基礎知識 2022.07.29 2023.07.26
【2022年7月】WordPressのセキュリティ情報やお役立ち情報
この記事を書いた人
土井 純也
WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO
1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。
【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make」
■WordPress保守/運用サービス「wp.support」
■WordPressハッキング/緊急復旧対応サービス「wp.rescue」
■WordPressバージョンアップ代行サービス「wp.versionup」
目次
WordPress 6.0.1がリリース バグ修正のアップデート
2022年7月13日(米国時間)にWordPress 6.0.1が、リリースされました。
今回の更新はコアの13件のバグ修正および、ブロックエディターのための18件のバグ修正が含まれたメンテナンスリリースです。
対象はバージョン5.8以降のWordPressで、バージョン5.8で登場したブロックパターンディレクトリが関係した内容が含まれています。
バグ修正のみのリリースであるため、出来るだけ素早くWordPressを更新することを推奨します。
Webサイト7月CMSシェア報告
Q-Successの調査にて2022年7月のWebサイト向けCMS (Content Management System)のシェア率が発表されました。
CMSを使わないサイトシェアが微増するとともに、WordPressも微増しましたが、横ばい傾向は変わらず。CMSシェア2位であるShopifyは微減、Wixなどのその他主要CMSは横ばいという結果になりました。
2021年までは大きな動きを見せていたCMSシェア率の値も、2022年に入ってからは変化が鈍化。
とはいえ、大きく伸長するCMSもなく、この後数ヶ月に渡ってこの傾向が続くと考えられます。
- None(不明):6月 33.0% → 7月 33.1%(0.1%UP)
- WordPress:6月 42.9% → 7月 43.0%(0.1%UP)
- Shopify:6月 4.3% → 7月 4.2%(-)
- Wix:6月 2.3% → 7月 2.3%(-)
※Q-Successは、上位1000万のWebサイト(2013年6月までの上位100万)を調査対象としており、Alexaによって提供されたWebサイトの人気ランキングの3カ月の平均順位を用いています。
脆弱性報告
2022年6月末〜7月に発見された脆弱性を紹介致します。
プラグイン「CAPTCHA 4WP」
各種フォームに自動でreCaptchaを導入することができるプラグイン「CAPTCHA 4WP」に脆弱性の存在が確認されました。
脆弱性の内容は、クロスサイトリクエストフォージェリ(CSRF)の脆弱性を利用したローカルファイルインクルージョンに関するものです。
ローカルファイルインクルージョンとは、ローカルファイルインクルードは、外部ファイルの読み込みではなくサーバー内のファイルを不正に読み込んだり、本来意図しない不正なデータ処理を実行させる攻撃です。
ローカルファイルインクルージョンをはじめとしたファイルインクルージョンの攻撃は、複数の攻撃手法と組み合わされて実行されることが多いものです。
ファイルインクルージョンの脆弱性を利用して不正なデータ処理を実行し、その結果ユーザー情報を盗み取り、システムの管理権限を奪うという事例も見られる攻撃方法です。
- CVSSv3.1スコア:7.6(高)
- 対象バージョン:7.0.6.1以前
WordPressのダッシュボードにてプラグインの状態をご確認いただき、まだ更新がされていない場合は直ちにアップデートをしましょう。
「WordPressがセキュリティ的に危険」は独占禁止法違反?
2022年6月30日に公正取引員会が発表した資料によると、独自CMSを持つとある企業が「オープンソースソフトウェアではないCMSとすることが当該ホームページの情報セキュリティ対策上必須」と仕様書に盛り込むように働きかけたとして、公正取引員会は確約手続きに付しました。
確約手続きとは、軽微な独禁法違反の疑いに対して、企業が自発的に改善計画を策定して改善を「確約」し、その代わりに公正取引委員会から出される排除措置命令や課徴金納付命令の免除を受ける法的な手続きです。
今回の違反においては、企業が独自CMSを売り込むために「オープンソースはセキュリティ的に危険」と謳い、それにより競合であるオープンソースのCMS(WordPress、Joomla!、Drupalなど)を排除していたという疑いがあります。
「オープンソースソフトウェア=危険」ということは誇張的表現であり、「セキュリティ対策のためにオープンソースソフトウェアを使わない」とさせたことが今回の問題でした。
SEOスパムを行うマルウェア感染が増加中。あなたのサイトは大丈夫?
WordPressセキュリティ業界で著名なSucuri社によるSiteCheckマルウェアトレンドレポート2022年第2四半期が公開されました。
Sucuri社によると、2022年の第2四半期には、合計27,958,508のWebサイトがスキャンされ、SiteCheckというツールによって267,614の サイト感染が検出されました。
その中でもSEOスパムを行うマルウェア感染は55.40%と非常に大きな割合であると言えます。
多くの攻撃は挿入されたリンクやスパムコメント等を用いて行われ、結果として不正なスパムコンテンツへアクセスされるケースが散見されます。
また、今回の報告の中で興味深い点は、SEOスパムのうち21.89%を占める合計32,419のWebサイトが、日本のSEOスパムに感染している点です。
サイトがこのマルウェアに感染した場合、サイトとは全く関係のない日本語タイトルのページがドメインの検索結果に表示されることが特徴です。
改ざんされたファイルを修正するだけでなく、Google Search ConsoleによってURL検査をリクエストしないと、検索結果はしばらく汚染されたものとなりますので、要注意です。
こうした攻撃被害をそのままにしていると、Webサイトのユーザーの流入や評価に悪影響を及ぼし、一生懸命実施したSEO対策も全て水の泡になってしまいます。
当メディアを運営する株式会社e2eでもこのマルウェア被害に関する相談は多数確認しています。
被害に気付いた場合はすぐに対処する必要がありますので、ハッキング被害の修正のプロフェッショナルwp.rescueにご相談ください。
WordPress保守・運用のパートナーなら「wp.support」にお任せ!
WordPressサイトを運用していて、以下のようなお悩みはありませんか?
- 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
- サイトのUI/UXを改善したいけれど、自社内では難しい…
- WordPressサイトを高速化したいけれど、ノウハウがない…
- セキュリティ対策をしたいけれど、知識のある人材がいない…
- 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
- ちょっとしたトラブルを気軽に相談できる相手が欲しい…
「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。
既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。
WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。
バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!