基礎知識 2023.07.26

【2023年1月】WordPressのセキュリティ情報やお役立ち情報

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO

1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。

【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make
■WordPress保守/運用サービス「wp.support
■WordPressハッキング/緊急復旧対応サービス「wp.rescue
■WordPressバージョンアップ代行サービス「wp.versionup

Wordfenceが2022年のWordPressセキュリティレポートを公開


米国時間1月24日、Wordfenceが2022年を振り返るセキュリティレポートを公開しました。
このレポートによると、2022年初頭においては「クレデンシャルスタッフィング攻撃」、通称「パスワードリスト型攻撃」が最も多かったとのことです。
この攻撃は、盗み取ったアカウント情報を用いてWordアプリケーションシステムなどに大規模な自動ログインリクエストを行う攻撃です。
ユーザー名やメールアドレスと、それらに対応するパスワードをまとめたリストを用いて攻撃するものです。
リストさえあれば最も簡単な攻撃の部類の一つでもあることからWordPressにおける不正アクセス被害の中でも最も一般的なものでありました。
しかし、そうした攻撃が多数行われる中でユーザー認知が進み、多要素認証等の対策が広がり、ピーク時よりは減少傾向にあるようです。

WordPressに関する脆弱性情報に関する情報やマルウェア被害に関する情報も多数まとめられています。
全編英語のレポートですが、ぜひ翻訳ツールなどを駆使してでも読んでいてだきたい内容です。

レポートの中ではWordPressの定期的なアップデートの重要性についても書かれており、WordPressサイトを運営する上では改めて意識しておきたいものです。
ただし、定期的なアップデートだけではゼロデイ攻撃を防ぐことは難しいのですが、WordfenceのWeb Application Firewall(WAF)を利用することでそれも防ぐことが可能です。

攻撃被害に遭った人は口を揃えて「自分のサイトがやられるなんて」と言います。
2023年も安全にサイトを運営できるように、メンテナンスを怠らないようにしていきましょう。

参考:
The Wordfence 2022 State of WordPress Security Report

1月度WordPress脆弱性報告


2022年12月末〜2023年1月に発見された脆弱性のうち、影響が大きいと見られるものを紹介致します。
米Sucuri社および独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)より、WordPressプラグインに関する脆弱性報告が多数挙げられました。
ご自身のサイトで利用しているプラグインはないか、脆弱性が含まれるバージョンを利用していないか、ご確認ください。

対象となるプラグインの中でも影響度が比較的大きなものを以下の表に抜粋します。
SQLインジェクションの脆弱性が報告された 「LearnPress」はeラーニングサイトを構築する上で人気があるプラグインです。
eラーニングサイトは特性上、学習者の個人情報を持ちやすく、脆弱性を放置することで個人情報漏洩のリスクが生じます。
早急なバージョンアップを推奨します。

重要度こそ低いものの、セキュリティプラグインの一つである「SiteGround Security」でも脆弱性報告が上がりました。
このように、セキュリティ対策で導入したはずのプラグインでありながらも、メンテナンスをしていないとそこから攻撃被害を受けてしまう可能性があります。
セキュリティプラグインを入れていても、油断は禁物です。

プラグイン名 重要度 対象バージョン 脆弱性内容
LearnPress 4.2.0未満 SQLインジェクションの脆弱性
ExactMetrics – Google Analytics Dashboard for WordPress 7.12.1未満 クロスサイトスクリプティング(XSS)の脆弱性
Enable Media Replace 4.0.2未満 任意のファイルアップロードの脆弱性
Spectra – WordPress Gutenberg Blocks 2.3.2未満 クロスサイトスクリプティング(XSS)の脆弱性
GiveWP – 寄付プラグインと資金集めのプラットフォーム 2.24.1未満 SQLインジェクションの脆弱性
Better Font Awesome 2.0.4未満 クロスサイトスクリプティング(XSS)の脆弱性
SiteGround Security 1.3.1未満 SQLインジェクションの脆弱性

参考:
WordPress Vulnerability & Patch Roundup January 2023

2022年のWordPressのメジャーリリースを振り返る動画が公開されました

2022年1月にWordPress のバージョン5.9がリリースされてから1年が経ち、現在は次の最新メジャーリリースである バージョン6.2の開発が進んでいます。
そんな中、Automattic社が支援するWordPressコントリビューターのアン・マッカーシーによって、バージョン5.9から次の6.2までの大きな変更点を紹介する動画が公開されました。

5.9〜6.2では、ブロックエディタを中心にアップデートが進められてきました。
この1年間でのブロックエディタの進歩が、視覚的にまとめられています。

現在の開発では、「わかりやすく簡単に」という目標の下に、より使い易いエディタとなるようにユーザビリティの向上に注力しているようです。
クラシックエディタのサポートが延長されるというニュースもあり、今後もクラシックエディタを使い続けようという方は多くいるかもしれませんが、
ぜひブロックエディタを導入してみてはいかがでしょうか。

参考:
New Video Explores Site Building Progress from WordPress 5.9 to 6.2

Contact Form 7 をブロックエディタ化するプラグインが登場

Contact Form 7というWordPressプラグインをご存知でしょうか。
2023年1月現在で500万人超の有効インストール数を誇る超人気プラグインの一つで、WordPressサイトで手軽にお問い合わせフォームを導入することができます。

このContact Form 7ですが、フォームのエディタ画面はクラシックエディタ風の作りとなっています。
普段ブロックエディタを使用している方には扱いにくいかもしれません。

そうした中で、Contct Form 7をブロックエディタ化するアドオンプラグインが開発されたようです。
CF7 Blocksというプラグインで、このプラグインを導入することでContact Form 7をブロックエディタ化することができます。

それだけではありません。
あらかじめデザインされたさまざまなテンプレートからデザインを選択してフォームを作ることもでき、フォーム導入がより簡単になりました。
まだ作成されて間もないアドオンプラグインですが、この後の発展に注目です。

参考:
New CF7 Blocks Plugin Brings Blocks to Contact Form 7

今年、WordPressが20周年を迎えます

2023年、WordPressは20周年を迎えます。
WordPressは2003年5月27日にリリースされてから今日まで、日々進歩を続けてきました。

この記念日に向けて記念日公式サイトが作成されています。
また、創業者たちがSNSで当時を振り返る場面も見られました。

過去20年間、さまざまな技術、システムが生まれては消えていく中でもWordPressは繁栄を続けてきましたが、
30年、50年とこの先も末永く続くシステムであり続けて欲しいですね。

参考:
WordPress が20周年を迎えます: みんなでお祝いしましょう!

WordPress保守・運用のパートナーなら「wp.support」にお任せ!

WordPressサイトを運用していて、以下のようなお悩みはありませんか?

  • 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
  • サイトのUI/UXを改善したいけれど、自社内では難しい…
  • WordPressサイトを高速化したいけれど、ノウハウがない…
  • セキュリティ対策をしたいけれど、知識のある人材がいない…
  • 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
  • ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する

バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!

wp.support資料

WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?

面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!

【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...

WordPressに関することなら何でもご相談ください!