2021/05/13 [深刻度: 緊急/重要]で
WordPressのセキュリティ&メンテナンスの緊急リリースがありました。
1件の修正を含んだセキュリティリリース
PHPMailer におけるオブジェクトインジェクション※。
対象は、WordPress 3.7から5.7.1までの広範囲に渡ります。
CVE-2020-36326 ならびに CVE-2018-19296。
- wp-admin/about.php
- wp-includes/PHPMailer/PHPMailer.php
今回は、
WordPress.org
「バージョン 3.7 から 5.7 にかけての全バージョンの
WordPress に影響するセキュリティ問題が確認されました。」
ということで、かなり古いブランチまで言及がありました。
※.ただし、今回サポートされたのは、
4.1ブランチ以降(4.1ブランチの場合は、4.1.33)で、
4.0ブランチまでの古いWordPressには対応がありません。
WordPressは、複数のチームで、複数のブランチ(系)で、同時並行的に開発・保守が行われている珍しい形のブログ発祥のCMSです。
同時並行的にメンテナンスの必要性が発生(脆弱性対応)したりする為、運用も多大な労力を要しています。またオープンソース(GPL/フリー)であるため、徐々に古いブランチからサポートの打ち切りが順次行われています。
あなたは、古いブランチでも、
最新のバージョンにして行けばと、お思い・安心ですか?
いいえ、それは、違います。
4.9ブランチと5.0ブランチの間には大きな壁(仕様変更による自動バージョンアップができない)がありますが、
できるだけ、新しいブランチの最新バージョンにして行く(これからも)ことをお勧めします。
2021/5/20時点の最新ブランチは、5.7で、
最新バージョンは、今回2021/05/13の5.7.2です。
あなたがもし、5.0ブランチより古いものをお使いであれば、
最低でも、4.9ブランチ(2017/11/17)の最新バージョン4.9.18(2021/05/13)までバージョンアップすることです。
なぜ、バージョンアップ が、必要かをこれから
あなたに、お伝えしていきたいと思います。
「サポート終了」が意味すること
「サポート終了」が意味すること
サポートが外されると、そのブランチでの新機能のテストが行われなくなり、
更に、例え脆弱性が発見されたとしても、対応されず、最適な動作が保証されなくなります。
バージョンアップを放置
バージョンアップを放置すると?
この記事の表でもお伝えしている様に、
古いブランチを使い続けていたり、
バージョンアップがあったブランチでも、
バージョンアップせずそのまま、使い続けているサイトも少なくありません。
つまり、放置されたWordPressのサイトは、
それらのブランチのユーザ・サイトオーナーにとって脆弱性があったら危険であり、
バグがあったり、動作しなくなったりする可能性が高いということです。
最悪のパターンは、
脆弱性につけ入れられ、改ざんなどをされることです。
改ざんだけで済まされないことだって、あったのです。
サイト閉鎖から、廃業まで
バージョンアップすれば安心か?
バージョンアップすれば安心か?
古いブランチの最新バージョンへのバージョンアップを行っていたとしても
安心とは言い切れません、
なぜなら、WordPress本体だけでなく、WordPressサイトをサポートする
プラグイン※や、言語※(phpやJavaスクリプト)、データベース※(MySQLやMariaDB)の
最新版への移行(バージョンアップ)が困難になるからです。
あなたが、古いブランチを使っているのなら、最新版のブランチの最新バージョンへの移行をお勧めします(WordPressサイトは、作ったきりにするものではありません。
※. プラグイン:WordPrtessの機能を補完したり、機能を拡張するために追加するプログラムの一種。(セキュリティ対策や、投稿支援、運用支援など。おすすめプラグインはここからどうぞ!)
※. 言語やデータベースは、サイト運営の為のホスティング(多くの場合、レンタルサーバ)側での対応となり、
サイトの保守契約(ホームページ制作会社などとの契約)をしていない限り、
サイトオーナーであるあなたの責任において行わなければなりません。
しかし、多くのサイトは、制作時のままの状態※で、記事(コンテンツ)の投稿は続けていても、サイトのバージョンアップ(WordPress、プラグイン、言語、データベース)が行われていません。
(これは、ホームページ制作会社がサイト保守の必要性をしっかりあなたに説明してこなかった事の責任でもあります。)
※. 「WordPress 脆弱性とバージョン推移」に数多く記載
なぜ、最新版のプラグインが使えない場合があるのか?
プラグインもWordPress本体と同じ言語(php)やJavaで作られたものも多く、php※自体のバージョンアップで、仕様変更でコマンド形態(文法)が変わって、従来の古い形態のコマンドが使えなくなってしまうこともあるからです。
※.php:オープンソースの汎用プログラミング言語およびその公式の処理系、特にサーバサイドで動的なウェブページを作成するための機能を多く備えている
古いブランチのWordPress本体の開発で使われているphpのバージョンと、
プラグインの開発で使われているphpのバージョンの
不一致が、不具合を起こす原因の1つなるからです。
例えば、
WordPress.orgからダウンロードして使える最新版のプラグインは、
古いブランチのWordPressでは、
動作しなかったり・不具合を起こす可能性が高いからです。
WordPrtess最新ブランチの5.7で推奨環境
WordPressを実行するには、
以下のホスティング環境を推奨「動作要件」2021/03/10現在
- PHP 7.4 以上
- MySQL 5.6 以上、または MariaDB 10.1 以上
- Nginx または mod_rewrite モジュールありの Apache
- HTTPS 対応
WordPress 5.2 より動作環境変更(2019/05/07)
オブジェクトインジェクション
SQLインジェクションが外部からSQL文を注入する攻撃であるのと同じように、
オブジェクトインジェクションとは外部からオブジェクトを注入する攻撃です。
外部からオブジェクトを注入できれば、
そのオブジェクトの機能によりさまざまな攻撃ができる可能性があります。
最悪の場合、任意のコードを実行できる脆弱性です。
コメント