基礎知識 2023.06.06 2023.07.26
【2023年4〜5月】WordPressのセキュリティ情報やお役立ち情報
この記事を書いた人
土井 純也
WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO
1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。
【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make」
■WordPress保守/運用サービス「wp.support」
■WordPressハッキング/緊急復旧対応サービス「wp.rescue」
■WordPressバージョンアップ代行サービス「wp.versionup」
目次
【祝!WP20!】5月27日は世界各地で20周年イベントが開催!
WordPressが5月27日に最初のリリースから20周年を迎えました!
「WP20」として記念ページが設けられ、日本7ヶ所を含め各地のMeetupグループで記念イベントが開催されました。
また、記念グッズの通販やWP20ロゴ、WP20仕様のわぷーなども登場。
公式のハッシュタグ「#WP20」「#WP20JP」の指定もあったので、Twitter検索すればイベントの盛り上がりを追体験できますよ。
参考:WP20 記念ページ
2023年4月度のWordPress脆弱性情報
2023年4月に発見された脆弱性のうち、影響が大きいと見られるものを紹介致します。(今回は5月分も後述しています)
アメリカのセキュリティ企業Sucuri社による発表から、10万インストール以上のプラグインを抜粋しています。
| プラグイン名 | 重要度 | 対象バージョン | 脆弱性内容 |
|---|---|---|---|
| Advanced Custom Fields | 高 | 6.0.9未満 | PHPオブジェクトインジェクション |
| Limit Login Attempts | 高 | 1.7.2未満 | XSS(クロスサイトスクリプティング) |
| Cyr to Lat Enhanced | 高 | 3.7未満 | SQLインジェクション |
| Hummingbird | 高 | 3.4.2未満 | パストラバーサル |
| Slimstat Analytics | 高 | 4.9.4未満 | SQLインジェクション |
参考:https://blog.sucuri.net/2023/04/wordpress-vulnerability-patch-roundup-april-2023.html
2023年5月度のWordPress脆弱性情報
2023年5月に発見された脆弱性のうち、影響が大きいと見られるものを紹介致します。
アメリカのセキュリティ企業Sucuri社による発表から、10万インストール以上のプラグインを抜粋しています。
| プラグイン名 | 重要度 | 対象バージョン | 脆弱性内容 |
|---|---|---|---|
| Advanced Custom Fields | 高 | 6.0.9未満 | XSS(クロスサイトスクリプティング) |
| Essential Addons for Elementor | 深刻 | 5.7.2未満 | 不適切な認証により特権昇格が可能 |
| Loginizer | 高 | 1.7.9未満 | XSS(クロスサイトスクリプティング) |
| Hummingbird | 高 | 3.4.2未満 | パストラバーサル |
| Ninja Forms | 高 | 4.9.4未満 | XSS(クロスサイトスクリプティング) |
| Chaty | 高 | 3.1未満 | XSS(クロスサイトスクリプティング) |
| Slimstat Analytics | 高 | 5.0.5未満 | XSS(クロスサイトスクリプティング) |
| YARPP | 高 | 5.30.3未満 | SQLインジェクション |
参考:https://blog.sucuri.net/2023/05/wordpress-vulnerability-patch-roundup-may-2023.html
人気プラグイン「Advanced Custom Fields」に脆弱性!200万超のサイトに影響
日本国内でも人気のプラグイン「Advanced Custom Fields(ACF)」に脆弱性が発見されました。
ACFはWordPress管理画面に簡単にカスタムフィールドを作成・追加することができる200万以上のインストール数を誇るプラグインです。
脆弱性の内容はPHPオブジェクトインジェクション」。
攻撃を行うためには寄稿者以上のユーザー権限が必要となるため、この脆弱性単独では攻撃が成立することは少ないでしょう。
ただ、他の権限昇格が可能な脆弱性を足がかりにされた場合は、非常に危険で任意のコードを実行されてしまう可能性があります。
もし、ACFをインストールしているのであれば、早急に6.0.9以上のバージョンにアップデートしましょう。
また、ACFの有料版である「Advanced Custom Fields Pro(ACF PRO)」についても、「6.1.5」以下のバージョンに、「クロスサイトスクリプティング(XSS)」の脆弱性が発見されています。
こちらも「6.1.6」以上のバージョンで脆弱性が修正されていますので、バージョンアップを行いましょう。
Advanced Custom Fieldsに関する情報や最新バージョンのダウンロードは以下のリンクから。
参考:Advanced Custom Fields (ACF)
WordPress6.2で全てのテーマでパフォーマンス向上!
WordPress.orgの発表によると、WordPress6.2では全てのテーマにおいてパフォーマンスが向上するとのことです。
ブロックテーマで14〜18%、クラシックテーマで2〜5%、読み込みが高速化。
また、サーバー側のパフォーマンスは、ブロックテーマで17〜23%、クラシックテーマで3〜5%改善と、こちらも大幅に向上しています。
「新しいAPIの導入」「コストのかかるオペレーションのキャッシュ」「APIの効率的な活用」といった項目の修正が影響しているとのことです。
Webサイトのパフォーマンス向上は、UI/UXの観点から注目度が高いポイント。
また、サイトの表示スピードについてはWordPressの弱点としても挙げられることも多かったので、今回の改善である程度解消されたというのは非常に嬉しいニュースです。
詳細は、以下の記事をご確認ください。
参考:https://make.wordpress.org/core/2023/04/05/wordpress-6-2-performance-improvements-for-all-themes/
WordPress保守・運用のパートナーなら「wp.support」にお任せ!
WordPressサイトを運用していて、以下のようなお悩みはありませんか?
- 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
- サイトのUI/UXを改善したいけれど、自社内では難しい…
- WordPressサイトを高速化したいけれど、ノウハウがない…
- セキュリティ対策をしたいけれど、知識のある人材がいない…
- 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
- ちょっとしたトラブルを気軽に相談できる相手が欲しい…
「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。
既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。
WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。
バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!