WordPressバージョン5の功績とバージョンアップの必要性と実効性、実行性について、ホームページ制作会社のジレンマ、WordPress5で起こりうる問題、WordPress5そのものの不具合、更新されていないプラグインやテーマの不具合、WordPressのセキュリティリリースの多さから分かることなどの切り口からお伝えします。
(2019/04/11現在、 リリースのページ では、 「 積極的に保守されている5.1系統の最新版以外の以下のバージョンは、安全に使用することはできません。 」と明確に宣言しています。出典: WordPress.org)
※. WordPressの「脆弱性とバージョン推移 」 は、文末に記載しています。
今回はWordPress5とその影響ついてお伝えして行きたいと思います。
By 横浜の 登録セキュリティプレゼンター
WordPress脆弱性とバージョン推移はこちらからご覧ください。Update-2020/04/01
Update-2019/08/29
Update-2019/05/22
Update-2019/05/07
Update-2019/04/11
Update-2019/02/23
Written-2019/01/29
WordPress、バージョン5.0以下で複数の脆弱性。対策バージョンは今のところ5.0.1のみ
バージョン3.7-5.0で複数の脆弱性。
①投稿者が権限のないファイルを削除できるよう、メタデータを変更できてしまう脆弱性。
②投稿者が特別に細工された入力を使うことで、権限のない投稿タイプの投稿を作成できてしまう脆弱性。
③貢献者が PHP オブジェクトインジェクションをもたらす方法でメタデータを細工できてしまう脆弱性。
④クロスサイトスクリプティングの脆弱性につながり得る、より高い権限を持つユーザーからの新規コメントを貢献者が編集できてしまう脆弱性。
⑤特別に細工された URL の入力がクロスサイトスクリプティングの脆弱性を発生させる可能性があります。WordPress 自体は影響を受けませんでしたが、プラグインは場合によっては影響を受ける可能性があります。
⑥メールアドレスや、稀なケースではデフォルトの生成パスワードの漏洩につながり得る、ユーザー有効化画面が珍しい設定で検索エンジンにインデックスされてしまう脆弱性。
⑦クロスサイトスクリプティングの脆弱性につながり得る、Apache でホストされたサイトの投稿者が、MIME 検証をバイパスする、特別に細工されたファイルをアップロードできてしまう脆弱性。
対応方法
セキュリティ対策版へアップデートする。
対策済みバージョン5.0.1
内容
WordPressのセキュリティ リリースの多さから分かること
言語切り替え。実質サポートは終了しているが、4.0のサイトの存在を確認
WordPressバージョン5
あなたがもし、WordPressサイトのより詳しい内容をお知りにならたいのなら、
こちらのサイトにご訪問ください。
WordPress専用サイトを設けました。https://xn--ecka7j.biz/
実行性と実効性
✅ バージョン5.0以降への実行性は、現時点では新規にサイトを作る場合(他のCMS(コンテンツを管理運営する仕組み)からの移行によるリニューアルを含む)以外は、かなり少なめになると思えます(その理由は、いくつか考えられます。)
✅ もう一つの実効性については、賛否があるとは思いますが筆者はそれほど高くはないと考えています。
WordPressのバージョン5の最大の変更であるブロックの採用は、
WordPressが斬新な考えで初めて取り入れたというわけではなく、
concrete5Concrete CMS(concrete5)がその前身のconcrete CMSで2003年に既に実現しているものです。
✅ 従って、実行性にもかかわることですが、WordPressのバージョン5への移行はそれほど進まないものと思います。
(4.9系統とそれ以前からの移行が容易でない・サイトオーナーのメリットが少ないなど)
✅ 唯一考えられるとしたら、4.9ブランチ以前へのセキュリティホール(脆弱性)への対応がどの様に行われるかによってかも知れません。
WordPres.orgによると最新版以外の積極的なメンテナンスは行わないとのことですから
ブログ投稿をウェブマーケティングの手段としてオウンドメディアを運用されている方やホームページの運営に関心の高い人は別としてウェブサイトのCMS(コンテンツ マネジメント システム)のアップデートはそれほどの関心ごとでは、ないでしょう。
CMSがなんなのか?をご存知でもなく、そもそもホームページが何によってつくられているか?など、ホームページ制作会社じゃああるまいし、専門家の領域だと思っておられ、全くの対象外であって・歯牙にもかけていない状態かも知れません。
でも、もしご自分のサイト(ホームページなど)が、WordPressで作られていたら? 少しと言うか、今後おおきな問題になってきます・課題を解決しない限り。 課題と言うのは、WordPress(ワードプレス)の最新バージョンに対応(バージョンアップ)することです。
☑ ご自分のサイトは「自動バージョンアップ設定」をしている。
☑ あるいは保守契約をしていて「ホームページ制作会社に任せているから」と、
安心しているのなら、
いいえ・それは違いますとお伝えしたいのです。
メジャーバージョンの5.0へは、自動バージョンアップ設定でもバージョンアップされません
ホームページ制作会社のジレンマ
WordPress.org では最新バージョン以外は、「積極的にサポートしない」として、常に最新バージョンへのアップデートを呼び掛けています。
今回、大幅な変更となったバージョン5は機能面・運用面において大きな改革でありチャンスです。
しかし、ホームページ制作会社にとってジレンマであって、まさにその状況は、囚人のジレンマと言えるものです。
☑ なぜなら、過去に開発してきたバ―ジョンと、上位・下位互換性がないからです。
(一部エディターなどは追加インストールで使用できますが、期間限定でいずれ新エディターに切り替えなければなりません)
☑ WordPressのお客様に、バージョンアップをお薦めするにも
☒ 過去に契約した自動バージョンアップがなされない理由の説明をうまくできない。
☒ バージョンアップをお薦めするにも、お客様のベネフィットをうまく説明できない。
(費用に見合うメリットを提示できない)
☒ ホームページ制作会社としての見極め(見極める材料・根拠)が少ない
(4.9以前のテーマ・プラグインなどについて、バージョン5にすることへの影響の把握)
☒ そもそも有料保守契約を提案していないし、契約していない
など。バージョンアップを提案したくてもできないジレンマがあるのです。
脆弱性対策意識の低さ ➡ セキュリティ意識が必要・驚愕のWordPressサイト
WordPress5で起こりうる問題
WordPress 5そのものの不具合
✅ WordPressは、 5.0で2018/12/6大幅な改定がなされました。まだ発見されていない不具合や脆弱性は潜在していると考える方が妥当だと思います。
(既に、マイナーバージョンが5.0.1、5.0.2、5.0.3と進んでいっていることからも明らかです。)
WordPressは2003年5月以来、15年以上も経過し、
現在では 世界のウェブサイトの3分の1(33%)で運営されて人気を誇っています。
日本では81%超がWordPressを使って作られています
(出典:W3Techs)2019/01/29現在、下図
✅ WordPressの約15年に及ぶ歴史の間、今回のような編集画面が大きく変わるような変更はありませんでした。そのため、これまでは起こらなかったような問題が起こる可能性があります。
✅ また、複数のチームで複数のブランチ(既に5.0と並行して5.1ブランチの開発も始まっています。
※以下の表を参照してください)を同時並行で開発・検証・リリースしているWordPressの宿命の様な形態から、複数のブランチ・バージョンに横断的にバグが発生し、脆弱性が発見されています。
(最新バージョンの5ですら、バージョン3.7以降の全てのバージョンに対するセキュリティメンテナンスリリースで(バージョン5のリリース2018/12/10の僅か8日後には5.0.1が2018/12/18にリリース)されています。
4.9ブランチでは、4.9.9で2019/01/25に、そのほかの4.6ブランチでは4.6.13で2019/01/08にリリースされています。詳細は以下の表で)
当然のことながら、複数のブランチ・バージョンが現存し、運営もされています。これもホームページ制作会社にとっては悩ましいところです。
✅ 5.0ブランチの最新リリースは5.0.3(2019/01/25リリース)です。
5.0以前のメジャーバージョンは4.9ブランチで、4.9.9(2019/01/25リリース)が最終です。4.9ブランチや4.8ブランチ以前などのバージョンからの5.0ブランチへの自動バージョンアップは行われていません。
✅ 筆者が知る自移動更新を設定しているサイトも WordPress 4.9.9➡4.9.10で止まっています。➡ 4.9.11 19/09/05 セキュリティ リリース
(大幅な変更の為、自動的なバージョンアップは無効としている様です。)
これは、バージョンアップが自動設定で行われるものとサイトオーナーさんに説明してきたホームページ制作会社にとっては、想定外だったのかも知れません。
✅ 別の歯科のサイトで2018/08/30 にリニューアルしているにもかかわら ず、
プラグインのAll in One SEO Pack 2.7.3を導入していて(SEOに気を使っていても?)も 4.9.9➡4.9.10のままです。
ここは更に悪いことにwp-login.phpの設定も隠していないずさんなホームページ制作会社にお任せの様です。
SSL対応はされてますが、 wp-login.php放置 では、
ブルートフォースアタック( 総当たり攻撃 )を受けたらひとたまりもありませんし、さらに医療広告ガイドライン(2018/06)にも遵守・準拠されていません( 嘆かわしい限りです。)
関連記事 ➡ 警告あなたのホームぺージ早急に2つの脆弱性対応が必要
更新されていないプラグインやテーマの不具合
✅ WordPress本体の機能を補完するプラグインや、サイトのデザインや見てくれの部分を担当するテーマにも不具合が発生する危険性があります。
当然ですが、これまでのプラグインやテーマは、5.0以前の設計にあわせて作られています。
5.0ブランチや以降のブランチの事は考えられるはずもありません。
✅ 特に古いプラグインやテーマの中には、すでに開発チームがなくなり長期間更新が止まっているものも当然あります。
これらすべてをホームページ制作会社が管理・把握できているとは思えません。(5.xブランチへのアップグレードには十分なテスト・検証が必要です。
✅ 自ら開発してきたものなら可能かも知れませんが、そのほか多くは外国で開発されてきたものが多くバージョンアップされていないのが実情です。
もしくはこれから5.0ブランチ以降に対応することになる為に把握すら困難です。
✅ 新バージョンが発表されて初めて、5.0ブランチ以降に対応しているかどうかがわかるのですから。
これらもホームページ制作会社がジレンマに陥る原因となりえます。
WordPressのセキュリティリリースの多さから分かること
下の表を見て戴きたいと思います。セキュリティリリースの多さから如何にWordPressが攻撃者のターゲットにされているか・脆弱性に目をつけられているかがお分かり戴けると思います。(最新版でさえ)
5.0と 4.9
5.0と4.9ブランチ以前のバージョンは以下でStop(中間バージョンの不具合・バグとセキュリティリリースは省略。複数のブランチで重複期間あり)
以下はスクロール表示です。
フルサイズでご覧になりたい場合は、こちら(クリック)からどうぞ!別ページが開きます。
クロス サイト スクリプティング(XSS)
※.クロス サイト スクリプティング : クロスサイト・スクリプティング(XSS)の具体的な攻撃例。ウェブアプリケーションに問題がある場合、悪意を持った命令(スクリプト)の入ったページを表示させられることによって、偽のページを表示させられてしまう
図中XSSの攻撃例の詳細(出典: IPA 独立行政法人 情報処理推進機構)
① 攻撃者がBさんの掲示板に罠を仕掛ける
② A子さんがBさんの掲示板を見る
③ A子さんが罠のリンクが入ったページを表示し、リンクをクリックする
④ Bさんの掲示板からX社のウェブサイトに移って(クロス)、
悪意を持った命令(スクリプト)を送ってしまう
⑤ 悪意を持った命令(スクリプト)がユーザのブラウザで実行され、偽のページが表示される
⑥ 偽ページにユーザがだまされて、個人情報などを攻撃者に送ってしまう
関連記事: 驚愕WordPressサイトでの脆弱性対策意識の低さ
お問合せ
あなたのサイトが何によってつくられているか?
お知りになりたい方は、あなたのサイトを作ったホームページ制作会社に問い合わせをしてみてください。
WordPressであるなら・保守状況と今後の対応などもご相談されることをお薦めします。
私どもへのお問合せは、ホームページのURLを記入して、ここからお問合せください。
「補足」
WordPress最大の改善は
ブロックの採用です。
https://ja.wordpress.org/2018/12/07/wordpress-5-0-bebo/
WordPressのバージョン5の最大の変更・ブロックの採用は、WordPressが斬新な考えで初めて取り入れたというわけではなく、Concrete CMS(concrete5) concrete5がその前身のconcrete CMSで2003年に既に実現しています。
この面で(かなり)先行したコンクリート ブロックを積み上げてウェブサイトをワープロ感覚でだれでも構築できることを大前提に2003年に開発されたconcrete CMS、
その後バージョンアップで2008年に concrete5 としてMITライセンスされた。
concrete5を意識したものと筆者は思います。
WordPressのブロックの例を見てみましょう。
WordPressのブロックの例
このブロックを使用するためには、バージョン5へのアップグレードは必須で
ブロック自体・これはもう、Concrete CMS(concrete5)に習った(倣った)としか言い様がないですね ?
Concrete CMS(concrete5)のブロックの例と比べてみましょう。
Concrete CMS(concrete5)のブロック群
ブロックとは?
ブロックは、Concrete CMS(concrete5)のページ内で編集可能なコンテンツまたは機能の最小単位です。
レゴブロック(R)のように、ブロックを積み上げてページを作成していくことができます。
ブロックには様々な種類があります。
concrete5には、記事、コメント欄、画像スライダーなどの基本的なブロックがインストールされています。
他のブロックを追加したい場合は、マーケットプレイスから追加することができます。
ページの編集は、ブロックエリアにブロックをドラッグして配置するのが基本的な作業になります。
エリアは、ブロックを格納するものです。エリアのタブをクリックすると、エリアに関するメニューが開きます。
主要なブロックが全て揃っています。もちろん有償・無償のブロックもマーケットプレイスから「他のブロックを入手」から入手できます。無償のテーマの設定からもセットされます。
無償テーマのStuccoからは、3つのブロックがセットされました。Spacerも無償ブロックです。
GA Popular Pagesは有償Blockで確か20$位でしたが、Concrete CMS(concrete5)のコミュニティで「プレゼント応募」で当選していただきました。
Concrete CMS(concrete5)のブロックの説明は別の機会に致したいと思っています。
この記事からConcrete CMS(concrete5)のことについてご関心・ご興味がありましたら、
以下の記事を読んでみてください。「記事はブログ編集について記載しています」
が、Concrete CMS(concrete5)は、ブログに限らず、
他のコンテンツも割と簡単に編集できます。
(権限設定は、複数のレベルで・複数のプロファイル(ユーザ)を持つことができますので、マスターすると、単なるホームページ制作会社いらずとなります。)
関連記事 ➡ https://www.a-itc.info/blog/concrete5-20181024
https://www.a-itc.info/blog/wordpress-190405