WordPressバージョン5の功績とバージョンアップの必要性と実効性、実行性について、ホームページ制作会社のジレンマ、WordPress5で起こりうる問題、WordPress5そのものの不具合、更新されていないプラグインやテーマの不具合、WordPressのセキュリティリリースの多さから分かることなどの切り口からお伝えします。

WordPress-20190129

WordPress(ワードプレス)は、2018/12/6大幅な改定(メジャーバージョンアップ)がされました。

まだ発見されていない不具合や脆弱性は潜在していると考える方が妥当だと思います。

 

WordPress最新のバージョンBebo (※ Bebo Valdésジャズピアニスト ベボ・ヴァルデス:※WordPressの各メジャーバージョンでは著名ジャズミュージシャンに敬意を表し、名前にちなんだコードネームをブランチとして採用しています。

 

5.0ブランチの最新は5.0.3(2019/01/25リリース)です。

5.0以前のメジャーバージョンは4.9ブランチで、4.9.9(2019/01/25リリース)が現時点の最終です。

 

4.9ブランチや4.8ブランチ以前などのバージョンからの5.0ブランチへの自動バージョンアップは行われていません。

 

今回はWordPress5とその影響ついてお伝えして行きたいと思います。

 

By 横浜の 登録セキュリティプレゼンターITコーディネータ

 

内容

実行性と実効性 .. 2

ホームページ制作会社のジレンマ .. 4

WordPress5で起こりうる問題 .. 5

WordPress5そのものの不具合 .. 5

更新されていないプラグインやテーマの不具合 .. 8

WordPressのセキュリティリリースの多さから分かること .. 9

5.0と4.9ブランチ以前のバージョン .. 9

大規模なカスタマイザーの改善、コードエラーのチェック .. 10

言語切り替え。実質サポートは終了しているが、4.0のサイトの存在を確認 .. 13

クロスサイトスクリプティング(XSS .. 13

お問合せ .. 14

WordPress最大の改善は、 .. 15

ブロックの採用です。しかし、 .. 15

WordPressのブロックの例 .. 16

concrete5のブロック群 .. 16

ブロックとは? .. 16

 

WordPressバージョン5

実行性と実効性

バージョン5.0以降への実行性は、現時点では新規にサイトを作る場合(他のCMS(コンテンツを管理運営する仕組み)からの移行によるリニューアルを含む)以外は、かなり少なめになると思えます(その理由は、いくつか考えられます。)

 

もう一つの実効性については、賛否があるとは思いますが筆者はそれほど高くはないと考えています。WordPressのバージョン5の最大の変更であるブロックの採用は、WordPressが斬新な考えで初めて取り入れたというわけではなく、 concrete5がその前身のconcrete CMSで2003年に既に実現しているものです。

 

従って、実行性にもかかわることですが、WordPressのバージョン5への移行はそれほど進まないものと思います。

 

唯一考えられるとしたら、4.9ブランチ以前へのセキュリティホール(脆弱性)への対応がどの様に行われるかによってかも知れません。

WordPres.orgによると最新版以外の積極的なメンテナンスは行わないとのことですから

 

ブログ投稿をウェブマーケティングの手段としてオウンドメディアを運用されている方やホームページの運営に関心の高い人は別としてウェブサイトのCMS(コンテンツ マネジメント システム)のアップデートはそれほどの関心ごとでは、ないでしょう。

 

CMSがなんなのか?をご存知でもなく、そもそもホームページが何によってつくられているか?など、ホームページ制作会社じゃああるまいし、専門家の領域だと思っておられ、全くの対象外であって・歯牙にもかけていない状態かも知れません。

 

でも、もしご自分のサイト(ホームページなど)が、WordPressで作られていたら? 少しと言うか、今後おおきな問題になってきます・課題を解決しない限り。 課題と言うのは、WordPress(ワードプレス)の最新バージョンに対応(バージョンアップ)することです。

 

☑ ご自分のサイトは「自動バージョンアップ設定」をしている。

☑ あるいは保守契約をしていて「ホームページ制作会社に任せているから」と、

安心しているのなら、

 

いいえ・それは違いますとお伝えしたいのです。

 

メジャーバージョンの5.0へは、自動バージョンアップ設定でもバージョンアップされません

 

ホームページ制作会社のジレンマ

 

WordPress.org では最新バージョン以外は、「積極的にサポートしない」として、常に最新バージョンへのアップデートを呼び掛けています。

 

今回、大幅な変更となったバージョン5は機能面・運用面において大きな改革でありチャンスです。

しかし、ホームページ制作会社にとってジレンマであって、まさにその状況は、囚人のジレンマと言えるものです。

 

☑ なぜなら、過去に開発してきたバ―ジョンと、上位・下位互換性がないからです。(一部エディターなどは追加インストールで使用できますが、期間限定でいずれ新エディターに切り替えなければなりません)

☑ WordPressのお客様に、バージョンアップをお薦めするにも

  ☒ 過去に契約した自動バージョンアップがなされない理由の説明をうまくできない

  ☒ バージョンアップをお薦めするにも、お客様のベネフィットをうまく説明できない

   (費用に見合うメリットを提示できない)

  ☒ ホームページ制作会社としての見極め(見極める材料・根拠)が少ない

   (4.9以前のテーマ・プラグインなどについて、バージョン5にすることへの影響の把握)

  ☒ そもそも有料保守契約を提案していないし、契約していない

 

など。バージョンアップを提案したくてもできないジレンマがあるのです。

 

 

WordPress5で起こりうる問題

WordPress5そのものの不具合

WordPressは、2018/12/6大幅な改定がなされました。まだ発見されていない不具合や脆弱性は潜在していると考える方が妥当だと思います。

(既に、マイナーバージョンが5.0.1、5.0.2、5.0.3と進んでいっていることからも明らかです。)

 

 WordPressは2003年5月以来、15年以上も経過し、
現在では
世界のウェブサイトの3分の1(33%)で運営されて人気を誇っています。
日本では81%超がWordPressを使って作られています

 (出典:W3Techs)2019/01/29現在、下図

WordPress世界シェア
出典:W3Techs WordPress世界シェア
WordPress日本シェア
出典:W3Techs WordPress日本シェア

 

WordPressの約15年に及ぶ歴史の間、今回のような編集画面が大きく変わるような変更はありませんでした。そのため、これまでは起こらなかったような問題が起こる可能性があります。

 

また、複数のチームで複数のブランチ(既に5.0と並行して5.1ブランチの開発も始まっています。
※以下の表を参照してください)を同時並行で開発・検証・リリースしているWordPressの宿命の様な形態から、複数のブランチ・バージョンに横断的にバグが発生し、脆弱性が発見されています。

(最新バージョンの5ですら、バージョン3.7以降の全てのバージョンに対するセキュリティメンテナンスリリースで(バージョン5のリリース2018/12/10の僅か8日後には5.0.1が2018/12/18にリリース)されています。

4.9ブランチでは、4.9.9で2019/01/25に、そのほかの4.6ブランチでは4.6.13で2019/01/08にリリースされています。詳細は以下の表で)

 

 当然のことながら、複数のブランチ・バージョンが現存し、運営もされています。これもホームページ制作会社にとっては悩ましいところです。

 

5.0ブランチの最新リリースは5.0.3(2019/01/25リリース)です。

5.0以前のメジャーバージョンは4.9ブランチで、4.9.9(2019/01/25リリース)が最終です。4.9ブランチや4.8ブランチ以前などのバージョンからの5.0ブランチへの自動バージョンアップは行われていません。

 

筆者が知る自移動更新を設定しているサイトも WordPress 4.9.9で止まっています。

(大幅な変更の為、自動的なバージョンアップは無効としている様です。)

これは、バージョンアップが自動設定で行われるものとサイトオーナーさんに説明してきたホームページ制作会社にとっては、想定外だったのかも知れません。

 

別の歯科のサイトで2018/08/30 にリニューアルしているにもかかわら ず、プラグインのAll in One SEO Pack 2.7.3を導入していて(SEOに気を使っていても?)も 4.9.9のままです。ここは更に悪いことにwp-login.phpの設定も隠していないずさんなホームページ制作会社にお任せの様です。SSL対応はされてますが、 wp-login.php放置では、 ブルートフォースアタック総当たり攻撃)を受けたらひとたまりもありませんし、さらに医療広告ガイドライン(2018/06)にも遵守・準拠されていません嘆かわしい限りです。)

 

更新されていないプラグインやテーマの不具合

WordPress本体の機能を補完するプラグインや、サイトのデザインや見てくれの部分を担当するテーマにも不具合が発生する危険性があります。

 当然ですが、これまでのプラグインテーマは、5.0以前の設計にあわせて作られています。

 5.0ブランチや以降のブランチの事は考えられるはずもありません。

特に古いプラグインテーマの中には、すでに開発チームがなくなり長期間更新が止まっているものも当然あります。

 これらすべてをホームページ制作会社が管理・把握できているとは思えません。(5.xブランチへのアップグレードには十分なテスト・検証が必要です。

自ら開発してきたものなら可能かも知れませんが、そのほか多くは外国で開発されてきたものが多くバージョンアップされていないのが実情です。

 もしくはこれから5.0ブランチ以降に対応することになる為に把握すら困難です。

新バージョンが発表されて初めて、5.0ブランチ以降に対応しているかどうかがわかるのですから。

 これらもホームページ制作会社がジレンマに陥る原因となりえます。

 

WordPressのセキュリティリリースの多さから分かること

 下の表を見て戴きたいと思います。セキュリティリリースの多さから如何にWordPressが攻撃者のターゲットにされているか・脆弱性に目をつけられているかがお分かり戴けると思います。(最新版でさえ

 

5.04.9ブランチ以前のバージョン

 

 5.04.9ブランチ以前のバージョンは以下でStop(中間バージョンの不具合・バグとセキュリティリリースは省略。複数のブランチで重複期間あり)


バージョン・コードネーム 問題点・改修点・直前の修正など
WordPressバージョンと推移
5.1ベータ2
2019/1/22現在
改良とバグ修正中
5.0.3  2019/1/25 37個のバグ修正
5.0.2  2019/1/9 73個のバグに取り組むメンテナンスリリース
5.0.1 2018/12/18 3.7以降のすべてのバージョンに対する セキュリティリリースクロスサイトスクリプティング( .XSS)権限外の操作を行える個人情報が漏れる可能性があるなどの 脆弱性
5.0ブランチ
2018/12/10

Beboベボ・ヴァルデス
ブロックの採用とブロックエディタの採用
4.9.9
2019/1/25
3.7以降のすべてのバージョンに対するセキュリティリリースクロスサイトスクリプティング権限外の操作を行える個人情報が漏れる可能性があるなどの脆弱性)。4.9.8で46件のバグ修正
4.9ブランチ
2017/11/17 Tipton ビリー・ティプトン

大規模なカスタマイザーの改善、コードエラーのチェック

4.8.8 2019/1/25 4.8.3でセキュリティリリース
3.7以降のすべてのバージョンに対するセキュリティリリース
4.8ブランチ
2017/6/23

Evans ビル・エバンス
ユーザーを念頭に置いたアップデート
4.7.12 2019/1/25 3.7以降のすべてのバージョンに対するセキュリティリリース
4.7.2 2017/1/29 REST APIに対する 脆弱性対策
さらに4.7.5で セキュリティリリース
4.7.1 2017/1/12 4.74.7.1 REST APIに対する 脆弱性攻撃で 155万サイトが改ざんされる セキュリティ事故が発生(2017/2/6発表)
4.7ブランチ
2016/12/7

Vaughan サラ・ヴォーン
サイトのセットアップが思いのままに実現できる
4.6.13 2019/1/8 3.7以降のすべてのバージョンに対するセキュリティリリース
4.6.1でセキュリティリリース
4.6ブランチ 2016/8/17
pepper アート・ペッパー
同じページ内でプラグインやテーマの更新、インストール、削除が可能
4.5.16 2019/1/8 3.7以降のすべてのバージョンに対するセキュリティリリース
4.5.3でセキュリティリリース
4.5ブランチ 2016/4/14
Coleman オーネット・コールマン
編集の改善
4.4.17 2019/1/8 3.7以降のすべてのバージョンに対するセキュリティリリース
4.4.2でセキュリティリリース
4.4ブランチ
2015/12/9

Clifford クリフォード・ブラウン
レスポンシブ画像対応
4.3.18 2019/1/8 3.7以降のすべてのバージョンに対するセキュリティリリース
4.3.1でセキュリティリリース
4.3ブランチ
2015/8/19

Billie ビリー・ホリデイ
新しい書式ショートカット
4.2.22 2019/1/8 3.7以降のすべてのバージョンに対するセキュリティリリース
4.2.4でセキュリティリリース
4.2ブランチ
2015/4/28
Powell バド・パウエル
グローバルにコミュニケーションし、共有する
4.1.25 2019/1/8 3.7以降のすべてのバージョンに対するセキュリティリリース
4.1.2でセキュリティリリース
4.1ブランチ
2014/12/19

Dinah ダイナ・ワシントン
新しいデフォルトテーマ
4.0.1 2014/12/15 セキュリティリリース
4.0ブランチ
2014/12/15
Benny ベニー・グッドマン

 言語切り替え。
 実質サポートは終了しているが、 4.0のサイトの存在を確認

3.9.3 2014/11/22
3.9ブランチ
2014/4/17
Jimmy ジミー・スミス
 サポート終了しているが、現役サイトの存在を確認。
 これ以前のバージョンでも存在3.1、3.1.1など
3.8.5—3.0  2014/11/22-2010/6/22
2.9.2—2.3.1  2010/2/16--2007/12/23
2.3ブランチ 2007/9/25  “Dexterデクスター・ゴードン
2.0ブランチ 2005/12/31  “Dukeデューク・エリントン
1.2ブランチ 2004/5/22  “Mingus”チャールズ・ミンガス
0.70 2003/5/27  初リリース

クロスサイトスクリプティング(XSS)

※.クロスサイトスクリプティング : クロスサイト・スクリプティング(XSS)の具体的な攻撃例。ウェブアプリケーションに問題がある場合、悪意を持った命令(スクリプト)の入ったページを表示させられることによって、偽のページを表示させられてしまう

xss クロスサイトスクリプティング
出典:IPA 独立行政法人 情報処理推進機構 クロスサイトスクリプティング

図中XSSの攻撃例の詳細(出典:IPA 独立行政法人 情報処理推進機構

 ① 攻撃者がBさんの掲示板に罠を仕掛ける

 ② A子さんがBさんの掲示板を見る

 ③ A子さんが罠のリンクが入ったページを表示し、リンクをクリックする

 ④ Bさんの掲示板からX社のウェブサイトに移って(クロス)、

  悪意を持った命令(スクリプト)を送ってしまう

 ⑤ 悪意を持った命令(スクリプト)がユーザのブラウザで実行され、偽のページが表示される

 ⑥ 偽ページにユーザがだまされて、個人情報などを攻撃者に送ってしまう

 

お問合せ

 あなたのサイトが何によってつくられているか?

お知りになりたい方は、あなたのサイトを作ったホームページ制作会社に問い合わせをしてみてください。

 WordPressであるなら・保守状況と今後の対応などもご相談されることをお薦めします。

私どもへのお問合せは、ホームページのURLを記入して、ここからお問合せください。

 

「補足」

WordPress最大の改善は

ブロックの採用です。

https://ja.wordpress.org/2018/12/07/wordpress-5-0-bebo/

WordPress-block
WordPressブロックの説明

 

                                   

 WordPressのバージョン5の最大の変更・ブロックの採用は、WordPressが斬新な考えで初めて取り入れたというわけではなく、 concrete5がその前身のconcrete CMSで2003年に既に実現しています。


  この面で(かなり)先行したコンクリート ブロックを積み上げてウェブサイトをワープロ感覚でだれでも構築できることを大前提に2003年に開発されたconcrete CMS


その後バージョンアップで2008年に concrete5としてMITライセンスされた。

concrete5を意識したものと筆者は思います。

 

 

WordPressのブロックの例を見てみましょう。

 

 

WordPressのブロックの例

WordPress-block
WordPressのブロック

 

主だったブロックは揃っているように思えます。しかし、

 このブロックを使用するためには、バージョン5へのアップグレードは必須で

 かつ、新エディターでしか編集できません。

 

 

 ブロック自体・これはもう、concrete5に習った(倣った)としか言い様がないですね

 

concrete5ブロックの例と比べてみましょう。

concrete5のブロック群

concrete5ブロックエリア

ブロックとは?

 ブロックは、concrete5のページ内で編集可能なコンテンツまたは機能の最小単位です。

 レゴブロック(R)のように、ブロックを積み上げてページを作成していくことができます。

 ブロックには様々な種類があります。

 concrete5には、記事、コメント欄、画像スライダーなどの基本的なブロックがインストールされています。

 他のブロックを追加したい場合は、マーケットプレイスから追加することができます。

 ページの編集は、ブロックエリアにブロックをドラッグして配置するのが基本的な作業になります。

 エリアは、ブロックを格納するものです。エリアのタブをクリックすると、エリアに関するメニューが開きます。

concrete5-block
concrete5のブロック

 主要なブロックが全て揃っています。もちろん有償・無償のブロックもマーケットプレイスから「他のブロックを入手」から入手できます。無償のテーマの設定からもセットされます。

 

 無償テーマのStuccoからは、3つのブロックがセットされました。Spacerも無償ブロックです。

 GA Popular Pagesは有償Blockで確か20$位でしたが、concrete5のコミュニティで「プレゼント応募」で当選していただきました。

 

concrete5ブロックの説明は別の機会に致したいと思っています。

 

https://concrete5-japan.org/about/
https://concrete5-japan.org/about/