wp.geek|世界のWordPress最新情報を届けるメディア WordPressのプロによる
情報発信メディア

基礎知識 2023.01.06

【2022年11月】WordPressのセキュリティ情報やお役立ち情報

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO

1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。

【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make
■WordPress保守/運用サービス「wp.support
■WordPressハッキング/緊急復旧対応サービス「wp.rescue
■WordPressバージョンアップ代行サービス「wp.versionup

11月度WebサイトCMSシェア報告


Q-Successの調査にて2022年11月のWebサイト向けCMS (Content Management System)のシェア率が発表されました。
2022年11月はCMSを利用していないサイトのシェアが0.2%減少し、WordPressのシェアが0.1%増加しました。
先月に続き、WordPressのシェアが増加傾向に転じ、この後のさらなるシェア率の向上が期待されます。
世界的にCMSを利用したWebサイト運用が一般的となり、CMS利用率は右肩上がりであったが、この1年ほどの間で一気に鈍化傾向を見せています。
今後については、大きな変化を見せない時期が長期的に続くと予想されています。

  • None(不明):10月 32.9% → 11月 33.1%(0.1%DOWN)
  • WordPress:10月 43.0% → 11月 43.1%(0.1%UP)
  • Shopify:10月 4.1% → 11月 4.1%(-)
  • Wix:10月 2.3% → 11月 2.3%(-)

※Q-Successは、上位1000万のWebサイト(2013年6月までの上位100万)を調査対象としており、Alexaによって提供されたWebサイトの人気ランキングの3カ月の平均順位を用いています。

参考:
11月WebサイトCMSシェア、WordPress増加もわずか

WordPress バージョン6.1.1 がリリース バグ修正のアップデート


11月2日(日本時間)に、WordPressのマイナーリリースである バージョン6.1.1 がリリースされました。
今回のリリースはバグ修正が中心であり、29件の本体の機能の修正と、21件のブロックエディターのバグ修正が行われました。
メジャーリリースの バージョン6.1 が11月2日(日本時間)公開されてから、2週間ほどでのメンテナンスリリースでした。
自動バックグラウンド更新を有効化しているサイトでは、自動的に更新が行われます。

最新バージョンのメジャーリリースの直後には、こうしたバグ修正リリースが行われる傾向にあり、かつ既存プラグインが最新バージョン未対応となっていることも多いため、
新たな機能を急がない限りは1ヶ月程度様子を見てからアップデートすると、より安全に新しいバージョンを利用することができます。

次回のメジャーリリースである バージョン6.2 は、2023年にリリース予定となっておりますが、詳細な時期は未定です。

参考:
WordPress 6.1.1 メンテナンスリリース

11月度WordPress脆弱性報告


2022年10月末〜11月に発見された脆弱性のうち、影響が大きいと見られるものを紹介致します。
米Sucuri社および独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)より、WordPressプラグインに関する脆弱性報告が多数挙げられました。

対象となるプラグインの中でも影響度が比較的大きなものを以下の表に抜粋します。
重要度が特別高いものはありませんでしたが、セキュリティプラグインである「All-In-One Security (AIOS) 」の脆弱性報告が上がったことには注目です。
セキュリティ保護のために導入しているプラグインでも、メンテナンスを怠ることでセキュリティリスクを高める存在となることがあります。
セキュリティ保護に関するプラグインは、世界で起こる多種多様な攻撃に関する情報の更新もアップデートに含まれるため、
比較的更新頻度が高くなりやすいものです。
ユーザーがWordPressのバージョンアップを行わない理由の中でも多いのが「バージョンアップによって(サイトが表示できなくなる/サイトの表示が崩れる)不具合が起こることが怖い」というものですが、
セキュリティ保護に関するプラグインは、基本的にサイトのバックグラウンドで動作するものが多く、そうした不具合が見られにくい傾向にあります。
そのため、そうしたプラグインの更新情報は、他のプラグイン以上に注意深くチェックを行うことがオススメです。

「All-In-One Security (AIOS) 」以外にも、ご自身のサイトで利用しているプラグインはないか、脆弱性が含まれるバージョンを利用していないか、ご確認ください。

プラグイン名 重要度 対象バージョン 脆弱性内容
All-In-One Security (AIOS) 5.1.0未満 クロスサイトリクエストフォージェリ(CSRF)の脆弱性
Popup Maker 1.16.11未満 クロスサイトスクリプティング(XSS)の脆弱性
Broken Link Checker 1.11.20未満 クロスサイトスクリプティング(XSS)の脆弱性
Contact Form 7 Database Addon 1.2.6.5未満 CSVインジェクションの脆弱性
Checkout Field Editor
for WooCommerce
1.8.0未満 PHPオブジェクトインジェクションの脆弱性

参考:
WordPress Vulnerability & Patch Roundup November 2022

WordPress 3.7から4.0のセキュリティサポートが終了


WordPress 3.7〜4.0 のセキュリティメンテナンスを終了することが発表されました。
セキュリティチームによると、11月30日にバージョン3.7〜4.0のマイナーリリース最終バージョンが公開され、
アップデートすると、2022年12月1日以降、管理画面にセキュリティサポートが提供されないことを示すメッセージが表示されます。

バージョン3.7がリリースされたのは2013年10月、バージョン4.0が2014年12月であり、8~9年の間サポートされていた形となります。
当該バージョンを利用しているサイトは放置されているサイトである可能性も高く、手元にそうしたサイトがないか、確認をしましょう。

同じサーバー内に現在運用中のサイトがある場合は、古いバージョンのWordPressを入口として、ハッキングなどのセキュリティ事故に遭うリスクがあります。
もしそうしたサイトがある場合は、早急にアップデートを行うか、サイトの閉鎖を検討しましょう。

参考:
WordPress 3.7から4.0のセキュリティサポートが終了

WordPress.orgが開発者向けのブログを開設


WordPress.org開発者向けブログを開設しました。
現在は限られた記事の公開のみとなっておりますが、公式情報に基づいた開発に関する学びが得られるブログであり、今後の更新が期待されます。

残念ながら日本語版ブログの公開予定は明かされておりませんが、比較的易しい英語で記載されていることもあり、
Google翻訳やDeepLといった翻訳ツールを利用することで難なく読むことができます。

WordPressの開発に興味がある方は、ぜひ今後の動向を注目してみては如何でしょうか。

バージョンアップが面倒だと思ったら、WordPress保守サービス『wp.support』

wp.support

WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?

面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!

【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...

詳しくは以下よりお問い合わせください!

『wp.support』についてもっと詳しく