WordPress 脆弱性とバージョン推移
WordPress 6.6.2 LastUpdate:2024/09/12
Written:2019/08/28
WordPress 6.6.2
WordPressは、積極的に保守されている
6.n系統の最新版以外の以下のバージョンは、安全に使用することはできません。
6.n系統と書いたのには理由があります(WordPress.org公式サイトで推移)
クリックでWordPress.orgでの最新情報を見ることができます。
WordPressは、世界中のWebサイトの33%以上、日本では82%以上と異常なまでの人気を誇っています。(2019/06時点、全CMS利用の60%以上を占めています)
2017年の1月から2月にかけて、
全世界で155万超のWordPressサイトが改ざんされるという
セキュリティ事故がありました。
(これは、バージョン4.7と4.7.1のAPIの脆弱性が狙われました)
以降も常に脆弱性が発見され攻撃され続けています。
WordPressは、 脆弱性が見つかる都度バージョンアップを繰り返しています。
積極的な
保守(バージョンアップ)作業を欠かすことはできません。
WordPressの特徴的な1つとして、
機能アップのためのバージョンアップより、
脆弱性や不都合(バグ)に対応する為のバージョンアップ
(セキュリティメンテナンス)の方が遥かに多いのです。
あなたのホームページ大丈夫?
筆者は、バージョン 5.2.1、テーマCocoonで
WordPress Site運用を再開※しました。
今後、WordPress関連は、このサイトに記載(移行)して行きます。
ここのサイトのメインテーマは
セキュリティ対策で、Pluginでの対策・他をお伝えしています。
また、WordPressの脆弱性とバージョン推移をお伝えしています。
※.別途Mainサイトをconcrete5(Concrete CMS)で運用しています。
管理画面に入ることなく最新バージョンを知る
WordPressの最新バージョン確認
Site Guard WP Pluginのお勧め
WordPress、プラグイン、テーマのバージョンアップをメールで知らせる
WordPressは、積極的に保守されている6.n系統の最新版以外の以下のバージョンは、安全に使用することはできません。
あなたのホームページのWordPressは大丈夫でしょうか?
あなたのサイトが、何で作られているか?お知りになりたい場合は、
URLを付けて、お問合せください。
予定
最新 6.6ブランチ
Ver | リリース | 内容 |
---|---|---|
6.6 | ブランチ | |
6.6.2 24/09/11 |
このマイナーリリースには、
|
|
6.6.1 24/07/24 |
このマイナーリリースには、
|
|
6.6 24/07/17 |
メジャーバージョン アップ
|
|
Dorsey | リリースの名称に由来するジャズミュージシャン
(Tommy Dorsey)トミー・ドーシー(1905/11/19-1956/11/26)は、アメリカのジャズ・トロンボーン、ジャズ・トランペット奏者、バンドリーダー。 |
WordPress6.6必要要件
- 動作環境:
PHPバージョン:7.4以上
MySQLバージョン:5.7以上()
でも動作しますが、これらのバージョンはすでに公式サポートが終了しており、
セキュリティ上のリスクがあります。
可能な限り、最新バージョンの PHP と MySQL を使用することを強くお勧めします。 - 必須環境:
PHPバージョン:8.0以上
MySQL 8.0以上 または、 MariaDB 10.5以上
- 推奨環境:
PHPバージョン:8.1以上
MySQL 8.1以上 または、 MariaDB 10.6以上
HTTPS サポート
6.5ブランチ
Ver | リリース | 内容 |
---|---|---|
6.5 | ブランチ | |
6.5.5 | 6.5.5 24/06/25 |
Security updates
バージョン 6.5.5 はいくつかのセキュリティ問題に対応し、3個のバグを修正しました。 |
6.5.4 | 6.5.4 24/06/06 |
メンテナンス リリース
|
6.5.3 | 6.5.3 24/05/09 |
メンテナンス リリース
|
6.5.2 | 6.5.2 24/04/10 |
セキュリティ・メンテナンス リリース
|
6.5 | 6.5 24/04/03 |
メジャーバージョン アップ
|
Regina | リリースの名称に由来するジャズミュージシャン
(Regina Carter) |
WordPress6.5必要要件
- 動作環境:
PHPバージョン:7.0 – 8.3 (8.2, 8.3)
MySQLバージョン:5.5.5 – 8.3
- 推奨環境:
PHPバージョン:8.1, 8.2
MySQL/ MariaDBバージョン:8.0以上 / 10.4以上
6.4ブランチ
Ver | リリース | 内容 |
---|---|---|
>6.4 | ブランチ | |
6.4.4 | 6.4.4 24/04/10 | Ver 6.5.2 参照 |
6.4.3 | 6.4.3 24/01/31 |
Security & Maintenance Release
このマイナーリリースでは、Core の 5 つのバグ修正 と ブロックエディタの16個のバグ修正 および 2つのセキュリティ修正が含まれています。 |
6.4.2 | 6.4.2 23/12/07 | Maintenance & Security Release
このリリースには、セキュリティ修正も 1 つ含まれています。 これはセキュリティ リリースであるため、サイトをすぐに更新することをお勧めします。 このマイナーリリースでは、Core の 7 つのバグ修正が行われています。 この修正には、スタイルシートとテーマのディレクトリが誤った結果を返すことがある原因となる問題のバグ修正が含まれています。 |
6.4.1 | 6.4.1 23/11/09 | 緊急リリース
機能修正 ➡ WordPress6.4.1 |
6.4 | 6.4 23/11/08 |
メジャーバージョン アップ
WordPress 6.4 ➡ |
Shirley | リリースの名称に由来するジャズミュージシャン
(Shirley Horn) |
6.3ブランチ
Ver | リリース | 内容 |
---|---|---|
6.3 | ブランチ | |
6.3.4 | 6.3.4 24/04/10 | Ver 6.5.2 参照 |
6.3.3 | 6.3.3 24/02/03 | Ver 6.4.3 参照 |
6.3.2 | 6.3.2 23/10/13 |
システムコアに関する19件のバグ修正、 ブロックエディタに関する22件のバグ修正、 8件のセキュリティ修正に関するアップデート WordPress 6.3.2 |
6.3.1 | 6.3.1 23/08/30 |
Maintenance Release コアの4つのバグ修正と、ブロックエディタの6つのバグ修正 |
6.3 | 6.3 23/08/09 |
メジャーバージョン アップ
WordPress 6.3 ➡ 詳細はここをクリックしてください このリリースは、デザイナー、クリエイター、開発者の クリエイティブな表現に新たな可能性を開きます。 パワフルなツールと洗練されたコントロールは、 ユーザーに自信を与え、サイト管理を容易にします。 |
Lionel | リリースの名称に由来するジャズミュージシャン
Lionel Hampton「ライオネル」は、 |
6.2ブランチ
Ver | リリース | 6.2 ブランチ 内容 | |
---|---|---|---|
6.2.5 | 24/04/10 | Ver 6.5.2 参照 | |
6.2.4 | 24/02/03 | Ver 6.4.3 参照 | |
6.2.3 | 23/10/13 | セキュリティ メンテナンス
|
|
6.2.2 6.2.1 |
23/05/20 23/05/17 |
メンテナンスとセキュリティのリリース
複数のセキュリティ問題に対応 ・ユーザー生成データ内のショートコードを解析するテーマをブロックします。 ・添付ファイルのサムネイルを更新する際の CSRF の問題。 CSRF:クロスサイトリクエストフォージェリ (cross-site request forgeries)は、 Webアプリケーションの脆弱性の一つ、もしくはそれを利用した攻撃。 またはXSRF:リクエスト強要、セッションライディング (session riding) とも呼ばれます。 ・オープン埋め込み自動検出を介して XSS を許可する欠陥。 ・ 権限の低いユーザーのブロック属性での KSES サニタイズをバイパスします。 WordPress 6.2.2 & 6.2.1 Security & Maintenance release | |
6.2 | 23/03/30 | メジャーバージョン アップ
WordPress 6.2 |
|
Dolphy | リリースの名称に由来するジャズミュージシャン
|
6.1 ブランチ
Ver | リリース | 6.1 ブランチ 内容 | ||
---|---|---|---|---|
6.1.6 | 24/04/10 | Ver 6.5.2 参照 | ||
6.1.5 | 24/02/03 | Ver 6.4.3 参照 | ||
6.1.4 | 23/10/13 | セキュリティ・メンテナンス
|
||
6.1.3 6.1.2 |
23/05/20 23/05/17 |
メンテナンスとセキュリティのリリース
複数のセキュリティ問題に対応 ・ユーザー生成データ内のショートコードを解析するテーマをブロックします。 ・添付ファイルのサムネイルを更新する際の CSRF の問題。 CSRF:クロスサイトリクエストフォージェリ (cross-site request forgeries)は、 Webアプリケーションの脆弱性の一つ、もしくはそれを利用した攻撃。 またはXSRF:リクエスト強要、セッションライディング (session riding) とも呼ばれます。 ・オープン埋め込み自動検出を介して XSS を許可する欠陥。 ・ 権限の低いユーザーのブロック属性での KSES サニタイズをバイパスします。 | ||
6.1.1 | 22/11/16 | メンテナンス リリース
WordPress 6.1.1 このリリースは、コアの 28 件のバグ修正と ブロック エディタの18 件のバグ修正があります。 ➡ WordPress 6.1.1 詳細 |
||
6.1 | 22/11/02 | メジャーバージョン アップ
WordPress 6.1 WordPress 6.1 では多種多様な改善が行われました。 詳細は、別記事にしています。 |
||
Mikhail Alperin | リリースの名称に由来するジャズミュージシャン
|
|||
推奨要件 | WordPress 6を動作させるためには、 以下のサーバー要件を推奨。 PHP 7.4 以上(※) MySQL 5.7 以上、またはMariaDB 10.3 以上 HTTPS 対応 |
6.0 ブランチ
Ver | リリース | 6.0 ブランチ 内容 | ||
---|---|---|---|---|
6.0.7 | 24/02/03 | Ver 6.4.3 参照 | ||
6.0.6 | 23/10/13 | Ver 6.1.4 参照 | ||
6.0.5 | 23/07/07 | Maintenance | ||
6.0.4 | 23/05/16 | Maintenance | ||
6.0.3 | 22/10/18 | これはセキュリティ リリースであるため、サイトをすぐに更新することをお勧めします。
WordPress Security Update ver.6.0.3 XSSの問題9個、他CSRF、SQLインジェクションの問題など、 合わせて16個の問題に対処 |
||
6.0.2 | 22/08/30 | これはセキュリティ リリースであるため、サイトをすぐに更新することをお勧めします。
WordPress 6.0.2 セキュリティとメンテナンスのリリース ・3 つのセキュリティ修正 ・・・FVD リンク API 内で可能な SQL インジェクション ・・・プラグイン画面でXSSの脆弱性 ・・・the_meta()内の出力エスケープの問題 ・Core で 12 のバグ修正 ・ブロック エディタの 5 つのバグ修正 |
||
6.0.1 | 22/07/13 | コアの13件のバグ修正と ブロックエディターのための18件のバグ修正 ショートサイクルのメンテナンスリリース WordPress 6.0.1 WP 6.0 バグの解消 [カテゴリーの記事数カウントがPCとスマホで異なっている] ➡ 6.0.1で解消 (モバイルでは、投稿のないカテゴリーが、0件で表示されるwp6の不具合) | ||
6.0 | 22/05/25 日本時間 |
メジャーバージョン アップ
WordPress 6.0 では多種多様な改善が行われました。 500以上の機能拡張と400以上の修正(バグフィックス)がされました。 詳細は、別記事にしています。 |
||
Arturo O’Farrill | リリースの名称に由来するジャズミュージシャン
|
|||
推奨要件 | WordPress 6.0を動作させるためには、 以下のサーバー要件を推奨。 PHP 7.4 以上 MySQL 5.7 以上、またはMariaDB 10.3 以上 HTTPS 対応 |
5.9 ブランチ
Ver | リリース | 5.9 ブランチ 内容 | |
---|---|---|---|
5.9.9 | 24/02/03 | Maintenance | |
5.9.8 | 23/10/13 | Maintenance | |
5.9.7 | 23/07/07 | Maintenance | |
5.9.6 | 23/05/16 | Maintenance | |
5.9.5 | 22/12/20 | Maintenance | |
5.9.4 | 22/10/07 | Maintenance | |
5.9.3 | 22/04/06 | このメンテナンスリリースでは、
9つのコア関するバグ修正と、 10のブロックエディタに関するバグ修正が含まれています。 詳細は、Blogで |
|
5.9.2 | 22/03/18 更新 22/03/11 |
このセキュリティおよびメンテナンスリリースでは、
3つのセキュリティ修正に加え、1つのバグ修正が含まれています。 このリリースはセキュリティリリースですので、 直ちにサイトを更新することをお勧めします。 WordPress 3.7※ 以降のすべてのバージョンが更新対象です。 今回のリリースでは、 プロトタイプ汚染※の脆弱性2件、 クロスサイトスクリプティング(XSS)の脆弱性1件の、 計3件の脆弱性が修正されている。 ※.攻撃者がJavaScriptオブジェクトのプロトタイプを書き換えることで、 情報を盗んだり、オブジェクトの振る舞いを変更したりする プロトタイプ汚染攻撃を受ける脆弱性。 22/03/11 14:00現在 5.9.2以外では、以下が利用可能です。 5.3ブランチまでの修正バージョン 5.8.4 5.7.6 5.6.8 5.5.9 5.4.10 5.3.12 —————————————— 5.2から4.1までのブランチで以下の修正バージョンが 22/03/11付けで追加された。 5.2.15 5.1.13 5.0.16 4.9.20 4.8.19 4.7.23 4.6.23 4.5.26 4.4.27 4.3.28 4.2.32 4.1.35 |
|
5.9.1 | 22/02/23 日本時間 |
メンテナンス リリース
コアとブロックエディタの両方で82のバグ修正 5.9.1リリース候補1には、Coreの33のバグ修正と、 BlockEditorの52のバグ修正が含まれていました。 ギャラリーの編集ページで写真の順番を入れ替えられないバグなどの解消か? 詳細は別途記載 ➡ WordPress 5.9.1 メンテナンスリリース 85件の修正 |
|
5.9 | 22/01/26 日本時間 |
メジャー バージョンアップ | |
もっとも大きな目玉機能は、FSE
フルサイト編集(Full Site Editing)です。 機能追加は、 「パターンエクスプローラー」 「ブロックパターンディレクトリ」 「リスト表示」 「スタイルインターフェース」 「ナビゲーションブロック」 「テンプレートパーツフォーカスモード」 「各ブロックに新しいオプションが追加されています。」 「ログイン画面での言語切り替え」 機能改善 「遅延読み込みの改善」Lazy Load 画像の遅延読み込み:WordPress 5.5から導入され、 iframeの遅延読み込み:WordPress 5.7から導入されました。 WordPress 5.9では、 ページ内の最初の画像またはiframeが遅延読み込みされません。 | |||
Joséphine | リリースの名称に由来するジャズミュージシャン
|
||
推奨要件 | WordPress 5.9を動作させるためには、 以下のサーバー要件を推奨。 PHP 7.4 以上 MySQL 5.6 以上、またはMariaDB 10.1 以上 Nginx あるいは Apache |
5.8 ブランチ
Ver | リリース | リリースノート:内容・バージョン推移 |
---|---|---|
5.8.4 | 22/03/11 | セキュリティアップデート |
5.8.3 | 22/01/06 日本時間 22/01/07 06:45 |
セキュリティアップデート4件
セキュリティアップデートの為、早急なアップデートを!
尚、アップデートは、 「WordPress 5.2」以降のバージョンに対しても提供されている 該当ブランチのWordPressの更新も 4つのセキュリティ問題が3.7から5.8までのWord Pressバージョンに影響します。 但し、今回サポートされたWord Pressのブランチは、 5.8、5.7、5.6、5.5、5.4、5.3、5.2まで(22/01/06現在)です。 これら以下のブランチは早急にバージョンアップすることをお薦めします。 (何故なら、これは、Word Pressの広い範囲(3.7以降全て)の脆弱性問題だからです。) |
5.8.2 | 21/11/11
21/11/27 修正版 |
セキュリティアップデート1件 + 2件のバグに対処
セキュリティアップデートの為、直ちにサイトを更新することをお勧めします
「WordPress 5.2」以降のバージョンに対しても提供している為、 該当ブランチのWordPressの更新も必須 WordPress.org からダウンロード、または、「ダッシュボード」→「更新」にアクセスして「今すぐ更新」をクリックしてください。 自動バックグラウンド更新がサポートされているサイトでは、すでに更新プロセスが開始されています。 |
5.8.1 | 21/09/09 | セキュリティアップデート3件 + 60件のバグに対処
セキュリティアップデートの為、早急なアップデートが望ましい
「WordPress 5.2」以降のバージョンに対しても提供している為、 該当ブランチのWordPressの更新も必須 最新 Update 2021年11月4日 |
5.8 | 21/07/21
日本時間 08:00 |
メジャーバージョン アップ
概要
|
リリースの名称に由来するジャズミュージシャン:
アート・テイタム : Art Tatum ジャズ ピアニスト
|
5.7ブランチ
Ver | リリース | リリースノート:内容・バージョン推移 |
---|---|---|
5.7.6 | 22/03/11 | セキュリティアップデート |
5.7.5 | 22/01/06 | セキュリティアップデート4件
セキュリティアップデートの為、早急なアップデートを!
4つのセキュリティ問題が3.7から5.8までのWord Pressバージョンに影響します。 |
5.7.4 | 21/11/11 | セキュリティ& メンテナンスアップデート 5.8.2を参照 |
5.7.3 | 21/09/09 | セキュリティアップデート 5.8.1を参照 |
5.7.2 | 21/05/13 | セキュリティ&メンテナンス・リリース
1件の修正を含んだセキュリティリリース バージョン 3.7 から 5.7 にかけての全バージョンの WordPress に影響するセキュリティ問題が確認されました。 [深刻度: 緊急/重要] ※.ただし、今回サポートされたのは、 4.1ブランチ以降(4.1ブランチの場合は、4.1.33)で、 4.0ブランチまでの古いWordPressには対応がありません。 WordPress 5.7.2 Security & Maintenance 「サポート終了」が意味すること サポートが外されると、そのブランチでの新機能のテストが行われなくなり、 更に例え脆弱性が発見されたとしても、対応されず、最適な動作が保証されなくなります。 この記事の表でもお伝えしている様に、 古いブランチを使い続けていたり、バージョンアップがあったブランチでも、 バージョンアップせずそのまま、使い続けているサイトも少なくありません。 つまり、放置されたWordPressのサイトは、 それらのブランチのユーザ・サイトオーナーにとって脆弱性があったら危険であり、 バグがあったり、動作しなくなったりする可能性が高いということです。 また、古いブランチの最新バージョンへのバージョンアップを行っていたとしても 安心とは言い切れません、 なぜなら、WordPress本体だけでなく、WordPressサイトをサポートする プラグインや、言語(phpやJavaスクリプト)、データベース(MySQLやMariaDB)の 最新版への移行(バージョンアップ)が困難になるからです。 例えば、WordPress.orgからダウンロードして使える最新版のプラグインは、 古いブランチのWordPressでは、動作しなかったり・不具合を起こす可能性が高いからです。 PHPMailer におけるオブジェクトインジェクション。 CVE-2020-36326 ならびに CVE-2018-19296。 wp-admin/about.php wp-includes/PHPMailer/PHPMailer.php SQLインジェクションが外部からSQL文を注入する攻撃であるのと同じように、 オブジェクトインジェクションとは外部からオブジェクトを注入する攻撃です。 外部からオブジェクトを注入できれば、 そのオブジェクトの機能によりさまざまな攻撃ができる可能性があります。 最悪の場合、任意のコードを実行できる脆弱性になります。 PHPの場合、この |