wp.geek|世界のWordPress最新情報を届けるメディア WordPressのプロによる
情報発信メディア

2022.09.07基礎知識

【2022年8月】WordPressのセキュリティ情報やお役立ち情報

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社プレート 取締役

1985年北海道生まれ。200社以上のWordPressサイトの制作を担当し、「wp.support」では一部上場企業を含め、様々なサイトのWordPress保守・セキュリティをサポートしている。

この著者の他の記事を見る >>

WordPress 6.0.2がリリース セキュリティ修正のアップデート

8月30日(米国時間)にWordPress 6.0.2がリリースされました。
今回の更新は WordPress 3.7以降の全てのメジャーバージョンに対するセキュリティ修正の更新を主としていて、1件のSQLインジェクションと2件のXSSの脆弱性に対する修正が行われています。
また、複数のバグ修正も含まれています。

SQLインジェクションの脆弱性はCVSSスコア 8.0(重要度:高)、XSSの脆弱性はCVSSスコア 4.9(重要度:中)、4.7(重要度:中)となっています。

比較的リスクの大きな脆弱性が含まれるため、出来るだけ素早くWordPressを更新することを推奨します。

参考:
WordPress 6.0.2 セキュリティとメンテナンスのリリース

Webサイト8月CMSシェア報告

Q-Successの調査にて2022年8月のWebサイト向けCMS(Content Management System)のシェア率が発表されました。
2022年8月は先月からほとんど変動が見られず、これまで長期にわたって続いていたWordPressの増加とCMSを使っていないWebサイトのシェア減少という変化傾向は、この半年で鈍化しています。8月については横ばいか、もしくは、きわめて小さな変動に留まり、CMSのシェアは世界的に固定化しつつある可能性があると言えます。

  • None(不明):7月 33.1% → 8月 33.1%(-)
  • WordPress:7月 43.0% → 8月 43.0%(-)
  • Shopify:7月 4.2% → 8月 4.2%(-)
  • Wix:7月 2.3% → 8月 2.3%(-)

※Q-Successは、上位1000万のWebサイト(2013年6月までの上位100万)を調査対象としており、Alexaによって提供されたWebサイトの人気ランキングの3カ月の平均順位を用いています。

参考:
8月のWebサイト向けCMSシェア発表、動きが鈍化

WordPress公式サイトがダウン、テーマやプラグインの追加・更新ができない状態に

8月5日(日本時間)9時30分頃、WordPress公式サイトがダウンしました。
グローバルサイトだけでなく、日本語版公式サイトを含む、wordpress.orgの全てのサイトがダウンしている状態でした。

弊社にて保守・運用を行うWordPressサイトでは、表示や動作における不具合等は確認できませんでしたが、この事態の影響によってWordPressのプラグイwン追加・更新ができない状態となりました。

同日11時頃、今回の障害原因はシカゴのINAPデータセンターにおける光ファイバーの断線によるものであり、復旧に1~2時間要すると発表があり、同時に wordpress.orgへのリクエストの際、すぐにエラーページが返されるように設定を更新したとの発表もされました。
その後、同日12時頃を以って復旧が確認され、各種問題は解決しました。

このような事態は発生したものの、原因をきちんと公開し、復旧対応を迅速に行ったWordPressコミュニティの対応は、OSSならではの透明性の高さの表れではないでしょうか。

参考:
WordPress.org Status Blog

ハッキングされたWordPressサイトがマルウェア配布に悪用されている

8月18日(米国時間)、セキュリティ事業を展開するSucuri社は、ハッキング被害を受けたWordPressサイトで、不正に生成される偽のDDoS攻撃保護ページを利用してマルウェア配布が行われている事例を発表しました。

DDoS攻撃保護ページとは、不正な大量リクエストが行われないようにサイトを保護する役目を担う、人間によるアクセスかbotによるアクセスかを判別するためのページです。
ハッキング被害を受けたWordPressサイトの一部では、偽装されたDDoS攻撃保護ページが生成され、不正なファイルをダウンロードさせます。
その後、ダウンロードされたファイルを開くように指示が出ますが、これを開くとマルウェアに感染するというものです。

こうした被害を防ぐためにサイト運営者が取れる対策としては、それぞれ以下の項目が挙げられます。

  • WordPressのバージョンアップを定期的に行う。
  • 強力なパスワードを使用する。
  • 管理画面に、二段階認証などの多要素認証を導入する。
  • WAF(Web Application Firewall)を導入する。
  • ファイル改ざんチェックツールの導入。

運営しているサイトがハッキング被害に遭うとそれを利用するユーザーにも被害を及ぼす可能性があります。

このことはサイトを運営する上ではしっかりと認識する必要があり、かつ、サイト利用者に対しても影響が及ばないような十分なセキュリティ対策をしましょう。

参考:
Fake DDoS Pages On WordPress Sites Lead to Drive-By-Downloads

WordPress.orgサイトのデザインが刷新

8月15日(米国時間)、WordPress公式グローバルサイトのホームページおよびダウンロードページのデザインが刷新されました。

新しいホームページでは、WordPress を使用するメリットとユーザー体験についてフォーカスされており、WordPressを使用している企業の紹介に加えてコミュニティなども紹介されています。

新しいダウンロードページは、本体のダウンロードリンクとホスティングサービス紹介ページへのリンクの両方を最上部に表示することで、WordPressを導入する人にとってより易しいレイアウトに変更されました。

現在、WordPressを盛り上げる活動が続いており、更なるアップデートが期待されます。

なお、8月26日現在、WordPress日本語版公式サイトは従来デザインのまま変更されていませんが、今後のデザイン変化に注目です。

参考:
A New WordPress.org Homepage and Download Page

注目記事バナー
2022.09.01