基礎知識 2024.06.27

【2024年4月】WordPress脆弱性情報&注目ニュース まとめ|WordPress6.5「Regina」がリリース、など

この記事を書いた人

株式会社e2e wp.geek編集部

WordPressサイト制作サービス「wp.make」やWordPress保守・運用サービス「wp.support」などを展開する株式会社e2eの情報発信チームです。お客様の課題解決に役立つ、WordPressの最新情報をお届けいたします。

WordPress 6.5 『Regina』がリリース(4/2)

2024年4月2日、WordPress6.5『Regina』がリリースされました。
WordPressの各バージョンには、伝統的にジャズミュージシャンの名前がつけられますが、今回は著名なジャズヴァイオリニスト『レジーナ・カーター』が採用されています。

今回のWordPress6.5では、以下のような機能が実装されています。

  • フォントライブラリ(新機能)
    コーディングなどの手順を必要とせず、ブロックテーマのローカルフォント・Googleフォントをサイト全体に簡単にインストール・削除・有効化が可能になります。サイトエディタの
    「スタイル」→「タイポグラフィ」から設定可能です。
  • リビジョン機能の強化
    テンプレートやテンプレートパーツのリビジョンもサイトエディタ内で確認できるようになりました。また、変更箇所の概要も箇条書きで表示されます。
  • ブロックの機能拡張
    グループブロックの背景画像の自由度向上、カバーブロックのアスペクト比・カラーオーバーレイ機能追加、ドロップシャドウオプションを使用できるブロックの追加など。
  • データビュー機能の改善
    サイトエディター内でのデザインが改善され、レイアウト変更やフィールドの切り替えなど、テンプレートやパーツなどを探しやすくなっています。
  • 細かな改善
    よりスムーズなドラッグアンドドロップ、リンク機能の改善、パフォーマンスの改善などが実装されています。

上記以外にも開発者向けの機能の実装などもありますので、詳しい内容については、WordPress公式のリリース内容をご確認ください。

Automattic社が新しいWordPressローカル開発環境「Studio」を発表

2024年4月24日、Automatticは新しいローカル開発環境「Studio」を発表しました。

StudioはオープンソースとしてGitHubに公開されており、以下の手順で利用できます。

  1. 公式サイトから Mac用Studioをダウンロード
  2. Studioをインストールして開く
  3. サイト名を入力し[サイトを追加]をクリックして完了

現在はMac用のみでWindows板は開発中の模様です。
筆者も実際に試してみましたが、3分ほどでWordPressサイトを立ち上げられました。

これまで、手軽なWordPressのローカル開発環境としては「Local(旧Local by Flywheel)」が注目されていました。

「Local」は「Studio」よりも多少立ち上げの手間は必要なものの、MySQLバージョンやPHPバージョンの設定ができ、多彩な環境での検証を行いやすい利点があります。

とはいえ、「Studio」はまだ発表直後。
開発元がAutomatticということもあるので、今後の機能拡張に注目ですね。

2024年4月度のWordPress脆弱性情報

ここからは2024年4月度に発見された脆弱性をご紹介します。
今月はWordPressやプラグインに関連する脆弱性が43個発見されました。

自社のWordPressで使用している場合は、速やかに修正済みバージョンへのアップデート、アンインストール、代替プラグインへの差し替えなどの対策を行いましょう。

特にElementor関連のプラグインや「Smart Slider 3」など、採用数の多いプラグインもあります。
また、クラシックエディターをブロックエディターに変換する「Guetenberg」プラグインにも脆弱性が確認されているので、忘れずにアップデートしましょう。

  • Email Subscribes by Icegram Express
  • 深刻度: 高
  • 脆弱性: SQLインジェクション
  • CVE: CVE-2024-2876
  • インストール数: 90,000+
  • 影響を受けるバージョン: Icegram Express <= 5.7.14
  • 修正済みバージョン: Icegram Express 5.7.15
  • User Registration
  • 深刻度: 高
  • 脆弱性: アクセス制御の不備
  • CVE: CVE-2024-2417
  • インストール数: 70,000+
  • 影響を受けるバージョン: User Registration <= 3.1.5
  • 修正済みバージョン: User Registration 3.2.0
  • Smart Slider 3
  • 深刻度: 中
  • 脆弱性: 認証のないファイルアップロード
  • CVE: CVE-2024-3027
  • インストール数: 900,000+
  • 影響を受けるバージョン: Smart Slider 3 <= 3.5.1.22
  • 修正済みバージョン: Smart Slider 3 3.5.1.23
  • Slider, Gallery, and Carousel by MetaSlider
  • 深刻度: 中
  • 脆弱性: クロスサイトスクリプティング(XSS)
  • CVE: CVE-2024-3285
  • インストール数: 600,000+
  • 影響を受けるバージョン: Slider, Gallery, and Carousel by MetaSlider <= 3.70.0
  • 修正済みバージョン: Slider, Gallery, and Carousel by MetaSlider 3.70.1
  • Gutenberg Blocks by Kadence Blocks
  • 深刻度: 中
  • 脆弱性: DOM-Based クロスサイトスクリプティング(XSS)
  • CVE: CVE-2024-2919
  • インストール数: 400,000+
  • 影響を受けるバージョン: Gutenberg Blocks by Kadence Blocks <= 3.2.31
  • 修正済みバージョン: Gutenberg Blocks by Kadence Blocks 3.2.32
  • HT Mega – Absolute Addons For Elementor
  • 深刻度: 中
  • 脆弱性: クロスサイトスクリプティング(XSS)
  • CVE: CVE-2024-3308
  • インストール数: 100,000+
  • 影響を受けるバージョン: HT Mega – Absolute Addons For Elementor <= 2.4.9
  • 修正済みバージョン: HT Mega – Absolute Addons For Elementor 2.5.0
  • WordPress Tag and Category Manager – AI Autotagger
  • 深刻度: 中
  • 脆弱性: クロスサイトスクリプティング(XSS)
  • CVE: CVE-2024-2830
  • インストール数: 60,000+
  • 影響を受けるバージョン: WordPress Tag and Category Manager <= 3.13.0
  • 修正済みバージョン: WordPress Tag and Category Manager 3.20.0

※今回から、深刻度の表記を従来の「緊急・重要・警告」から「高・中・低」へと変更しています。
今後も、よりわかりやすくお伝えできるように、改善してまいります。

該当するプラグイン等を導入していた場合は、速やかにアップデートを行うようにしましょう。

脆弱性に対するセキュリティアップデートは、バージョンアップによる不具合が起こりづらい部分なので、比較的安全にアップデートできます。
(ただし、作業前には必ずバックアップを取っておきましょう)

バージョンアップの方法や注意点については、以下の記事を参考にしてください。

WordPressのバージョンアップはなぜ必要なのか?5つの理由を紹介

WordPress保守・運用のパートナーなら「wp.support」にお任せ!

WordPressサイトを運用していて、以下のようなお悩みはありませんか?

  • 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
  • サイトのUI/UXを改善したいけれど、自社内では難しい…
  • WordPressサイトを高速化したいけれど、ノウハウがない…
  • セキュリティ対策をしたいけれど、知識のある人材がいない…
  • 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
  • ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する

バージョンアップが面倒だと思ったらWordPress保守・セキュリティ対策は『wp.support』にお任せ!

wp.support

WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?

大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!

【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...

WordPressに関することなら何でもご相談ください!

この記事を読んだ方はこんな記事も見ています