wp.geek|世界のWordPress最新情報を届けるメディア WordPressのプロによる
情報発信メディア

2022.08.03基礎知識

【2022年7月】WordPressのセキュリティ情報やお役立ち情報

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社プレート 取締役

1985年北海道生まれ。200社以上のWordPressサイトの制作を担当し、「wp.support」では一部上場企業を含め、様々なサイトのWordPress保守・セキュリティをサポートしている。

この著者の他の記事を見る >>

WordPress 6.0.1がリリース バグ修正のアップデート


2022年7月13日(米国時間)にWordPress 6.0.1が、リリースされました。
今回の更新はコアの13件のバグ修正および、ブロックエディターのための18件のバグ修正が含まれたメンテナンスリリースです。
対象はバージョン5.8以降のWordPressで、バージョン5.8で登場したブロックパターンディレクトリが関係した内容が含まれています。
バグ修正のみのリリースであるため、出来るだけ素早くWordPressを更新することを推奨します。

参考:WordPress 6.0.1 メンテナンスリリース

Webサイト7月CMSシェア報告

Q-Successの調査にて2022年7月のWebサイト向けCMS (Content Management System)のシェア率が発表されました。
CMSを使わないサイトシェアが微増するとともに、WordPressも微増しましたが、横ばい傾向は変わらず。CMSシェア2位であるShopifyは微減、Wixなどのその他主要CMSは横ばいという結果になりました。
2021年までは大きな動きを見せていたCMSシェア率の値も、2022年に入ってからは変化が鈍化。
とはいえ、大きく伸長するCMSもなく、この後数ヶ月に渡ってこの傾向が続くと考えられます。

  • None(不明):6月 33.0% → 7月 33.1%(0.1%UP)
  • WordPress:6月 42.9% → 7月 43.0%(0.1%UP)
  • Shopify:6月 4.3% → 7月 4.2%(-)
  • Wix:6月 2.3% → 7月 2.3%(-)

※Q-Successは、上位1000万のWebサイト(2013年6月までの上位100万)を調査対象としており、Alexaによって提供されたWebサイトの人気ランキングの3カ月の平均順位を用いています。

7月Webサイト向けCMSシェア、停滞の傾向

脆弱性報告

2022年6月末〜7月に発見された脆弱性を紹介致します。

プラグイン「CAPTCHA 4WP」

WordPress.org のセキュリティ対策チームによって、68万以上のサイトで更新が行われたと報告されています。

  • CVSSv3.1スコア:7.6(重要)
  • 対象バージョン:7.0.6.1以前

webサイト上にお問い合わせフォームを作成することできる「Ninja Forms」は、100万以上の有効インストールを誇る人気プラグインです。
直感的で簡単に操作できることが売りで、Webサイトの運用に慣れない方でも容易にお問い合わせフォームを設置することができます。
今回の脆弱性は第三者によりサイトの改ざんや任意のコード実行が行われる可能性があるものです。
WordPressのダッシュボードにてプラグインの状態をご確認いただき、まだ更新がされていない場合は直ちにアップデートをしましょう。

参考:WordPress脆弱性情報:CAPTCHA 4WPプラグイン

「WordPressがセキュリティ的に危険」は独占禁止法違反?

2022年6月30日に公正取引員会が発表した資料によると、独自CMSを持つとある企業が「オープンソースソフトウェアではないCMSとすることが当該ホームページの情報セキュリティ対策上必須」と仕様書に盛り込むように働きかけたとして、公正取引員会は確約手続きに付しました。
確約手続きとは、軽微な独禁法違反の疑いに対して、企業が自発的に改善計画を策定して改善を「確約」し、その代わりに公正取引委員会から出される排除措置命令や課徴金納付命令の免除を受ける法的な手続きです。
今回の違反においては、企業が独自CMSを売り込むために「オープンソースはセキュリティ的に危険」と謳い、それにより競合であるオープンソースのCMS(WordPress、Joomla!、Drupalなど)を排除していたという疑いがあります。
「オープンソースソフトウェア=危険」ということは誇張的表現であり、「セキュリティ対策のためにオープンソースソフトウェアを使わない」とさせたことが今回の問題でした。

「WordPressがセキュリティ的に危険」は独占禁止法違反?

SEOスパムを行うマルウェア感染が増加中。あなたのサイトは大丈夫?

WordPressセキュリティ業界で著名なSucuri社によるSiteCheckマルウェアトレンドレポート2022年第2四半期が公開されました。
Sucuri社によると、2022年の第2四半期には、合計27,958,508のWebサイトがスキャンされ、SiteCheckというツールによって267,614の サイト感染が検出されました。
その中でもSEOスパムを行うマルウェア感染は55.40%と非常に大きな割合であると言えます。
多くの攻撃は挿入されたリンクやスパムコメント等を用いて行われ、結果として不正なスパムコンテンツへアクセスされるケースが散見されます。

また、今回の報告の中で興味深い点は、SEOスパムのうち21.89%を占める合計32,419のWebサイトが、日本のSEOスパムに感染している点です。
サイトがこのマルウェアに感染した場合、サイトとは全く関係のない日本語タイトルのページがドメインの検索結果に表示されることが特徴です。
改ざんされたファイルを修正するだけでなく、Google Search ConsoleによってURL検査をリクエストしないと、検索結果はしばらく汚染されたものとなりますので、要注意です。

こうした攻撃被害をそのままにしていると、Webサイトのユーザーの流入や評価に悪影響を及ぼし、一生懸命実施したSEO対策も全て水の泡になってしまいます。

当メディアを運営する株式会社e2eでもこのマルウェア被害に関する相談は多数確認しています。
被害に気付いた場合はすぐに対処する必要がありますので、ハッキング被害の修正のプロフェッショナルwp.rescueにご相談ください。

SiteCheck Malware Trends Report – Q2 2022

注目記事バナー
2022.07.29