wp.geek|世界のWordPress最新情報を届けるメディア WordPressのプロによる
情報発信メディア

基礎知識 2023.01.11

【2022年12月】WordPressのセキュリティ情報やお役立ち情報

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO

1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。

【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make
■WordPress保守/運用サービス「wp.support
■WordPressハッキング/緊急復旧対応サービス「wp.rescue
■WordPressバージョンアップ代行サービス「wp.versionup

12月度WebサイトCMSシェア報告


Q-Successの調査にて2022年12月のWebサイト向けCMS (Content Management System)のシェア率が発表されました。
2022年12月はWordPress等のCMSのシェアが軒並み0.1%ほどの微減を見せ、WixとJoomlaが0.1%ずつ微増するような形でした。
この1年間はほとんど変化がない状態が続き、この後もしばらく横ばいの状態を続けると見られます。
しかし、何らかの技術革新が起きることによって大きな動向の変化が発生することが考えられます。
WebサイトCMSシェア率の動向を取り上げるのは今月度を以て2023年も引き続き動向を見守りたいと思います。

  • None(不明):11月 32.9% → 12月 32.8%(0.1%DOWN)
  • WordPress:11月 43.1% → 12月 43.0%(0.1%DOWN)
  • Shopify:11月 4.1% → 12月 4.0%(0.1%DOWN)
  • Wix:11月 2.3% → 12月 2.4%(0.1%UP)

※Q-Successは、上位1000万のWebサイト(2013年6月までの上位100万)を調査対象としており、Alexaによって提供されたWebサイトの人気ランキングの3カ月の平均順位を用いています。

参考:
Webサイト12月CMSシェア、Wixが増加

12月度WordPress脆弱性報告


2022年11月末〜12月に発見された脆弱性のうち、影響が大きいと見られるものを紹介致します。
米Sucuri社および独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)より、WordPressプラグインに関する脆弱性報告が多数挙げられました。
ご自身のサイトで利用しているプラグインはないか、脆弱性が含まれるバージョンを利用していないか、ご確認ください。

対象となるプラグインの中でも影響度が比較的大きなものを以下の表に抜粋します。
重要度が特別高いものはありませんでしたが、同一の開発元によって提供されている WooCommerce関連の複数のプラグインにおいて脆弱性報告が上がったことに注目です。
どれも共通した脆弱性が報告されているということで、複数導入されている場合は漏れなくバージョンアップを行いましょう。

開発を行う際には、既存のコードを使い回せた方が開発コストを下げやすいものですが、それがリスクを含んでいるものであった場合にはたくさんの場所にリスクを広げることにもなり得ます。
自身で開発をしたサイトやプラグインなどがあれば、脆弱性診断を受けることでリスクを発見することができます。
発見されたリスクに対して適切な対応をすることでサイトの安全性は格段に向上しますので、ぜひ受診をご検討ください。

プラグイン名 重要度 対象バージョン 脆弱性内容
Autoptimize 3.1.0未満 クロスサイトリクエストフォージェリ(CSRF)の脆弱性
Loginizer 1.7.6未満 クロスサイトスクリプティング(XSS)の脆弱性
Table of Contents Plus 2212未満 クロスサイトスクリプティング(XSS)の脆弱性
ProfilePress 4.5.1未満 クロスサイトスクリプティング(XSS)の脆弱性
YITH WooCommerce Wishlist 1.11.20未満 クロスサイトリクエストフォージェリ(CSRF)の脆弱性
YITH WooCommerce Compare 2.20.1未満 クロスサイトリクエストフォージェリ(CSRF)の脆弱性
YITH WooCommerce Quick View 1.21.1未満 クロスサイトリクエストフォージェリ(CSRF)の脆弱性
YITH WooCommerce Catalog Mode 2.16.1未満 クロスサイトリクエストフォージェリ(CSRF)の脆弱性
YITH WooCommerce Order & Shipment Tracking 2.8.0未満 クロスサイトリクエストフォージェリ(CSRF)の脆弱性
YITH Essential Kit for WooCommerce #1 2.14.0未満 クロスサイトリクエストフォージェリ(CSRF)の脆弱性
YITH Infinite Scrolling 1.8.0未満 クロスサイトリクエストフォージェリ(CSRF)の脆弱性

参考:
WordPress Vulnerability & Patch Roundup December 2022

Classic Editor のサポートが延長 2024年までサポート継続に


以前から旧エディタである「Classic Editor」のサポートが「2022年で終わってしまう」と言われてきましたが、
公式によって「少なくとも2024年まで、または必要なくなるまでの間、完全にサポート・保守されます」と発表されました。

Classic Editorの現在の利用者の多さから、サポート終了は難しいのではないかと言われてはいました。
永久保証であるとは言えませんが、かなり長い間の猶予期間が再度与えられた形となります。

現在もClassic Editorを利用している場合は安心するのではなく、サポート延長が発表された今の時点から計画を立て、ブロックエディタへの移行準備を進めていきましょう。
ご自身での対応が不安である場合、WordPressに特化した制作・開発サービス wp.makeににぜひご相談ください。

参考:
Classic Editor

ChatGPTによって、実際に動作するWordPressプラグインが作成される


公開から一週間で100万ユーザーを突破した対話型AIチャットツール「ChatGPT」はご存じでしょうか?
Twitter等のSNSでは、「学校の論文課題において、『ChatGPT』に原稿を作成させ、自分では修正を行うのみで完成させた。」というような投稿がされているなど、AI精度の高さに驚かされるエピソードが多数投稿されています。

今回はそんな中で、ChatGPTの「知能」を駆使して、実際に動作するプラグインを作成した人が現れたということです。
ジョナサン・ウィリアムズ氏という個人のweb開発者ですが、「『カスタムメニュー、カスタム管理画面、値の保存、保存した値の検証』などを行えるプラグインの生成に成功した」とツイートしています。
作成されたプラグインの動作内容自体はシンプルなものであるものの、人間ではなく機械の手によってWordPressプラグインが作成されるということは、技術進歩の凄まじい勢いを感じざるを得ません。
しかし同時に、プラグインの生成を指示したものの上手く生成されなかったという内容もツイートされており、ChatGPTでのプラグイン生成にはまだまだコツがいるようです。

将来多くの職業がAIに取って取って代わられるのではないかと言われている中、そうした未来が現実味を帯びてきたかのような話であり、
現実的な話で言えば、今後は「プログラムのベースをAIが作り、それを手直しする」というのがメインとなり、開発者に求められるスキルも変わってくるかもしれません。

参考:
ChatGPT Creates a Working WordPress Plugin – On the First Try

WordPressサイトを詐欺サイトに誘導するJavaScriptインジェクションの事例


WordPress.org開発者向けブログを開設しました。
Sucuri社によると、脆弱性のあるWordPressサイトが侵害され、偽のjQueryドメインによって訪問者を詐欺サイトにリダイレクトさせるようなJavaScriptインジェクションが検出されたとのことです。
詐欺サイトのドメインは正しいもののように見せるため、人気のJavaScriptライブラリ「jQuery」に似せたドメインを使っていることが確認されていて、実際に「https://jquery0[.]com/JkrJYcvQ」というドメインが使用されていたと言います。
リダイレクトされた先では、嘘のプレゼント情報と共に個人情報を抜き取るためのフォームが表示されるという報告があり、同様の表示が出た場合には注意が必要です。

こうした攻撃においては、ユーザーが管理者としてログインしている場合は不正な動きをしないような処理が加えられ、サイト運営者が気付きにくくなっている例も多数存在します。
ブラウザのシークレットウィンドウ(プライベートモード)等を利用して自身のサイトにおいて意図せぬ動きがないか、確認をしましょう。

悪意あるユーザーによって攻撃を受け、知らず知らずの間にユーザーへ被害を与えてしまい、信頼を失うケースも少なくありません。
また、被害に気付いた場合には、ハッキング被害からの復旧サービスwp.rescueへ、すぐお問い合わせください。

参考:
Fake jQuery Domain Redirects Site Visitors to Scam Pages

バージョンアップが面倒だと思ったら、WordPress保守サービス『wp.support』

wp.support

WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?

面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!

【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...

詳しくは以下よりお問い合わせください!

『wp.support』についてもっと詳しく