wp.geek|世界のWordPress最新情報を届けるメディア WordPressのプロによる
情報発信メディア

基礎知識 2022.09.01

【2022年7月】WordPressのセキュリティ情報やお役立ち情報

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO

1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。

【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make
■WordPress保守/運用サービス「wp.support
■WordPressハッキング/緊急復旧対応サービス「wp.rescue
■WordPressバージョンアップ代行サービス「wp.versionup

WordPress 6.0.1がリリース バグ修正のアップデート


2022年7月13日(米国時間)にWordPress 6.0.1が、リリースされました。
今回の更新はコアの13件のバグ修正および、ブロックエディターのための18件のバグ修正が含まれたメンテナンスリリースです。
対象はバージョン5.8以降のWordPressで、バージョン5.8で登場したブロックパターンディレクトリが関係した内容が含まれています。
バグ修正のみのリリースであるため、出来るだけ素早くWordPressを更新することを推奨します。

参考:WordPress 6.0.1 メンテナンスリリース

Webサイト7月CMSシェア報告

Q-Successの調査にて2022年7月のWebサイト向けCMS (Content Management System)のシェア率が発表されました。
CMSを使わないサイトシェアが微増するとともに、WordPressも微増しましたが、横ばい傾向は変わらず。CMSシェア2位であるShopifyは微減、Wixなどのその他主要CMSは横ばいという結果になりました。
2021年までは大きな動きを見せていたCMSシェア率の値も、2022年に入ってからは変化が鈍化。
とはいえ、大きく伸長するCMSもなく、この後数ヶ月に渡ってこの傾向が続くと考えられます。

  • None(不明):6月 33.0% → 7月 33.1%(0.1%UP)
  • WordPress:6月 42.9% → 7月 43.0%(0.1%UP)
  • Shopify:6月 4.3% → 7月 4.2%(-)
  • Wix:6月 2.3% → 7月 2.3%(-)

※Q-Successは、上位1000万のWebサイト(2013年6月までの上位100万)を調査対象としており、Alexaによって提供されたWebサイトの人気ランキングの3カ月の平均順位を用いています。

7月Webサイト向けCMSシェア、停滞の傾向

脆弱性報告

2022年6月末〜7月に発見された脆弱性を紹介致します。

プラグイン「CAPTCHA 4WP」

各種フォームに自動でreCaptchaを導入することができるプラグイン「CAPTCHA 4WP」に脆弱性の存在が確認されました。
脆弱性の内容は、クロスサイトリクエストフォージェリ(CSRF)の脆弱性を利用したローカルファイルインクルージョンに関するものです。
ローカルファイルインクルージョンとは、ローカルファイルインクルードは、外部ファイルの読み込みではなくサーバー内のファイルを不正に読み込んだり、本来意図しない不正なデータ処理を実行させる攻撃です。
ローカルファイルインクルージョンをはじめとしたファイルインクルージョンの攻撃は、複数の攻撃手法と組み合わされて実行されることが多いものです。
ファイルインクルージョンの脆弱性を利用して不正なデータ処理を実行し、その結果ユーザー情報を盗み取り、システムの管理権限を奪うという事例も見られる攻撃方法です。

  • CVSSv3.1スコア:7.6(高)
  • 対象バージョン:7.0.6.1以前

WordPressのダッシュボードにてプラグインの状態をご確認いただき、まだ更新がされていない場合は直ちにアップデートをしましょう。

参考:WordPress脆弱性情報:CAPTCHA 4WPプラグイン

「WordPressがセキュリティ的に危険」は独占禁止法違反?

2022年6月30日に公正取引員会が発表した資料によると、独自CMSを持つとある企業が「オープンソースソフトウェアではないCMSとすることが当該ホームページの情報セキュリティ対策上必須」と仕様書に盛り込むように働きかけたとして、公正取引員会は確約手続きに付しました。
確約手続きとは、軽微な独禁法違反の疑いに対して、企業が自発的に改善計画を策定して改善を「確約」し、その代わりに公正取引委員会から出される排除措置命令や課徴金納付命令の免除を受ける法的な手続きです。
今回の違反においては、企業が独自CMSを売り込むために「オープンソースはセキュリティ的に危険」と謳い、それにより競合であるオープンソースのCMS(WordPress、Joomla!、Drupalなど)を排除していたという疑いがあります。
「オープンソースソフトウェア=危険」ということは誇張的表現であり、「セキュリティ対策のためにオープンソースソフトウェアを使わない」とさせたことが今回の問題でした。

「WordPressがセキュリティ的に危険」は独占禁止法違反?

SEOスパムを行うマルウェア感染が増加中。あなたのサイトは大丈夫?

WordPressセキュリティ業界で著名なSucuri社によるSiteCheckマルウェアトレンドレポート2022年第2四半期が公開されました。
Sucuri社によると、2022年の第2四半期には、合計27,958,508のWebサイトがスキャンされ、SiteCheckというツールによって267,614の サイト感染が検出されました。
その中でもSEOスパムを行うマルウェア感染は55.40%と非常に大きな割合であると言えます。
多くの攻撃は挿入されたリンクやスパムコメント等を用いて行われ、結果として不正なスパムコンテンツへアクセスされるケースが散見されます。

また、今回の報告の中で興味深い点は、SEOスパムのうち21.89%を占める合計32,419のWebサイトが、日本のSEOスパムに感染している点です。
サイトがこのマルウェアに感染した場合、サイトとは全く関係のない日本語タイトルのページがドメインの検索結果に表示されることが特徴です。
改ざんされたファイルを修正するだけでなく、Google Search ConsoleによってURL検査をリクエストしないと、検索結果はしばらく汚染されたものとなりますので、要注意です。

こうした攻撃被害をそのままにしていると、Webサイトのユーザーの流入や評価に悪影響を及ぼし、一生懸命実施したSEO対策も全て水の泡になってしまいます。

当メディアを運営する株式会社e2eでもこのマルウェア被害に関する相談は多数確認しています。
被害に気付いた場合はすぐに対処する必要がありますので、ハッキング被害の修正のプロフェッショナルwp.rescueにご相談ください。

SiteCheck Malware Trends Report – Q2 2022

注目記事バナー
2022.07.29