WordPress 脆弱性とバージョン推移 v.6.4.3

WordPress WordPress
Security
記事内に広告が含まれています。
WordPress
Security

WordPress 脆弱性とバージョン推移

WordPress 6.4.3  LastUpdate:2024/01/31
Written:2019/08/28

Thank you for reading this post, don't forget to subscribe!
PR広告

WordPress 6.4.3

WordPressは、積極的に保守されている
6.n系統の最新版以外の以下のバージョンは、安全に使用することはできません。

6.n系統と書いたのには理由があります(WordPress.org公式サイトで推移)

クリックWordPress.orgでの最新情報を見ることができます

WordPressは、世界中のWebサイトの33%以上、日本では82%以上と異常なまでの人気を誇っています。(2019/06時点、全CMS利用の60%以上を占めています)

2017年の月から月にかけて、
全世界155万超WordPressサイト改ざんされるという
セキュリティ事故がありました。

(これは、バージョン4.74.7.1のAPIの脆弱性が狙われました)

以降も常に脆弱性が発見され攻撃され続けています。
WordPressは、 脆弱性が見つかる都度バージョンアップを繰り返しています。

積極的な
保守(バージョンアップ)作業を欠かすことはできません


WordPressの特徴的な1つとして、
機能アップのためのバージョンアップより、
脆弱性不都合(バグ)に対応する為のバージョンアップ
セキュリティメンテナンス)の方が遥かに多いのです。

PR広告

あなたのホームページ大丈夫?

 筆者は、バージョン 5.2.1、テーマCocoon
WordPress Site運用を再開しました

今後、WordPress関連は、このサイトに記載(移行)して行きます。

 ここのサイトのメインテーマは
セキュリティ対策で、Pluginでの対策・他をお伝えしています。

 また、WordPress脆弱性バージョン推移をお伝えしています。

.別途Mainサイトをconcrete5(Concrete CMS)で運用しています。

WordPress
Security

管理画面に入ることなく最新バージョンを知る

WordPressの最新バージョン確認

Site Guard WP Pluginのお勧め

WordPress、プラグイン、テーマのバージョンアップをメールで知らせる

WordPressは、積極的に保守されている6.n系統の最新版以外の以下のバージョンは、安全に使用することはできません。

あなたのホームページのWordPressは大丈夫でしょうか?

あなたのサイトが、何で作られているか?お知りになりたい場合は、
URLを付けて、お問合せください。

3D立体マスク

予定

最新 6.4 .3

 Update:2024/01/31
Ver リリース 6.4 ブランチ 内容
6.4.3 24/01/31 Security & Maintenance Release
このマイナーリリースでは、Core の 5 つのバグ修正 と
ブロックエディタの16個のバグ修正 および
2つのセキュリティ修正が含まれています。
6.4.2 23/12/07Maintenance & Security Release
このリリースには、セキュリティ修正も 1 つ含まれています。
これはセキュリティ リリースであるため、サイトをすぐに更新することをお勧めします。
このマイナーリリースでは、Core の 7 つのバグ修正が行われています。
この修正には、スタイルシートとテーマのディレクトリが誤った結果を返すことがある原因となる問題のバグ修正が含まれています。  

6.4.1 23/11/09緊急リリース
機能修正 ➡ WordPress6.4.1

6.4 23/11/08 メジャーバージョン アップ
  • 管理画面の変更(「新規追加」リンクの目的が明確に表示)
  • 新規インストールの環境で添付ファイルページが無効に
  • ブロックエディターの変更(画像ブロックにLightbox機能追加)
  • リストビューに画像プレビューが表示されるように
  • グループブロックに名前を付けられるように
  • グループブロックに背景画像を設定できるように
  • ソーシャルリンクアイコンに「X」と「Threads」が追加
  • パターンの変更点(カテゴリーで管理できるように)
  • インサーターにフィルターの追加
  • [ブロックテーマ] パターンのエクスポート・インポートが可能に

WordPress 6.4 ➡ 詳細はここをクリックしてください
Shirley リリースの名称に由来するジャズミュージシャン
(Shirley Horn)
アメリカのジャズ歌手にしてピアニストであるシャーリー・ホーン
彼女は、マイルス・デイヴィス、ディジー・ガレスピー、トゥーツ・シールマンス、ロン・カーター、カーメン・マクレエ、ウィントン・マルサリスなど、
多くのジャズ・ミュージシャンとコラボレーションを行った。
彼女は、ほとんど比べる者がいないほどの独創性、
歌いながらピアノを弾く能力。
アレンジャーのジョニー・マンデルが「2つの頭を持っているような」と表現した
何か、豊かで瑞々しい声、煙のようなコントラルトによって最も有名であった。

出典:Wikipedia

6.3ブランチ

Ver リリース 6.3 ブランチ 内容
6.3.324/02/03Maintenance
6.3.2 23/10/13 システムコアに関する19件のバグ修正、
ブロックエディタに関する22件のバグ修正、
8件のセキュリティ修正に関するアップデート
WordPress 6.3.2
6.3.1 23/08/30 Maintenance Release
コアの4つのバグ修正と、ブロックエディタの6つのバグ修正
6.3 23/08/09 メジャーバージョン アップ
WordPress 6.3 ➡ 詳細はここをクリックしてください
このリリースは、デザイナー、クリエイター、開発者の
クリエイティブな表現に新たな可能性を開きます。
パワフルなツールと洗練されたコントロールは、
ユーザーに自信を与え、サイト管理を容易にします。
Lionel リリースの名称に由来するジャズミュージシャン
Lionel Hampton「ライオネル」は、
著名なアメリカ人ジャズアーティスト、
ライオネル・ハンプトンにちなんで名付けられました。
多作なジャズヴィブラフォン奏者、ピアニスト、パーカッショニストである
偉大なミュージシャンたちとハーモニーを奏で、
その名を冠したライオネル・ハンプトン・オーケストラのバンドリーダーとして有名になりました。

出典:https://ja.wordpress.org/category/releases/

6.2ブランチ

Ver リリース 6.2 ブランチ 内容
6.2.424/02/03Maintenance
6.2.323/11/07Maintenance
6.2.2
6.2.1
23/05/20
23/05/17
メンテナンスとセキュリティのリリース
複数のセキュリティ問題に対応
・ユーザー生成データ内のショートコードを解析するテーマをブロックします。
・添付ファイルのサムネイルを更新する際の CSRF の問題。
 CSRF:クロスサイトリクエストフォージェリ (cross-site request forgeries)は、 Webアプリケーションの脆弱性の一つ、もしくはそれを利用した攻撃。
 またはXSRF:リクエスト強要、セッションライディング (session riding) とも呼ばれます。
・オープン埋め込み自動検出を介して XSS を許可する欠陥。
・ 権限の低いユーザーのブロック属性での KSES サニタイズをバイパスします。
WordPress 6.2.2 & 6.2.1 Security & Maintenance release
6.2 23/03/30 メジャーバージョン アップ
WordPress 6.2
Dolphy リリースの名称に由来するジャズミュージシャン

エリック・ドルフィー(Eric Allan Dolphy, Jr.)は、アメリカ合衆国のジャズ・ミュージシャン。
マルチ・リード奏者として、卓越した技巧と特異なアドリブ・フレーズを持ち、それまで主にクラシック音楽界で使用されていたバス・クラリネットをジャズの独奏楽器として用い、後のジャズ奏者に多大な影響を与えた。
演奏にはおもにバス・クラリネット、アルト・サックス、フルートを用いたが、クラリネットやピッコロも演奏した。
その独特な音楽観から、時にフリー・ジャズに分類されることもあるが、基本的には音楽理論に則りアドリブを展開していくスタイルである。


出典: フリー百科事典『ウィキペディア(Wikipedia)

6.1 ブランチ

Ver リリース 6.1 ブランチ 内容
6.1.524/02/03Maintenance
6.1.423/10/13Maintenance
6.1.3
6.1.2
23/05/20
23/05/17
メンテナンスとセキュリティのリリース
複数のセキュリティ問題に対応
・ユーザー生成データ内のショートコードを解析するテーマをブロックします。
・添付ファイルのサムネイルを更新する際の CSRF の問題。
 CSRF:クロスサイトリクエストフォージェリ (cross-site request forgeries)は、 Webアプリケーションの脆弱性の一つ、もしくはそれを利用した攻撃。
 またはXSRF:リクエスト強要、セッションライディング (session riding) とも呼ばれます。
・オープン埋め込み自動検出を介して XSS を許可する欠陥。
・ 権限の低いユーザーのブロック属性での KSES サニタイズをバイパスします。
6.1.1 22/11/16 メンテナンス リリース
WordPress 6.1.1
このリリースは、コアの 28 件のバグ修正と
ブロック エディタの18 件のバグ修正があります。
WordPress
➡  WordPress 6.1.1 詳細
6.1 22/11/02 メジャーバージョン アップ
WordPress 6.1

WordPress 6.1 では多種多様な改善が行われました。

詳細は、別記事にしています。
Mikhail Alperin リリースの名称に由来するジャズミュージシャン

ミシャ・アルペリン
Mikhail Alperinはピアニスト、
ミハイル・ジェフィモヴィッチ・アルペリン
(ウクライナ語: Миха́йло Юхи́мович Альпе́рін; 1956 年 11 月 7 日 – 2018 年 5 月 11 日) は、
モスクワ アート トリオの主要メンバーとして知られる、ソビエトとノルウェーのジャズピアニストでした。

引用元:出典: フリー百科事典『ウィキペディア(Wikipedia)(英語版)
推奨要件 WordPress 6を動作させるためには、
以下のサーバー要件を推奨。
PHP 7.4 以上(※)
MySQL 5.7 以上、またはMariaDB 10.3 以上
HTTPS 対応

6.0 ブランチ

Ver リリース 6.0 ブランチ 内容
6.0.624/02/03Maintenance
6.0.523/10/13Maintenance
6.0.423/07/07Maintenance
6.0.3 22/10/18 これはセキュリティ リリースであるため、サイトをすぐに更新することをお勧めします。
WordPress Security Update ver.6.0.3
XSSの問題9個、他CSRFSQLインジェクションの問題など、
合わせて16個の問題に対処
6.0.2 22/08/30 これはセキュリティ リリースであるため、サイトをすぐに更新することをお勧めします。
WordPress 6.0.2 セキュリティとメンテナンスのリリース

・3 つのセキュリティ修正
・・・FVD リンク API 内で可能な SQL インジェクション
・・・プラグイン画面でXSSの脆弱性
・・・the_meta()内の出力エスケープの問題

・Core で 12 のバグ修正
・ブロック エディタの 5 つのバグ修正
6.0.1 22/07/13 コアの13件のバグ修正と
ブロックエディターのための18件のバグ修正
ショートサイクルのメンテナンスリリース
WordPress 6.0.1 WP 6.0 バグの解消
[カテゴリーの記事数カウントがPCとスマホで異なっている] ➡ 6.0.1で解消
(モバイルでは、投稿のないカテゴリーが、0件で表示されるwp6の不具合)
Arturo O’Farrill
6.0 22/05/25
日本時間
メジャーバージョン アップ
WordPress 6.0 では多種多様な改善が行われました。
500以上の機能拡張と400以上の修正(バグフィックス)がされました。
詳細は、別記事にしています。
Arturo O’Farrill リリースの名称に由来するジャズミュージシャン

アルトゥーロ・オファリル
Arturo O’Farrillはジャズミュージシャンで、
ラテンのジャズミュージシャンの息子であり、
アレンジャーでバンドリーダーのChico O’Farrillであり、
ピアニスト、作曲家、
アフロラテンジャズオーケストラのディレクターでもあります。

引用元:出典: フリー百科事典『ウィキペディア(Wikipedia)(英語版)
推奨要件 WordPress 6.0を動作させるためには、
以下のサーバー要件を推奨。
PHP 7.4 以上
MySQL 5.7 以上、またはMariaDB 10.3 以上
HTTPS 対応
5.9ブランチ このbranchの➡最新リリース

5.9 ブランチ 

Verリリース5.9 ブランチ 内容
5.9.924/02/03Maintenance
5.9.823/10/13Maintenance
5.9.723/07/07Maintenance
5.9.623/05/16Maintenance
5.9.522/12/20Maintenance
5.9.422/10/07Maintenance
5.9.322/04/06 このメンテナンスリリースでは、
9つのコア関するバグ修正と、
10のブロックエディタに関するバグ修正が含まれています。
詳細は、Blog
5.9.2 22/03/18
更新
22/03/11
このセキュリティおよびメンテナンスリリースでは、
3つのセキュリティ修正に加え、1つのバグ修正が含まれています。
このリリースはセキュリティリリースですので、
直ちにサイトを更新することをお勧めします。
WordPress 3.7 以降のすべてのバージョンが更新対象です。

今回のリリースでは、
プロトタイプ汚染※脆弱性2件、
クロスサイトスクリプティング(XSS)の脆弱性1件の、
計3件の脆弱性が修正されている。

※.攻撃者がJavaScriptオブジェクトのプロトタイプを書き換えることで、
情報を盗んだり、オブジェクトの振る舞いを変更したりする
プロトタイプ汚染攻撃を受ける脆弱性。

22/03/11 14:00現在
5.9.2以外では、以下が利用可能です。
5.3ブランチまでの修正バージョン
5.8.4 5.7.6 5.6.8 5.5.9 5.4.10 5.3.12
——————————————
5.2から4.1までのブランチで以下の修正バージョンが
22/03/11付けで追加された。
5.2.15 5.1.13 5.0.16 4.9.20 4.8.19 4.7.23
4.6.23 4.5.26 4.4.27 4.3.28 4.2.32 4.1.35
5.9.1 22/02/23
日本時間
メンテナンス リリース
コアとブロックエディタの両方で82のバグ修正
5.9.1リリース候補1には、Coreの33のバグ修正と、
BlockEditorの52のバグ修正が含まれていました。
ギャラリーの編集ページで写真の順番を入れ替えられないバグなどの解消か?
詳細は別途記載 
➡ WordPress 5.9.1 メンテナンスリリース 85件の修正
5.9 22/01/26
日本時間
メジャー バージョンアップ
もっとも大きな目玉機能は、FSE
フルサイト編集(Full Site Editing)です。
機能追加は、
「パターンエクスプローラー」
「ブロックパターンディレクトリ」
「リスト表示」
「スタイルインターフェース」
「ナビゲーションブロック」
「テンプレートパーツフォーカスモード」
「各ブロックに新しいオプションが追加されています。」
「ログイン画面での言語切り替え」
機能改善
「遅延読み込みの改善」Lazy Load
 画像の遅延読み込み:WordPress 5.5から導入され、
 iframeの遅延読み込み:WordPress 5.7から導入されました。
 WordPress 5.9では、
 ページ内の最初画像またはiframeが遅延読み込みされません。
Joséphine リリースの名称に由来するジャズミュージシャン

Joséphine
国際的なジャズ歌手のジョセフィンベーカーにちなんで名付けられた
ジョセフィン・ベイカー(Josephine Baker、
1906年6月3日 – 1975年4月12日)は、
アメリカ・セントルイス出身のジャズ歌手・女優である。
フランス語読みで「ジョゼフィーヌ・バケル」とも呼ばれる。

引用元:出典: フリー百科事典『ウィキペディア(Wikipedia)
推奨要件 WordPress 5.9を動作させるためには、
以下のサーバー要件を推奨。

PHP 7.4 以上
MySQL 5.6 以上、またはMariaDB 10.1 以上
Nginx あるいは Apache
5.8ブランチ このbranchの➡最新リリース

5.8 ブランチ 

Verリリースリリースノート:内容・バージョン推移
5.8.422/03/11セキュリティアップデート
5.8.322/01/06
日本時間
22/01/07
06:45
セキュリティアップデート4件
セキュリティアップデートの為、早急なアップデートを!
  1. XSSの問題(ポストスラッグを介して保存)
  2. オブジェクトインジェクションの問題(一部のマルチサイトインストールで)
  3. WP_QueryのSQLインジェクションの脆弱性
  4. WP_Meta_QueryのSQLインジェクションの脆弱性
詳細は➡ WordPress 5.8.3
尚、アップデートは、
「WordPress 5.2」以降のバージョンに対しても提供されている
該当ブランチのWordPressの更新も
4つのセキュリティ問題が3.7から5.8までのWord Pressバージョンに影響します。
但し、今回サポートされたWord Pressのブランチは、
5.85.75.65.55.45.35.2まで(22/01/06現在)です。
これら以下のブランチは早急にバージョンアップすることをお薦めします。
(何故なら、これは、Word Pressの広い範囲(3.7以降全て)の脆弱性問題だからです。)
5.8.221/11/11
21/11/27
修正版
セキュリティアップデート1件 + 2件のバグに対処
セキュリティアップデートの為、直ちにサイトを更新することをお勧めします
  • #54207 コンポーネント:Security
    (SSL関連)
  • #54129 コンポーネント:Media
  • #54323 コンポーネント:Script Loader
尚、アップデートは、
「WordPress 5.2以降のバージョンに対しても提供している為、
該当ブランチのWordPressの更新も必須
WordPress.org からダウンロード、または、「ダッシュボード」→「更新」にアクセスして「今すぐ更新」をクリックしてください。
自動バックグラウンド更新がサポートされているサイトでは、すでに更新プロセスが開始されています。
5.8.121/09/09 セキュリティアップデート3件 + 60件のバグに対処
セキュリティアップデートの為、早急なアップデートが望ましい
  1. 「REST API」における情報漏洩の脆弱性対応
  2. ブロックエディタにおけるクロスサイトスクリプティング(XSS)の脆弱性対応
  3. セキュリティ修正が行われたライブラリ「Lodash」のアップデート
尚、アップデートは、
「WordPress 5.2」以降のバージョンに対しても提供している為、
該当ブランチのWordPressの更新も必須
最新 Update 2021年11月4日
5.8 21/07/21
日本時間
08:00
メジャーバージョン アップ
概要
  1. ブロックによるウィジェット管理()
  2. 新しいブロックとパターンを使った投稿表示
  3. 投稿テンプレートの編集
  4. ページ構成の概観
  5. ブロックのパターン提案
  6. 画像のスタイルと色付けを追加
  7. theme.json(グローバルスタイルとグローバル設定 API の導入)
  8. WebP(最新画像フォーマット) 対応
  9. 追加ブロックサポート(5.6、5.7から拡張)
  10. IE11 サポートの終了
リリースの名称に由来するジャズミュージシャン:
アート・テイタム : Art Tatum
ジャズ ピアニスト

EArt Tatumは、1909年10月13日(出生名 Arthur Tatum Jr.) オハイオ州トレド出身。
アート・テイタムは、アメリカ合衆国のジャズ・ピアニスト。
超絶技巧を誇り、様々なジャンルのピアニストに影響を与えた。
活動期間 1920年代中期 – 1956年

引用元: フリー百科事典『ウィキペディア(Wikipedia)Tatum
5.7ブランチ このbranchの➡最新リリース

5.7ブランチ 

Verリリースリリースノート:内容・バージョン推移
5.7.622/03/11セキュリティアップデート
5.7.522/01/06 セキュリティアップデート4件
セキュリティアップデートの為、早急なアップデートを!
  1. XSSの問題(ポストスラッグを介して保存)
  2. オブジェクトインジェクションの問題(一部のマルチサイトインストールで)
  3. WP_QueryのSQLインジェクションの脆弱性
  4. WP_Meta_QueryのSQLインジェクションの脆弱性

4つのセキュリティ問題が3.7から5.8までのWord Pressバージョンに影響します。
5.7.421/11/11セキュリティ& メンテナンスアップデート 5.8.2を参照
5.7.321/09/09セキュリティアップデート 5.8.1を参照
5.7.221/05/13セキュリティ&メンテナンス・リリース
1件の修正を含んだセキュリティリリース
バージョン 3.7 から 5.7 にかけての全バージョンの
WordPress に影響するセキュリティ問題が確認されました。
[深刻度: 緊急/重要]

※.ただし、今回サポートされたのは、
4.1ブランチ
以降(4.1ブランチの場合は、4.1.33)で、
4.0ブランチまでの古いWordPressには対応がありません
WordPress 5.7.2 Security & Maintenance

「サポート終了」が意味すること
サポートが外されると、そのブランチでの新機能のテストが行われなくなり、
更に例え脆弱性が発見されたとしても、対応されず、最適な動作が保証されなくなります。

この記事のでもお伝えしている様に
古いブランチを使い続けていたり、バージョンアップがあったブランチでも、
バージョンアップせずそのまま、使い続けているサイトも少なくありません。

つまり、放置されたWordPressのサイトは、
それらのブランチのユーザ・サイトオーナーにとって脆弱性があったら危険であり、
バグがあったり、動作しなくなったりする可能性が高いということです。

また、古いブランチの最新バージョンへのバージョンアップを行っていたとしても
安心とは言い切れません、
なぜなら、WordPress本体だけでなく、WordPressサイトをサポートする
プラグインや、言語(phpやJavaスクリプト)、データベース(MySQLやMariaDB)の
最新版への移行(バージョンアップ)が困難になるからです。
例えば、WordPress.orgからダウンロードして使える最新版のプラグインは、
古いブランチのWordPressでは、動作しなかったり・不具合を起こす可能性が高いからです。

PHPMailer におけるオブジェクトインジェクション
CVE-2020-36326 ならびに CVE-2018-19296。

wp-admin/about.php
wp-includes/PHPMailer/PHPMailer.php

SQLインジェクションが外部からSQL文を注入する攻撃であるのと同じように、
オブジェクトインジェクションとは外部からオブジェクトを注入する攻撃です。
外部からオブジェクトを注入できれば、
そのオブジェクトの機能によりさまざまな攻撃ができる可能性があります。
最悪の場合、任意のコードを実行できる脆弱性になります。

PHPの場合、この攻撃が可能なのは、unserialize()関数を悪用できる場合です。
5.7.1 21/04/15
日本時間
セキュリティ&メンテナンス・リリース
23から31のバグ修正
および
8個のブロックエディタに対する修正
※.詳細が分かり次第、別の記事で詳しくお知らせします。
2点のセキュリティ修正と26点のバグ修正
WordPress 5.7.1 Security & Maintenance Release
5.7  21/03/10
日本時間
メジャーバージョン アップ
5.7ブランチでも様々な改良がなされましたが、1番に上げたいのが
  1. ブロックエディターの改良
  2. インサーター(左のブロック一覧)から
    ドラッグアンドドロップで、直接 設置したい場所に
    ブロックやブロックパターンを置ける様になりました。
    (これは、益々concrete5に似てきました。)
    詳しいことは、5.7に上げたサイトで実施して、
    別の記事でご紹介しています。

    他に、

  3. iframe の遅延読み込みが実現できる
  4. HTTPS へのサイト移行がワンクリックでできる
  5. 管理画面 CSS: 統一感のあるカラーパレット標準
  6. jQuery 3.5.1 へのアップデート後の継続的なクリーンアップ
  7. 新しいロボット API
リリースの名称に由来するジャズミュージシャン:
エスペランサ・スポルディング : Esperanza Spalding
[ジャズ・ベーシスト、歌手]

Esperanza Spaldingは、1984年10月18日 – オレゴン州ポートランド出身
アメリカのマルチ・インストゥルメンタリスト。
主にジャズ・ベーシスト、歌手として知られている。

引用元: フリー百科事典『ウィキペディア(Wikipedia)Esperanza Spalding
推奨要件 WordPressを実行するには、
以下のホスティング環境を推奨「動作要件」2021/03/10現在
  • PHP 7.4 以上
  • MySQL 5.6 以上、または MariaDB 10.1 以上
  • Nginx または mod_rewrite モジュールありの Apache
  • HTTPS 対応
5.6ブランチ このbranchの➡最新リリース

5.6ブランチ 

Ver リリース 脆弱性と対応内容・バージョン推移
5.6.822/03/11セキュリティアップデート
5.6.722/01/06 セキュリティアップデート4件
セキュリティアップデートの為、早急なアップデートを!
  1. XSSの問題(ポストスラッグを介して保存)
  2. オブジェクトインジェクションの問題(一部のマルチサイトインストールで)
  3. WP_QueryのSQLインジェクションの脆弱性
  4. WP_Meta_QueryのSQLインジェクションの脆弱性

4つのセキュリティ問題が3.7から5.8までのWord Pressバージョンに影響します。
5.6.621/11/11セキュリティ& メンテナンスアップデート 5.8.2を参照
5.6.521/09/09セキュリティアップデート 5.8.1を参照
5.6.421/05/13セキュリティ & メンテナンスリリース
5.6.321/04/15メンテナンス・リリース
5.6.2 21/02/23 メンテナンスのリリース
5個バグ修正
5.6.1のリリースから20日
5.6ユーザで、コアアップデート自動の場合は、自動バージョンアップ
5.6.1 21/02/04 メンテナンスのリリース
20個バグ修正
ブロックエディタの7個の問題修正
もしあなたが5.6にアップデートしているなら、
すぐに5.6.1にアップデートすることをお薦めします 。
これらのバグ バージョン 5.6 に影響を与えますので
アップグレードをお勧めします。
詳細は、別途、
別の記事(WordPress5.6.1 Maintenance updates Topics)で掲載します。
私のサイトは、まだ5.5.3なので、
20個のバグ修正とブロックエディタの7個の問題修正の
内容を確認するまで見合わせます。

 ➡テスト&趣味サイトを5.6.1にアップしました。 02/10

尚、WordPress 5.6.1文字サイズ設定が効かない問題が既に発生している様です。
段落ブロックのフォントサイズ設定部分も同様なので、
Editor の問題ではなくコアの問題っぽい
5.6  日本時間
20/12/09
5.6のユーザは、5.6.1アップデートがお勧め
WordPress 5.6は2020年12月8日(日本時間12/9)にリリース予定でした。
予定通りなのですが、

今回(2020/12/09-08:30現在)は自動更新ではありません。

管理画面から更新を選択する前に、「必ずバックアップを取ってください
重要: 更新する前に、データベースとファイルをバックアップしてください。
更新のヘルプが必要な場合は、WordPressの更新のドキュメントページにアクセスしてください。
WordPress 5.6 に更新できます。


WordPress5.6で、
Move To機能によるスタイル崩れ(投稿画面が左によってしまう)の不具合
が生じるため、まだ更新は控えた方がよさそうです。

また、クラッシックエディタを使った場合は、複数の不具合が出ている様です。
(私は使っていませんが)
2021年サポート終了のクラッシックエディタの使用はやめて
早めにブロックエディタに切り替える様に促す為?(なのか?
クラッシックエディタの不具合に対する対応は遅い様です。

WordPress5.6以後、
WordPress本体のメジャーアップデートを自動化できるようになります。

ただ、Gutenberg(フェーズ2)の開発がある程度形になってきたため、
しばらくは大幅な変更が続くと考えられます。

本来は、セキュリティ面からも最新版にアップデートすべき です

自動アップデートはオフのままの方が無難 だと思います。
  • 5.6の目玉機能としては
    • メニューのブロック化
    • コアの自動メジャーアップデート
    • 新デフォルトテーマ
    • フルサイトエディッティング※のベータ導入
    • PHP8のサポート

※.フルサイトエディッティングのベータ導入:
ブロックベーステーマ (実験レベル)
「ブロックベーステーマ」は、
「フルサイトエディティング」(Full Site Editing)、
または「ブロックコンテントエリア」(Block Content Area) とも呼ばれ、
これらの機能はまだプラグインの実験レベルの機能です。

※.今回はアップデート(WordPress 5.6)を見送っています


リリースの名称に由来するジャズミュージシャン
Nina Simone ニーナ・シモン。

ニーナ・シモンは、アメリカ合衆国のアフロアメリカンのジャズ歌手、フォーク、ブルース、R&B、ゴスペル歌手、ピアニスト、公民権活動家、市民運動家である。
本名はユニース・キャスリン・ウェイモン。
スタンダード・ナンバー「悲しき願い」のオリジナル歌手として知られる
出典:フリー百科事典『ウィキペディア(Wikipedia)』

5.5ブランチ このbranchの➡最新リリース

5.5ブランチ 

Ver リリース脆弱性と対応内容・バージョン推移
5.5.922/03/11セキュリティアップデート
5.5.822/01/06 セキュリティアップデート4件
セキュリティアップデートの為、早急なアップデートを!
  1. XSSの問題(ポストスラッグを介して保存)
  2. オブジェクトインジェクションの問題(一部のマルチサイトインストールで)
  3. WP_QueryのSQLインジェクションの脆弱性
  4. WP_Meta_QueryのSQLインジェクションの脆弱性

4つのセキュリティ問題が3.7から5.8までのWord Pressバージョンに影響します。
5.5.721/11/11セキュリティ& メンテナンスアップデート 5.8.2を参照
5.5.621/09/09セキュリティアップデート 5.8.1を参照
5.5.521/05/13セキュリティ&メンテナンスリリース
5.5.421/04/15メンテナンス・リリース
5.5.3 20/10/31 メンテナンスのリリース
1個バグ修正
5.5.2リリースから僅か1日、
別途、別の記事で掲載しています。
5.5.220/10/30 セキュリティメンテナンスのリリース
10個セキュリティ問題がWordPressバージョン5.5に影響します。
バージョン5.5.2でそれらを修正。
もしあなたがまだ5.5までアップデートしていないなら、
5.4以前より、早くアップデートすることをお薦めします 。
14個バグ修正
詳細は、
別途、別の記事で掲載します。
5.5.120/09/02 44個バグ修正
詳細は、英語版のリリースノートの載っています。
別途、日本語訳を別の記事で掲載しています。
5.5 20/08/11

日本時間
20/08/12
5.5ブランチ メジャーバージョン アップ WordPress 5.5 “Eckstine
    ブロックエディタ(Gutenberg)
  • ブロックカテゴリの変更:デフォルトのブロックカテゴリが、
    テキスト」「メディア」「デザイン」「ウィジェット」「埋め込み」に変更されました。
  • ブロックアイコン一部変更: 「見出し」「カバー」「動画
    グループ」「アーカイブ」「カレンダー」「カテゴリ
    最新のコメント」「タグクラウド」の変更
  • ブロックパターンの追加
    ブロックを1つだけ使用するのではなく
    いくつものブロックを組み合わせて使用する為に、
    簡単にブロックを組み合わせたデザイン・レイアウトを
    1クリックで利用できる「ブロックパターン」が用意されました。
    これは、concrete5スタック(stackのほんの一部ですが)と似た機能の様です。
  • 再利用ブロックタブ
    今まではブロック選択する所の一番下にありましたが、
    再利用ブロックタブから探せるようになりました。
  • プレビュー
    公開ページ確認用以外で、 作業用の画面サイズ:
    デスクトップ」(デフォルト)「タブレット」(780px)「モバイル」(360px)を選択できるようになりました。
    これは、テーマCocoonAdmin権限で、既に実現できていたものに近いですね。
  • 画像編集
    画像ブロックで設置した画像をダイレクトに
    アスペクト比、ズームレベル、回転、および位置を調整することができるようになりました。
  • ブロック:コピーアクションの追加
    ブロックのHTMLをコピーできるようになりました。
  • インラインフォーマット
    テキストを下付きや上付きにする新しい書式設定オプションが追加されています。
  • カバーブロック
    テキスト部分の垂直方向と水平方向の配置を調整することができる様になりました。
  • マルチブロックコントロール
    同じタイプの複数のブロックを選択すると、それらの属性を一度に変更できるようになりました。
    これも、Cocoonの「ブロックエディターの複数ブロックをグループブロックを使ってまとめて装飾する方法」に近いですね。
  • ブロックディレクトリ
    ブロック選択画面上で 新しいブロックを検索して その場でインストール すぐ利用できるようになりました。
    プラグインとテーマの自動更新
  • 5.5から プラグインとテーマも自動更新できるようになりました。
    全てのプラグインとテーマが自動更新になるのではなく、
    それぞれ個別に 自動更新する/しない選択できます。
    .デフォルトは「自動更新しない」になっています。
    Lazy Loading(遅延読込)
    画面をスクロールするまで見えてない画像などが必要になるまで、読み込みを遅延させることで、
    無駄な読み込みを抑え、表示(動作)が遅くなるのを防ぎます。
  • 5.5から imgタグとiframeタグに「loading=”lazy”」タグ が自動で追加されます。
    この「loading」とはブラウザ側で遅延ロードをサポートするもので、img要素やiframe要素に対応しています。
    「loading=”lazy”」は、ウェブ標準 となり、
    ブラウザではChoromeEdgeFirefox等がサポートしています。
    .昔の記事で、imgiframeタグが付いている場合でも再編集しなくても良さそうです。
    .既にプラグインJavascript等で設置している場合は、どうするか確認する必要があります。
    テーマ CocoonでもLazy Loadingは、早くから実装済みです。
    私は、Lazy Loadingプラグインは、導入していません。
    コアサイトマップ WordPress標準でサイトマップが作られる様になりました。
  • URLは、「https://ドメイン/wp-sitemap.xml」です。
    .sitemap.xmlでない所に注意してください。
    対象はトップページ投稿ページ固定ページタグカテゴリ
    カスタム投稿タイプカスタム分類著者アーカイブです。
    細かい設定はアクションフィルタで行います。
    .プラグインのようにサイトマップ管理画面はありません
    .サイトマップに登録する情報が URL (locタグ)だけ、
    更新日時を示すlastmodは入りません(changefreq や priority も入りませんが、Google は見ていないので)
    現時点では、このlastmodが入らないことで、
    Google XML Sitemaps」などのプラグインが必要な方もいらっしゃるでしょうネ。
    私は、できるだけプラグインに頼らない運用をしています。
    jQueryバージョンの更新(開発者向け)
  • jQuery変更は影響が大きいですので、段階的な変更になる様です。
  • 5.5 jQuery Migrate(新旧バージョン差異を解決するjQuery)を削除
  • 5.6 jQuery Migrate、jQuery UIの変更(予定)
  • 5.7 jQuery Migrateを削除(予定)
Billy Eckstine ビリー・エクスタイン :リリースの名称に由来するジャズミュージシャン

1914年7月8日生まれ、米・ペンシルヴェニア州ピッツバーグ出身のジャズ・ヴォーカリスト。
本名はウィリアム・クラレンス・エクスタイン。“ミスターB”の愛称で親しまれたバリトン歌手手として著名。
ハワード大学在学中にタレント・コンテストに優勝し、ナイトクラブで歌い始める。
アール・ハインズ楽団の専属歌手として活躍すると、44年に自身のバンドを結成。
チャーリー・パーカーディジー・ガレスピーマイルス・デイヴィスデクスター・ゴードンアート・ブレイキーらと
共にその後のモダン・ジャズに大きな影響を与え、ビーバップ・スタイルの歌を広めることに成功。
出典:TOWER RECORDS ONLINE

5.4ブランチ このbranchの➡最新リリース

5.4ブランチ 

Ver リリース脆弱性と対応内容・バージョン推移
5.4.1022/03/11セキュリティアップデート
5.4.922/01/06 セキュリティアップデート4件
セキュリティアップデートの為、早急なアップデートを!
  1. XSSの問題(ポストスラッグを介して保存)
  2. オブジェクトインジェクションの問題(一部のマルチサイトインストールで)
  3. WP_QueryのSQLインジェクションの脆弱性
  4. WP_Meta_QueryのSQLインジェクションの脆弱性

4つのセキュリティ問題が3.7から5.8までのWord Pressバージョンに影響します。
5.4.821/11/11セキュリティ& メンテナンスアップデート 5.8.2を参照
5.4.721/09/09セキュリティアップデート 5.8.1を参照
5.4.621/05/13セキュリティ&メンテナンスリリース
5.4.521/04/15メンテナンス・リリース
5.4.4 20/10/31 メンテナンスリリース(1個の修正)
5.4.3 20/10/30 セキュリティ(10個の問題点)&メンテナンスリリース(14の修正)
5.5.2のセキュリティ対策の項を参照
5.4.2 20/06/10 セキュリティ(6つの問題点)&メンテナンスリリース(23の修正)
  これはセキュリティリリースであるため、
 すぐにサイトを更新することをお勧めします。
    セキュリティ(6つの問題点対応)
  1. 権限の低い認証済みユーザがブロックエディタの投稿で
    JavaScriptを追加できるXSS問題
  2. アップロード権限を持つユーザがメディアファイルに
    JavaScriptを追加できるXSS問題
  3. wp_validate_redirect()オープンリダイレクトの問題
  4. テーマアップロードで認証済みXSSの問題
  5. セットスクリーンオプション(set-screen-option)が
    プラグインによって悪用されて権限昇格されうる問題
  6. 特定の条件下で、パスワード保護された
    投稿やページのコメントが表示されうる問題
※.4.1ブランチ:version 4.1.31まで対応2020/06/11公開)
5.4.1と5.3.3で投稿がアーカイブと判断される問題の解消は、
5.4.2と5.3.4
5.4.1 20/04/29 WordPress 5.4.1 このセキュリティおよびメンテナンスリリースには、
7つのセキュリティ修正(Version5以降は8つ)に加えて17のバグ修正が含まれています。
(※.4.1ブランチ:version4.1.30まで対応公開)
1. パスワードリセットトークンが適切に無効化されない問題。
2. 特定の非公開の投稿が認証されずに表示される可能性がある問題。
3. カスタマイザーでXSSの問題
4. 検索ブロックでXSSの問題
5. wp-object-cacheでXSSの問題
6. ファイルのアップロードでXSSの問題
7. WordPressカスタマイザの保存されたXSS脆弱性

8. ブロックエディタの認証されたXSSの問題は、WordPress 5以降。
5.420/03/315.4ブランチ メジャーバージョン アップ
ブロックを使って、よりリッチに、速く、簡単に構築。
2つの新しいブロック(「ソーシャルアイコン」と「(複数追加可能な) ボタン」)追加。そしてあらゆるブロックの改善。
    ブロックエディター関連
  • ウェルカムメッセージがリニューアル
  • 「編集モード」と「選択モード」の切り替えが可能
  • エディターの左下で現在編集中のブロックまでの構造が表示される
  • フルスクリーン表示がデフォルトで有効に
  • ソーシャルアイコンブロックが追加
  • インラインのテキストカラーを自由に変更できる
  • グループブロックでテキスト色が設定できる
  • カラムブロックで文字色・背景色が設定できる
  • ボタンブロックの変更点
  • カバーブロックでもグラデーションが可能に
  • グラデーション API(背景色のグラデーション追加)
  • 表ブロックにキャプションが追加できる
  • メディアと文章ブロックの画像部分がリンク化できる
  • 画像の入れ替えボタンがテキスト表示になった
  • スマホで見た時、ブロックツールバー上部に固定される
Nat Adderley:ナット・アダレイは、トランペット奏者
(本名Nathaniel Adderley。アメリカ合衆国のジャズ・コルネット奏者。
ファンキー・ジャズを代表する奏者の一人。
キャノンボール・アダレイという愛称で有名なサックス奏者。
ウィキペディア
5.3ブランチ このbranchの➡最新リリース

5.3ブランチ 

Verリリース脆弱性と対応内容・バージョン推移
5.3.1222/03/30セキュリティアップデート
5.3.1122/01/06 セキュリティアップデート4件
セキュリティアップデートの為、早急なアップデートを!
  1. XSSの問題(ポストスラッグを介して保存)
  2. オブジェクトインジェクションの問題(一部のマルチサイトインストールで)
  3. WP_QueryのSQLインジェクションの脆弱性
  4. WP_Meta_QueryのSQLインジェクションの脆弱性

4つのセキュリティ問題が3.7から5.8までのWord Pressバージョンに影響します。
5.3.1021/11/11セキュリティ& メンテナンスアップデート 5.8.2を参照
5.3.921/09/11メンテナンス
5.3.821/09/09セキュリティアップデート 5.8.1を参照
5.3.721/04/15メンテナンス・リリース
5.3.6