基礎知識 2023.07.26

【2022年8月】WordPressのセキュリティ情報やお役立ち情報

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO

1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。

【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make
■WordPress保守/運用サービス「wp.support
■WordPressハッキング/緊急復旧対応サービス「wp.rescue
■WordPressバージョンアップ代行サービス「wp.versionup

WordPress 6.0.2がリリース セキュリティ修正のアップデート

8月30日(米国時間)にWordPress 6.0.2がリリースされました。
今回の更新は WordPress 3.7以降の全てのメジャーバージョンに対するセキュリティ修正の更新を主としていて、1件のSQLインジェクションと2件のXSSの脆弱性に対する修正が行われています。
また、複数のバグ修正も含まれています。

SQLインジェクションの脆弱性はCVSSスコア 8.0(重要度:高)、XSSの脆弱性はCVSSスコア 4.9(重要度:中)、4.7(重要度:中)となっています。

比較的リスクの大きな脆弱性が含まれるため、出来るだけ素早くWordPressを更新することを推奨します。

参考:
WordPress 6.0.2 セキュリティとメンテナンスのリリース

Webサイト8月CMSシェア報告

Q-Successの調査にて2022年8月のWebサイト向けCMS(Content Management System)のシェア率が発表されました。
2022年8月は先月からほとんど変動が見られず、これまで長期にわたって続いていたWordPressの増加とCMSを使っていないWebサイトのシェア減少という変化傾向は、この半年で鈍化しています。8月については横ばいか、もしくは、きわめて小さな変動に留まり、CMSのシェアは世界的に固定化しつつある可能性があると言えます。

  • None(不明):7月 33.1% → 8月 33.1%(-)
  • WordPress:7月 43.0% → 8月 43.0%(-)
  • Shopify:7月 4.2% → 8月 4.2%(-)
  • Wix:7月 2.3% → 8月 2.3%(-)

※Q-Successは、上位1000万のWebサイト(2013年6月までの上位100万)を調査対象としており、Alexaによって提供されたWebサイトの人気ランキングの3カ月の平均順位を用いています。

参考:
8月のWebサイト向けCMSシェア発表、動きが鈍化

WordPress公式サイトがダウン、テーマやプラグインの追加・更新ができない状態に

8月5日(日本時間)9時30分頃、WordPress公式サイトがダウンしました。
グローバルサイトだけでなく、日本語版公式サイトを含む、wordpress.orgの全てのサイトがダウンしている状態でした。

弊社にて保守・運用を行うWordPressサイトでは、表示や動作における不具合等は確認できませんでしたが、この事態の影響によってWordPressのプラグイwン追加・更新ができない状態となりました。

同日11時頃、今回の障害原因はシカゴのINAPデータセンターにおける光ファイバーの断線によるものであり、復旧に1~2時間要すると発表があり、同時に wordpress.orgへのリクエストの際、すぐにエラーページが返されるように設定を更新したとの発表もされました。
その後、同日12時頃を以って復旧が確認され、各種問題は解決しました。

このような事態は発生したものの、原因をきちんと公開し、復旧対応を迅速に行ったWordPressコミュニティの対応は、OSSならではの透明性の高さの表れではないでしょうか。

参考:
WordPress.org Status Blog

ハッキングされたWordPressサイトがマルウェア配布に悪用されている

8月18日(米国時間)、セキュリティ事業を展開するSucuri社は、ハッキング被害を受けたWordPressサイトで、不正に生成される偽のDDoS攻撃保護ページを利用してマルウェア配布が行われている事例を発表しました。

DDoS攻撃保護ページとは、不正な大量リクエストが行われないようにサイトを保護する役目を担う、人間によるアクセスかbotによるアクセスかを判別するためのページです。
ハッキング被害を受けたWordPressサイトの一部では、偽装されたDDoS攻撃保護ページが生成され、不正なファイルをダウンロードさせます。
その後、ダウンロードされたファイルを開くように指示が出ますが、これを開くとマルウェアに感染するというものです。

こうした被害を防ぐためにサイト運営者が取れる対策としては、それぞれ以下の項目が挙げられます。

  • WordPressのバージョンアップを定期的に行う。
  • 強力なパスワードを使用する。
  • 管理画面に、二段階認証などの多要素認証を導入する。
  • WAF(Web Application Firewall)を導入する。
  • ファイル改ざんチェックツールの導入。

運営しているサイトがハッキング被害に遭うとそれを利用するユーザーにも被害を及ぼす可能性があります。

このことはサイトを運営する上ではしっかりと認識する必要があり、かつ、サイト利用者に対しても影響が及ばないような十分なセキュリティ対策をしましょう。

参考:
Fake DDoS Pages On WordPress Sites Lead to Drive-By-Downloads

WordPress.orgサイトのデザインが刷新

8月15日(米国時間)、WordPress公式グローバルサイトのホームページおよびダウンロードページのデザインが刷新されました。

新しいホームページでは、WordPress を使用するメリットとユーザー体験についてフォーカスされており、WordPressを使用している企業の紹介に加えてコミュニティなども紹介されています。

新しいダウンロードページは、本体のダウンロードリンクとホスティングサービス紹介ページへのリンクの両方を最上部に表示することで、WordPressを導入する人にとってより易しいレイアウトに変更されました。

現在、WordPressを盛り上げる活動が続いており、更なるアップデートが期待されます。

なお、8月26日現在、WordPress日本語版公式サイトは従来デザインのまま変更されていませんが、今後のデザイン変化に注目です。

参考:
A New WordPress.org Homepage and Download Page

WordPress保守・運用のパートナーなら「wp.support」にお任せ!

WordPressサイトを運用していて、以下のようなお悩みはありませんか?

  • 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
  • サイトのUI/UXを改善したいけれど、自社内では難しい…
  • WordPressサイトを高速化したいけれど、ノウハウがない…
  • セキュリティ対策をしたいけれど、知識のある人材がいない…
  • 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
  • ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する

バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!

wp.support資料

WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?

面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!

【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...

WordPressに関することなら何でもご相談ください!