- SERVICE
Webサイト・CMSの保守管理・運用
- WORKS
- ABOUT US
- NEWS & COLUMN
- RECRUIT
皆さんこんにちは。taneCREATIVEの「ちほうタイガー」です。
この記事は2024年9月26日に執筆しています。
今回はWordPress本体の脆弱性情報一覧を公開してみたいと思います。
WordPressはウェブサイトやブログを作成、管理するためのオープンソースのCMS(コンテンツ・マネジメント・システム)です。
このWordPressは世界で最も利用されているCMSであり、W3Techsによれば、世界中のWebサイトの約43.4%がWordPressで構築されているとのことです。
一方で、世界で最も利用されているCMSであるからこそ、その脆弱性をついたサイバー攻撃の標的になりやすいという特徴も有しています。
近年、特に2013年以降におけるWordPressの脆弱性は、テーマやプラグインに関するものが多くを占めていますが、WordPress本体(コア)に関する脆弱性への対応が重要であることは変わりません。
そこで、この記事ではWordPress本体(コア)の脆弱性情報をまとめることで、企業のWeb担当者の皆様が、ご使用になられているWordPressの脆弱性を簡単に把握できるようにしたいと思います。
少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。
WordPressの最新バージョンは6.6系統(Dorseyドーシー)です。
あまり知られていませんが、WordPressのセキュリティサポートは最新バージョンのみとなります。
2024年9月26日現在、最新バージョンは6.6.2 (2024年9月10日リリース)ですので、6.6.1以下の公式サポートは終了していることになります。
とはいえ、WordPressは実際には古いバージョンに対するセキュリティアップデートも可能な範囲で提供していることから、最新バージョンではないからセキュリティサポートが無いということではありません。
各バージョンとサポート状況については、「WordPressのバージョン情報とサポート期限」をご確認ください。
WordPress本体(コア)6.0以上に関する脆弱性については、CVSS v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分される脆弱性情報を掲載します。
WordPress本体(コア)4.1以上6.0未満に関する脆弱性については、CVSS v3にて緊急(9.0~10.0)に区分される脆弱性情報のみを掲載します。
脆弱性情報 | 深刻度 | 影響を受けるバージョン | 修正されたバージョン |
CVSS v3 6.4 (警告) |
WordPress 6.5.4まで | WordPress 6.5.5 | |
CVSS v3 7.2 (重要) |
WordPress 6.5.0から6.5.1まで WordPress 6.4.0から6.4.3まで WordPress 6.3.0から6.3.3まで WordPress 6.2.0から6.2.4まで WordPress 6.1.0から6.1.5まで WordPress 6.0.0から6.0.7まで |
WordPress 6.5.2 WordPress 6.4.4 WordPress 6.3.4 WordPress 6.2.5 WordPress 6.1.6 WordPress 6.0.8 |
|
CVSS v3 5.4 (警告) |
WordPress 6.3.0から6.3.1まで WordPress 6.2.0から6.2.2まで WordPress 6.1.0から6.1.3まで WordPress 6.0.0から6.0.5まで WordPress 5.9.0から5.9.7まで |
WordPress 6.3.2 WordPress 6.2.3 WordPress 6.1.4 WordPress 6.0.6 WordPress 5.9.8 |
|
CVSS v3 6.1 (警告) |
WordPress 6.2.0まで | WordPress 6.2.1 | |
CVSS v3 9.8(緊急) |
WordPress 5.7まで | WordPress 5.8 | |
CVSS v3 9.1 (緊急) |
WordPress 5.5.1まで | WordPress 5.5.2 | |
CVSS v3 9.8 (緊急) |
WordPress 5.5.1まで | WordPress 5.5.2 | |
CVSS v3 9.8 (緊急) |
WordPress 5.5.1まで | WordPress 5.5.2 | |
CVSS v3 9.8 (緊急) |
WordPress 5.5.1まで | WordPress 5.5.2 | |
CVSS v3 9.8 (緊急) |
WordPress 5.5.1まで | WordPress 5.5.2 | |
CVSS v3 9.8 (緊急) |
WordPress 5.3.0まで | WordPress 5.3.1 | |
CVSS v3 9.8 (緊急) |
WordPress 5.2.3まで | WordPress 5.2.4 | |
CVSS v3 9.8 (緊急) |
WordPress 5.2.3まで | WordPress 5.2.4 | |
CVSS v3 9.8 (緊急) |
WordPress 5.0.0 WordPress 4.9.8まで |
WordPress 5.0.1 WordPress 4.9.9 |
|
CVSS v3 9.8 (緊急) |
WordPress 4.8.2まで | WordPress 4.8.3 | |
CVSS v3 9.8 (緊急) |
WordPress 4.8.1まで | WordPress 4.8.2 | |
CVSS v3 9.8 (緊急) |
WordPress 4.7.1まで | WordPress 4.7.2 |
※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。前述の掲載ルール外の脆弱性情報については、JVN iPediaなどでご確認ください。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulunerability Database(以下「NVD」)に準拠しています。
※CVEで採番されていない脆弱性情報や、CVEで採番されていてもNVDで深刻度が割り振られていない脆弱性情報については掲載していません。
※原則としてJVNのページを正としていますが、JVNに掲載されていない情報などについてはNVDのサイトを参照しています。
※本記事における脆弱性情報は、当社が把握している情報の一部であり、全ての脆弱性情報を網羅できているわけではありません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。
まず、WordPressで構築されたWebサイトの動作テストを行うための環境を構築し、同環境内で各種バージョンアップ業務と不具合の解決を実施していきます。
WordPressサイトが適切に管理されている場合には、いわゆるステージング環境(テスト環境)が用意されていることが多いため、通常はこちらを利用します。
もしステージング環境が存在しない場合には、このステージング環境の構築からスタートします。
また、運用方針によってはステージング環境とは別にディベロップ環境を構築し、そちらでバージョンアップ業務をテストしていくこともあります。
いずれにせよ、トラブル時に元の状態に戻せるようにバックアップをしっかりと保管しておく必要があります。
次に、ミドルウェアであるPHPのバージョンアップを実施します。
WordPressはPHPというプログラム言語で開発されており、PHPのバージョンが一定以下だと最新のWordPressが正常に挙動しないということが起こりえます。
また、PHP自体に脆弱性が見つかるため、セキュリティ対策の面でもPHPのバージョンアップを実施する必要があります。
PHPの脆弱性情報については、下記ページを参照してください。
・PHP8.xの脆弱性情報一覧
・PHP7.4の脆弱性情報一覧
・PHP7.3の脆弱性情報一覧
・PHP7.2の脆弱性情報一覧
・PHP7.1の脆弱性情報一覧
・PHP7.0の脆弱性情報一覧
・PHP5.6の脆弱性情報一覧
さらに、近年のPHPはバージョンが新しくなればなるほど処理速度が速くなるように開発が進められています。
WordPressで構築されたWebサイトの表示速度を向上させるためにも、PHPのバージョンアップは重要になります。
WordPress本体はPHPで開発されているため、PHPのバージョンアップはWordPress本体に影響を与えますし、テーマやプラグインはWordPress上で動作するため、WordPress本体のバージョンアップはテーマやプラグインに影響を与えます。
その為、PHP、WordPress本体、テーマ、プラグインのバージョンアップを依存関係の基礎となる側から順次実施していき、不具合を見つけては一つずつ地道にこれを解消していく必要があります。
以上のバージョンアップ作業を実施した後、本番環境に反映させます。
本番環境に反映後も、挙動テストを実施します。
前述のように、WordPressはPHPをはじめとするミドルウェア(MySQLやApache)や、WordPress上で動作するテーマやプラグインとの依存関係に留意しながら、バージョンアップを行う必要があります。
また、Web制作会社はいわゆるWebアプリケーション側(WebサイトやCMS等)を専門としていますので、WordPressについては得意な会社が多いと思いますが、PHPを含めたミドルウェアについては対応されていない会社も多いと思います。
taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されています。
特に、WordPressの適切なバージョンアップについては、専門チームも有しており、豊富な実績を有します。
※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを 構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。
ミドルウェアも含めたWordPressバージョンアップに対応できるWeb制作会社をお探しの場合には、お気軽に当社にお問い合わせください。
taneCREATIVEに所属する謎のトラ。