WordPressバージョン5の功績とバージョンアップの必要性と実効性、実行性について、ホームページ制作会社のジレンマ、WordPress5で起こりうる問題、WordPress5そのものの不具合、更新されていないプラグインやテーマの不具合、WordPressのセキュリティリリースの多さから分かることなどの切り口からお伝えします。

 

 

 

(2019/04/11現在、 リリースのページ では、 積極的に保守されている5.1系統の最新版以外の以下のバージョンは、安全に使用することはできません。 と明確に宣言しています。出典: WordPress.org

 

. WordPressの「脆弱性とバージョン推移 」 は、文末に記載しています。

 

 

今回はWordPress5とその影響ついてお伝えして行きたいと思います。

By 横浜の 登録セキュリティプレゼンター

ITコーディネータ

 

Update-2019/08/29

Update-2019/05/22

Update-2019/05/07

Update-2019/04/11

Update-2019/02/23

Written-2019/01/29

WordPress
あなたのホームページがWordPressで作られているなら必須です。常に最新バージョンが必要です。

 

 WordPress、バージョン5.0以下で複数の脆弱性対策バージョンは今のところ5.0.1のみ

 

バージョン3.7-5.0で複数の脆弱性。

 ①投稿者が権限のないファイルを削除できるよう、メタデータを変更できてしまう脆弱性。

 ②投稿者が特別に細工された入力を使うことで、権限のない投稿タイプの投稿を作成できてしまう脆弱性。

 ③貢献者が PHP オブジェクトインジェクションをもたらす方法でメタデータを細工できてしまう脆弱性。

 ④クロスサイトスクリプティングの脆弱性につながり得る、より高い権限を持つユーザーからの新規コメントを貢献者が編集できてしまう脆弱性。

 ⑤特別に細工された URL の入力がクロスサイトスクリプティングの脆弱性を発生させる可能性があります。WordPress 自体は影響を受けませんでしたが、プラグインは場合によっては影響を受ける可能性があります。

 ⑥メールアドレスや、稀なケースではデフォルトの生成パスワードの漏洩につながり得る、ユーザー有効化画面が珍しい設定で検索エンジンにインデックスされてしまう脆弱性。

 ⑦クロスサイトスクリプティングの脆弱性につながり得る、Apache でホストされたサイトの投稿者が、MIME 検証をバイパスする、特別に細工されたファイルをアップロードできてしまう脆弱性。

 

対応方法

セキュリティ対策版へアップデートする。

対策済みバージョン5.0.1

 

内容

 

実行性と実効性 .. 2

 

ホームページ制作会社のジレンマ

 

WordPress5で起こりうる問題

 

WordPress5そのものの不具合

 

更新されていないプラグインやテーマの不具合

 

WordPressのセキュリティ リリースの多さから分かること

 

5.04.9ブランチ以前のバージョン

 

大規模なカスタマイザーの改善、コードエラーのチェック

 

言語切り替え。実質サポートは終了しているが、4.0のサイトの存在を確認

 

クロス サイト スクリプティング(XSS)

 

お問合せ

 

WordPress最大の改善は、

 

ブロックの採用です。しかし、

 

WordPressのブロックの例

 

concrete5のブロック群

 

ブロックとは?

 

 

WordPressバージョン5

 

 

 

実行性と実効性

 

バージョン5.0以降への実行性は、現時点では新規にサイトを作る場合(他のCMS(コンテンツを管理運営する仕組み)からの移行によるリニューアルを含む)以外は、かなり少なめになると思えます(その理由は、いくつか考えられます。)

もう一つの実効性については、賛否があるとは思いますが筆者はそれほど高くはないと考えています。
WordPressのバージョン5の最大の変更であるブロックの採用は、
WordPressが斬新な考えで初めて取り入れたというわけではなく、

concrete5がその前身のconcrete CMSで2003年に既に実現しているものです。

従って、実行性にもかかわることですが、WordPressのバージョン5への移行はそれほど進まないものと思います。

(4.9系統とそれ以前からの移行が容易でない・サイトオーナーのメリットが少ないなど)

唯一考えられるとしたら、4.9ブランチ以前へのセキュリティホール(脆弱性)への対応がどの様に行われるかによってかも知れません。

 WordPres.orgによると最新版以外の積極的なメンテナンスは行わないとのことですから

ブログ投稿をウェブマーケティングの手段としてオウンドメディアを運用されている方やホームページの運営に関心の高い人は別としてウェブサイトのCMS(コンテンツ マネジメント システム)のアップデートはそれほどの関心ごとでは、ないでしょう。

CMSがなんなのか?をご存知でもなく、そもそもホームページが何によってつくられているか?など、ホームページ制作会社じゃああるまいし、専門家の領域だと思っておられ、全くの対象外であって・歯牙にもかけていない状態かも知れません。

でも、もしご自分のサイト(ホームページなど)が、WordPressで作られていたら? 少しと言うか、今後おおきな問題になってきます・課題を解決しない限り。 課題と言うのは、WordPress(ワードプレス)の最新バージョンに対応(バージョンアップ)することです。

  ☑ ご自分のサイトは「自動バージョンアップ設定」をしている。

  ☑ あるいは保守契約をしていて「ホームページ制作会社に任せているから」と、

安心しているのなら、

いいえ・それは違いますとお伝えしたいのです。

メジャーバージョンの5.0へは、自動バージョンアップ設定でもバージョンアップされません

 

 

ホームページ制作会社のジレンマ

 

WordPress.org では最新バージョン以外は、「積極的にサポートしない」として、常に最新バージョンへのアップデートを呼び掛けています。

 

 今回、大幅な変更となったバージョン5は機能面・運用面において大きな改革でありチャンスです。

しかし、ホームページ制作会社にとってジレンマであって、まさにその状況は、囚人のジレンマと言えるものです。

☑ なぜなら、過去に開発してきたバ―ジョンと、上位・下位互換性がないからです。
(一部エディターなどは追加インストールで使用できますが、期間限定でいずれ新エディターに切り替えなければなりません)

☑ WordPressのお客様に、バージョンアップをお薦めするにも

  ☒ 過去に契約した自動バージョンアップがなされない理由の説明をうまくできない

  ☒ バージョンアップをお薦めするにも、お客様のベネフィットをうまく説明できない

   (費用に見合うメリットを提示できない)

  ☒ ホームページ制作会社としての見極め(見極める材料・根拠)が少ない

   (4.9以前のテーマ・プラグインなどについて、バージョン5にすることへの影響の把握)

  ☒ そもそも有料保守契約を提案していないし、契約していない

など。バージョンアップを提案したくてもできないジレンマがあるのです。

脆弱性対策意識の低さ セキュリティ意識が必要・驚愕のWordPressサイト

 

wp-json
 ログイン画面放置   ユーザー情報が丸見え

 

WordPress5で起こりうる問題

   ➡  WORDPRESSホームページの6つの課題

 

WordPress
       WordPress6つの課題

 

 

WordPress 5そのものの不具合

WordPressは、 5.0で2018/12/6大幅な改定がなされました。まだ発見されていない不具合や脆弱性は潜在していると考える方が妥当だと思います。

(既に、マイナーバージョンが5.0.1、5.0.2、5.0.3と進んでいっていることからも明らかです。)

 WordPressは2003年5月以来、15年以上も経過し、
現在では
世界のウェブサイトの3分の1(33%)で運営されて人気を誇っています。
日本では81%超がWordPressを使って作られています

 (出典:W3Techs)2019/01/29現在、下図

 

WordPress世界シェア
出典:W3Techs WordPress世界シェア

 

WordPress日本シェア
出典:W3Techs WordPress日本シェア

 

WordPressの約15年に及ぶ歴史の間、今回のような編集画面が大きく変わるような変更はありませんでした。そのため、これまでは起こらなかったような問題が起こる可能性があります。

また、複数のチームで複数のブランチ(既に5.0と並行して5.1ブランチの開発も始まっています。

※以下の表を参照してください)を同時並行で開発・検証・リリースしているWordPressの宿命の様な形態から、複数のブランチ・バージョンに横断的にバグが発生し、脆弱性が発見されています。

(最新バージョンの5ですら、バージョン3.7以降の全てのバージョンに対するセキュリティメンテナンスリリースで(バージョン5のリリース2018/12/10の僅か8日後には5.0.1が2018/12/18にリリース)されています。

4.9ブランチでは、4.9.9で2019/01/25に、そのほかの4.6ブランチでは4.6.13で2019/01/08にリリースされています。詳細は以下の表で)

 当然のことながら、複数のブランチ・バージョンが現存し、運営もされています。これもホームページ制作会社にとっては悩ましいところです。

5.0ブランチの最新リリースは5.0.3(2019/01/25リリース)です。

5.0以前のメジャーバージョンは4.9ブランチで、4.9.9(2019/01/25リリース)が最終です。4.9ブランチや4.8ブランチ以前などのバージョンからの5.0ブランチへの自動バージョンアップは行われていません。

筆者が知る自移動更新を設定しているサイトも WordPress 4.9.9➡4.9.10で止まっています。➡ 4.9.11    19/09/05    セキュリティ リリース

(大幅な変更の為、自動的なバージョンアップは無効としている様です。)

これは、バージョンアップが自動設定で行われるものとサイトオーナーさんに説明してきたホームページ制作会社にとっては、想定外だったのかも知れません。

別の歯科のサイトで2018/08/30 にリニューアルしているにもかかわら ず、
プラグインのAll in One SEO Pack 2.7.3を導入していて(SEOに気を使っていても?)も 4.9.9➡4.9.10のままです。
ここは更に悪いことにwp-login.phpの設定も隠していない
ずさんなホームページ制作会社にお任せの様です。

SSL対応はされてますが、 wp-login.php放置 では、
ブルートフォースアタック 総当たり攻撃 )を受けたらひとたまりもありませんし、さらに医療広告ガイドライン(2018/06)にも遵守・準拠されていません嘆かわしい限りです。)

 関連記事 ➡  警告あなたのホームぺージ早急に2つの脆弱性対応が必要

 

 

 

脆弱性wp-loginの無防備な公開
          脆弱性wp-loginの無防備な公開

更新されていないプラグインやテーマの不具合

WordPress本体の機能を補完するプラグインや、サイトのデザインや見てくれの部分を担当するテーマにも不具合が発生する危険性があります。

 当然ですが、これまでのプラグインテーマは、5.0以前の設計にあわせて作られています。

 5.0ブランチや以降のブランチの事は考えられるはずもありません。

特に古いプラグインテーマの中には、すでに開発チームがなくなり長期間更新が止まっているものも当然あります。

 これらすべてをホームページ制作会社が管理・把握できているとは思えません。(5.xブランチへのアップグレードには十分なテスト・検証が必要です。

自ら開発してきたものなら可能かも知れませんが、そのほか多くは外国で開発されてきたものが多くバージョンアップされていないのが実情です。

 もしくはこれから5.0ブランチ以降に対応することになる為に把握すら困難です。

新バージョンが発表されて初めて、5.0ブランチ以降に対応しているかどうかがわかるのですから。

 これらもホームページ制作会社がジレンマに陥る原因となりえます。

 

WordPressのセキュリティリリースの多さから分かること

 下の表を見て戴きたいと思います。セキュリティリリースの多さから如何にWordPressが攻撃者のターゲットにされているか・脆弱性に目をつけられているかがお分かり戴けると思います。(最新版でさえ

 

 

5.04.9

 

 5.04.9ブランチ以前のバージョンは以下でStop(中間バージョンの不具合・バグとセキュリティリリースは省略。複数のブランチで重複期間あり)

 

WordPressの脆弱性とバージョンの推移 

以下はスクロール表示です。
フルサイズでご覧になりたい場合は、こちら(クリック)からどうぞ!別ページが開きます。

 

 

 

クロス サイト スクリプティング(XSS)

※.クロス サイト スクリプティング : クロスサイト・スクリプティング(XSS)の具体的な攻撃例。ウェブアプリケーションに問題がある場合、悪意を持った命令(スクリプト)の入ったページを表示させられることによって、偽のページを表示させられてしまう

 

xss クロスサイトスクリプティング
出典:IPA 独立行政法人 情報処理推進機構 クロスサイトスクリプティング

 

図中XSSの攻撃例の詳細(出典: IPA 独立行政法人 情報処理推進機構

 

 ① 攻撃者がBさんの掲示板に罠を仕掛ける

 

 ② A子さんがBさんの掲示板を見る

 ③ A子さんが罠のリンクが入ったページを表示し、リンクをクリックする

 ④ Bさんの掲示板からX社のウェブサイトに移って(クロス)、

  悪意を持った命令(スクリプト)を送ってしまう

 ⑤ 悪意を持った命令(スクリプト)がユーザのブラウザで実行され、偽のページが表示される

 ⑥ 偽ページにユーザがだまされて、個人情報などを攻撃者に送ってしまう

      関連記事 驚愕WordPressサイトでの脆弱性対策意識の低さ

 

43サイトの内wp-login未対応が27(63%) wp-sjon未対応も53%と驚くべき状況
 

 

お問合せ

 

 あなたのサイトが何によってつくられているか?

 

お知りになりたい方は、あなたのサイトを作ったホームページ制作会社に問い合わせをしてみてください。

 

 WordPressであるなら・保守状況と今後の対応などもご相談されることをお薦めします。

 

私どもへのお問合せは、ホームページのURLを記入して、ここからお問合せください。

 

「補足」

 

WordPress最大の改善は

ブロックの採用です。

https://ja.wordpress.org/2018/12/07/wordpress-5-0-bebo/

 

WordPress-block
WordPressブロックの説明

 

                                  

 

 WordPressのバージョン5の最大の変更・ブロックの採用は、WordPressが斬新な考えで初めて取り入れたというわけではなく、 concrete5がその前身のconcrete CMSで2003年に既に実現しています。

 

  この面で(かなり)先行したコンクリート ブロックを積み上げてウェブサイトをワープロ感覚でだれでも構築できることを大前提に2003年に開発されたconcrete CMS


その後バージョンアップで2008年に concrete5 としてMITライセンスされた。

concrete5を意識したものと筆者は思います。

 

 

WordPressのブロックの例を見てみましょう。

WordPressのブロックの例

 

WordPress-block
WordPressのブロック

 

主だったブロックは揃っているように思えます。しかし、

 このブロックを使用するためには、バージョン5へのアップグレードは必須で

 かつ、新エディターでしか編集できません。

 ブロック自体・これはもう、concrete5に習った(倣った)としか言い様がないですね

concrete5ブロックの例と比べてみましょう。

 

concrete5のブロック群

concrete5ブロックエリア

 

ブロックとは?

 ブロックは、concrete5のページ内で編集可能なコンテンツまたは機能の最小単位です。

 レゴブロック(R)のように、ブロックを積み上げてページを作成していくことができます。

 ブロックには様々な種類があります。

 concrete5には、記事、コメント欄、画像スライダーなどの基本的なブロックがインストールされています。

 他のブロックを追加したい場合は、マーケットプレイスから追加することができます。

 ページの編集は、ブロックエリアにブロックをドラッグして配置するのが基本的な作業になります。

 エリアは、ブロックを格納するものです。エリアのタブをクリックすると、エリアに関するメニューが開きます。

 

concrete5-block
concrete5のブロック

 

 主要なブロックが全て揃っています。もちろん有償・無償のブロックもマーケットプレイスから「他のブロックを入手」から入手できます。無償のテーマの設定からもセットされます。

 

 無償テーマのStuccoからは、3つのブロックがセットされました。Spacerも無償ブロックです。

 GA Popular Pagesは有償Blockで確か20$位でしたが、concrete5のコミュニティで「プレゼント応募」で当選していただきました。

 

concrete5ブロックの説明は別の機会に致したいと思っています。

 

 この記事からconcrete5のことについてご関心・ご興味がありましたら、

 

以下の記事を読んでみてください。「記事はブログ編集について記載しています

 

が、concrete5は、ブログに限らず

 

他のコンテンツも割と簡単に編集できます。

 (権限設定は、複数のレベルで・複数のプロファイル(ユーザ)を持つことができますので、マスターすると、単なるホームページ制作会社いらずとなります。)

 

  関連記事 ➡  https://www.a-itc.info/blog/concrete5-20181024

 

https://concrete5-japan.org/about/
https://concrete5-japan.org/about/

https://www.a-itc.info/blog/wordpress-190405