WordPressバージョン5の功績とバージョンアップの必要性と実効性、実行性について、ホームページ制作会社のジレンマ、WordPress5で起こりうる問題、WordPress5そのものの不具合、更新されていないプラグインやテーマの不具合、WordPressのセキュリティリリースの多さから分かることなどの切り口からお伝えします。
(2019/04/11現在、 リリースのページ では、 「 積極的に保守されている5.1系統の最新版以外の以下のバージョンは、安全に使用することはできません。 」と明確に宣言しています。出典: WordPress.org)
※. WordPressの「脆弱性とバージョン推移 」 は、文末に記載しています。
今回はWordPress5とその影響ついてお伝えして行きたいと思います。
By 横浜の 登録セキュリティプレゼンター
5.3ブランチになってブロックエディタが大幅に改善
Update-2020/02
Update-2019/08/29
WordPress、バージョン5.0以下で複数の脆弱性。対策バージョンは今のところ5.0.1のみ
バージョン3.7-5.0で複数の脆弱性。
①投稿者が権限のないファイルを削除できるよう、メタデータを変更できてしまう脆弱性。
②投稿者が特別に細工された入力を使うことで、権限のない投稿タイプの投稿を作成できてしまう脆弱性。
③貢献者が PHP オブジェクトインジェクションをもたらす方法でメタデータを細工できてしまう脆弱性。
④クロスサイトスクリプティングの脆弱性につながり得る、より高い権限を持つユーザーからの新規コメントを貢献者が編集できてしまう脆弱性。
⑤特別に細工された URL の入力がクロスサイトスクリプティングの脆弱性を発生させる可能性があります。WordPress 自体は影響を受けませんでしたが、プラグインは場合によっては影響を受ける可能性があります。
⑥メールアドレスや、稀なケースではデフォルトの生成パスワードの漏洩につながり得る、ユーザー有効化画面が珍しい設定で検索エンジンにインデックスされてしまう脆弱性。
⑦クロスサイトスクリプティングの脆弱性につながり得る、Apache でホストされたサイトの投稿者が、MIME 検証をバイパスする、特別に細工されたファイルをアップロードできてしまう脆弱性。
実行性と実効性
✅ バージョン5.0以降への実行性は、現時点では新規にサイトを作る場合(他のCMS(コンテンツを管理運営する仕組み)からの移行によるリニューアルを含む)以外は、かなり少なめになると思えます(その理由は、いくつか考えられます。)
✅ もう一つの実効性については、賛否があるとは思いますが筆者はそれほど高くはないと考えています。
WordPressのバージョン5の最大の変更であるブロックの採用は、
WordPressが斬新な考えで初めて取り入れたというわけではなく、
concrete5がその前身のconcrete CMSで2003年に既に実現しているものです。
✅ 従って、実行性にもかかわることですが、WordPressのバージョン5への移行はそれほど進まないものと思います。
(4.9系統とそれ以前からの移行が容易でない・サイトオーナーのメリットが少ないなど)
✅ 唯一考えられるとしたら、4.9ブランチ以前へのセキュリティホール(脆弱性)への対応がどの様に行われるかによってかも知れません。
WordPres.orgによると最新版以外の積極的なメンテナンスは行わないとのことですから
ブログ投稿をウェブマーケティングの手段としてオウンドメディアを運用されている方やホームページの運営に関心の高い人は別としてウェブサイトのCMS(コンテンツ マネジメント システム)のアップデートはそれほどの関心ごとでは、ないでしょう。
CMSがなんなのか?をご存知でもなく、そもそもホームページが何によってつくられているか?など、ホームページ制作会社じゃああるまいし、専門家の領域だと思っておられ、全くの対象外であって・歯牙にもかけていない状態かも知れません。
でも、もしご自分のサイト(ホームページなど)が、WordPressで作られていたら? 少しと言うか、今後おおきな問題になってきます・課題を解決しない限り。 課題と言うのは、WordPress(ワードプレス)の最新バージョンに対応(バージョンアップ)することです。
☑ ご自分のサイトは「自動バージョンアップ設定」をしている。
☑ あるいは保守契約をしていて「ホームページ制作会社に任せているから」と、
安心しているのなら、
いいえ・それは違いますとお伝えしたいのです。
メジャーバージョンの5.0へは、自動バージョンアップ設定でもバージョンアップされません
ホームページ制作会社のジレンマ
WordPress.org では最新バージョン以外は、「積極的にサポートしない」として、常に最新バージョンへのアップデートを呼び掛けています。
今回、大幅な変更となったバージョン5は機能面・運用面において大きな改革でありチャンスです。
しかし、ホームページ制作会社にとってジレンマであって、まさにその状況は、囚人のジレンマと言えるものです。
☑ なぜなら、過去に開発してきたバ―ジョンと、上位・下位互換性がないからです。
(一部エディターなどは追加インストールで使用できますが、期間限定でいずれ新エディターに切り替えなければなりません)
☑ WordPressのお客様に、バージョンアップをお薦めするにも
☒ 過去に契約した自動バージョンアップがなされない理由の説明をうまくできない。
☒ バージョンアップをお薦めするにも、お客様のベネフィットをうまく説明できない。
(費用に見合うメリットを提示できない)
☒ ホームページ制作会社としての見極め(見極める材料・根拠)が少ない
(4.9以前のテーマ・プラグインなどについて、バージョン5にすることへの影響の把握)
☒ そもそも有料保守契約を提案していないし、契約していない
など。バージョンアップを提案したくてもできないジレンマがあるのです。
脆弱性対策意識の低さ ➡ セキュリティ意識が必要・驚愕のWordPressサイト
WordPress 5そのものの不具合
✅ WordPressは、 5.0で2018/12/6大幅な改定がなされました。まだ発見されていない不具合や脆弱性は潜在していると考える方が妥当だと思います。
(既に、マイナーバージョンが5.0.1、5.0.2、5.0.3と進んでいっていることからも明らかです。)
WordPressは2003年5月以来、15年以上も経過し、
現在では 世界のウェブサイトの3分の1(33%)で運営されて人気を誇っています。
日本では81%超がWordPressを使って作られています
(出典:W3Techs)2019/01/29現在、下図
コメント