wp.geek|世界のWordPress最新情報を届けるメディア WordPressのプロによる
情報発信メディア

基礎知識 2022.10.06

【2022年9月】WordPressのセキュリティ情報やお役立ち情報

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO

1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。

【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make
■WordPress保守/運用サービス「wp.support
■WordPressハッキング/緊急復旧対応サービス「wp.rescue
■WordPressバージョンアップ代行サービス「wp.versionup

9月度WebサイトCMSシェア報告

Q-Successの調査にて2022年9月のWebサイト向けCMS (Content Management System)のシェア率が発表されました。
2022年9月はCMSを利用していないサイトとShopifyがシェアを微減させましたが、その他の変化はほとんどない状況でした。
ここ半年ほど前からそれぞれの変化が横ばい傾向となり、今後この動きが定着すると見られています。

  • None(不明):8月 33.1% → 9月 33.0%(0.1%DOWN)
  • WordPress:8月 43.0% → 9月 43.0%(-)
  • Shopify:8月 4.2% → 9月 4.1%(0.1%DOWN)
  • Wix:8月 2.3% → 9月 2.3%(-)

※Q-Successは、上位1000万のWebサイト(2013年6月までの上位100万)を調査対象としており、Alexaによって提供されたWebサイトの人気ランキングの3カ月の平均順位を用いています。

参考:
Webサイト向けCMS、WordPressの圧倒的なシェア変わらず

9月度WordPress脆弱性報告

2022年8月末〜9月に発見された脆弱性を紹介致します。
米Sucuri社および独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)より、WordPressプラグインに関する脆弱性報告が多数挙げられました。

対象となるプラグインの中でも影響度が比較的大きなものを以下の表に抜粋します。
重要度が特別高いものはありませんでしたが、「All in One SEO」「Wordfence Security」など人気プラグインの名前が挙げられています。
また、「WooCommerce」に関連するプラグインも複数挙げられており、個人情報を扱う可能性が大きなECサイトの運営者はご注意ください。
自身のWordPressサイトのプラグイン導入状況を確認し、未対策バージョンを利用されている場合は、速やかにバージョンアップを行いましょう。

プラグイン名 重要度 対象バージョン 脆弱性内容
Contact Form by WPForms
– Drag & Drop Form Builder
for WordPress
1.7.5.5未満 任意のファイルアクセスの脆弱性
All in One SEO 4.2.4未満 クロスサイトリクエストフォージェリ(CSRF)の脆弱性
WordPress SVG Support 2.5未満 ストアド クロスサイトスクリプティング(XSS)の脆弱性
Booster
for WooCommerce
5.6.3未満 アクセス制御不備の脆弱性
Customer Reviews
for WooCommerce
5.3.6未満 機密データ露出の脆弱性
Advanced Dynamic Pricing
for WooCommerce
4.1.4未満 アクセス制御不備の脆弱性
Wordfence Security 7.6.1未満 ストアド クロスサイトスクリプティング (XSS)の脆弱性
NinjaForms 3.6.13未満 PHPオブジェクトインジェクションの脆弱性

参考:
WordPress Vulnerability & Patch Roundup September 2022

WordPress バージョン6.1がリリース間近

WordPressのメジャーアップデートとなるWordPress 6.1の正式版リリース日は、10月25日(米国時間)を予定しています。
これまでの傾向から、日本では10月26日(日本時間)の午前にリリースされると予想されます。

これまでおおよそ3ヶ月ごとにリリースされていたメジャーアップデートですが、今回は、5月25日にリリースされた「WordPress 6.0」から5ヶ月ぶりのメジャーアップデートです。

アップデートの内容は、ブロックエディター(Gutenberg)の機能改善が中心となっております。
エディターの設定がデータベースに保存される機能が盛り込まれ、普段とは別の端末からログインした際にもいつもと変わらない設定で記事を更新することができるようになったり、パディングやマージンと呼ばれる要素の余白部分が強調表示される機能など、よりユーザーのストレスを減らすような機能が追加されました。
また、データベースクエリがキャッシュされる機能が追加され、データベースパフォーマンスが大幅に改善されているとのことです。

ただし、バージョン6.0にて実装されると期待されつつも先送りとなった「JPEG画像から自動的にWebp画像を生成する機能」については、今回も先送りとなると見られています。

リリースまで1ヶ月を切り、今後の動向がより一層注目されます。

参考:
WordPress 6.1 Planning Roundup – Make WordPress Core

WordPressの古いバージョンにおけるセキュリティアップデートが終了

9月7日(米国時間)、WordPressセキュリティチームは、2022年12月1日をもって、WordPress バージョン 3.7 ~ 4.0 のセキュリティリリースを終了すると発表しました。
今後、WordPressに重大な脆弱性が見つかった場合、当該バージョンのWordPress はセキュリティリリースを受け取ることができず、リスクに晒され続ける状態となることを指します。

セキュリティメンテナンスの対象外となったバージョンのシェアはWordPress 全体で見ても1%未満であるとのことで、そうしたバージョンのメンテナンスに対してチームリソースを割り当てることが難しくなったためであると発表しました。

2022年12月1日より、WordPress バージョン 3.7 ~ 4.0 を利用しているサイトのダッシュボードには、最新版へのバージョンアップを促すメッセージが表示されるとのことです。

WordPress全体の1%未満のシェア率とはいえ、世界的にシェア率が高いWordPressで考えれば膨大な数のサイトがリスクに晒されます。
ご自身のサイトはきちんとメンテナンスされているか、WordPressのダッシュボードより、ご確認ください。

参考:
Dropping security updates for WordPress versions 3.7 through 4.0 – Making WordPress Secure

WordPress Mega Meetup Japan 2022が開催されました

10月1日(日本時間)、WordPressの日本コミュニティが運営するWordPressイベント「WordPress Mega Meetup Japan 2022 Fall 」が開催されました。

これまで定期的に開催されてきたWordPress公式イベント「WordCamp」は新型コロナウイルスの流行により、日本での開催予定がなく、そこで行われたのが今年の5月にWordPress Meetupの運営者たちが集まって開催された、WordPress Mega Meetup 2022 Springでした。

今回のイベントでは、春のイベントよりもさらに多彩なコンテンツが盛り込まれました。
WordPressそのものに対することだけでなく、ロリポップ!などを運営するGMOペパボ株式会社をはじめ、さくらインターネット株式会社やエックスサーバー株式会社などのサーバー会社の登壇など、注目すべき講演が数多く見られました。

当日配信された動画は、「WordCamp & Meetups in Japan」のYouTubeチャンネルから視聴できますので、ぜひご覧ください。

参考:
WordPress Mega Meetup Japan 2022 Fall − 日本国内におけるWordPressユーザー向けのイベント

注目記事バナー
2022.10.06