5月14日に「WordPress Mega Meetup 2022」を開催しました。
各地域のWordPress好きの有志が集まるWordPressの非公式イベントです。

副業でアフィリエイターを目指す人や、企業の経営者およびWeb担当者などが参加し、WordPressに詳しい参加者が困っている参加者の相談を聞いたり、WordPress運用のコツを伝授したりする情報交換イベントです。

日本での開催は不定期となりますが、日本での開催が決定した際には『wp.geek』でも取り上げますので、ご興味のある方はぜひチェックしてみてください。

注目記事バナー

2022.06.06