wp.geek|世界のWordPress最新情報を届けるメディア WordPressのプロによる
情報発信メディア

基礎知識 2022.11.18

【2022年10月】WordPressのセキュリティ情報やお役立ち情報

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO

1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。

【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make
■WordPress保守/運用サービス「wp.support
■WordPressハッキング/緊急復旧対応サービス「wp.rescue
■WordPressバージョンアップ代行サービス「wp.versionup

10月度WebサイトCMSシェア報告


Q-Successの調査にて2022年9月のWebサイト向けCMS (Content Management System)のシェア率が発表されました。
2022年10月はCMSを利用していないサイトのシェアが0.1%増加したものの、WordPressやShopifyといった主要CMSのシェアは横ばいの状態になっています。
ここ半年ほど前からシェア動向が鈍化してきていましたが、さらにその傾向が強まっています。
今回のデータより、インターネットにおけるCMSのシェアは、横ばいが継続する状態に入った可能性があるとも言われています。

  • None(不明):9月 33.0% → 10月 33.1%(0.1%UP)
  • WordPress:9月 43.0% → 10月 43.0%(-)
  • Shopify:9月 4.1% → 10月 4.1%(-)
  • Wix:9月 2.3% → 10月 2.3%(-)

※Q-Successは、上位1000万のWebサイト(2013年6月までの上位100万)を調査対象としており、Alexaによって提供されたWebサイトの人気ランキングの3カ月の平均順位を用いています。

参考:
Webサイト10月CMSシェア、増減が見られず安定期か

WordPress バージョン6.0.3 がリリース セキュリティ修正のアップデート


10月17日(米国時間)に WordPress 6.0.3がリリースされました。
WordPress 3.7以降の全てのメジャーバージョンに対するセキュリティ修正の更新が中心です。

XSS(クロスサイトスクリプティング)に関する脆弱性を主として、複数のセキュリティ修正が行われました。
それぞれ重要度は低いものではありますが、出来るだけ速やかに更新を行うようにしましょう。

自動バックグラウンド更新を設定しているサイトでは既に更新されています。
ご自身のサイトにおいてもきちんと更新がされているか、確認しましょう。

参考:
WordPress 6.0.3 セキュリティリリース

10月度WordPress脆弱性報告


2022年9月末〜10月に発見された脆弱性のうち、影響が大きいと見られるものを紹介致します。
米Sucuri社および独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)より、WordPressプラグインに関する脆弱性報告が多数挙げられました。

対象となるプラグインの中でも影響度が比較的大きなものを以下の表に抜粋します。
重要度が特別高いものはありませんでしたが、「Smart Slider 3」の脆弱性を突かれたと見られる攻撃被害はいくつかご相談をいただいております。
自身のWordPressサイトのプラグイン導入状況を確認し、未対策バージョンを利用されている場合は、速やかにバージョンアップを行いましょう。

もしサイトの管理画面にログインできない、普段とは違う動きをするという場合はハッキング被害に遭っている可能性があります。
放っておくと被害が拡大したり、サイトの評価が下がったりすることがあるので、早めの対処が必要です。

WordPressにログイン中のユーザーには気付かれないようにしているコードも散見されていますので、
ログインをしていないブラウザや端末を利用したサイトの巡回も、被害確認の方法としてはオススメです。

プラグイン名 重要度 対象バージョン 脆弱性内容
WP Super Cache 1.9未満 キャッシュポイズニングの脆弱性
Smart Slider 3 3.5.1.11未満 PHPオブジェクトインジェクションの脆弱性
Ocean Extra 2.0.5未満 PHPオブジェクトインジェクションの脆弱性
Easy WP SMTP 1.5.0未満 PHPオブジェクトインジェクションの脆弱性
Complianz GDPR/CCPA
Cookie Consent
6.3.4未満 SQLインジェクションの脆弱性

参考:
WordPress Vulnerability & Patch Roundup October 2022

WordPress バージョン6.1 がリリース


当初『10月25日にリリース予定』であったWordPress 6.1が、ずらしてスケジュールを11月2日(日本時間)にリリースされました。
昨月の記事にも記載した通り、アップデートの内容は、ブロックエディター(Gutenberg)の機能改善が中心となっております。
編集者の作業ストレスを解消するような変更が数多く盛り込まれ、ユーザビリティが向上しています。

また、データベースクエリがキャッシュされる機能が追加され、データベースパフォーマンスが向上し、
こちらも結果としてユーザビリティの向上に寄与しているものとも言えるでしょう。

既にダウンロードすることが可能となっておりますので、ご興味をお持ちの方はぜひバージョンアップをしてみてはいかがでしょうか。

バージョン6.0にて実装されると期待されつつも先送りとなった「JPEG画像から自動的にWebp画像を生成する機能」については、今回も先送りとなりました。
実装における懸念点が拭えないためであるとのことです。
今後この機能の導入が取り止められるのか、導入を前提として改善が進められるのかは、現時点では予想できない状況です。

こちらの機能は、昨今のSEO対策のトレンドのひとつである「ページ表示速度の向上」への効果が期待されるものであり、今後の展開に注目です。

参考:
WordPress 6.1「ミーシャ」

WordPress.orgがプラグインのアクティブインストール数グラフを削除


WordPress Tavernは10月6日(米国時間)、WordPress.orgのコントリビューターとWordPressプラグインの開発者たちの間でデータ公開に関するトラブルが発生していると報じました。
9月29日(米国時間)、WordPress.orgの各プラグインページで表示されていたアクティブインストール数の推移を示すグラフが、WordPress.orgのコントリビューターによって削除されました。

削除の理由については「データの難読化が不十分なため」とされていますが、決定までの経緯に関する説明は不十分なものであり、開発者たちの納得は得られていません。
開発者たちは「アクティブインストール数の推移データは、時間経過に伴うプラグインの成長や衰退を示す唯一の指標であり、機能改修に対するユーザーの反応を確かめるための重要な情報である」としていて、
グラフの公開を元に戻すように求めるチケットも作成されました。

この後の動向について、WordPressプラグインの開発者たちの間で話題となっています。

WordPress.org Removes Active Install Growth Data for Plugins

注目記事バナー
2022.11.02