【2024年11月版】All-in-One WP Migration and Backupのバージョンと脆弱性情報

皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。

本記事はAll-in-One WP Migration and Backupのバージョンと脆弱性への対応状況について、2024年11月6日に改訂したものです。

All-in-One WP Migration and Backupは、WordPressサイトのコンテンツデータを別のWordPressに移行するためのプラグインであり、ServMask社によって開発・サポートされています。

WordPressのPlugin Directoryの統計情報によると、アクティブインストールは500万以上、総ダウンロード数1億3千330万回以上を計測しており、世界でも有名なプラグインの一つと言ってよいでしょう。
Web制作会社である当社も、WordPressサイトの制作・保守管理の際には、よく使用させていただいております。

一方で、人気が高いほど攻撃対象になるリスクもあるため、脆弱性への適切な対応が重要になります。

この記事では、企業のWeb担当の皆様に向けて、All-in-One WP Migration and Backupの概要並びに、脆弱性及びその対応状況をご紹介することで、All-in-One WP Migration and Backup自体については安心して使用していただけるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

All-in-One WP Migration and Backupとは

前述の通り、All-in-One WP Migration and Backupは、ServMask社が開発・サポートを継続している、オープンソースのWordPress向けプラグインです。

All-in-One WP Migration and Backupは、WordPressのデータベース、メディアファイル、テーマ、プラグインを含むサイト全体をワンクリックでエクスポートでき、別のWordPressサイトへインポートすることができます。

技術的な知識が少なくても、簡単に操作できることが特長です。

All-in-One WP Migration and Backupを使用するケース

All-in-One WP Migration and Backupは以下のようなケースで利用されます。

WordPressサイトの移行 サーバーを変更する場合に、サイト全体を別のWordPress環境へ移行するために利用されます。
無料版は中小規模サイトの移行に適しています。
バックアップの作成 サイトのバックアップを作成し、ローカル環境に保存できます。
これは、テーマやプラグインのアップデート時に問題が発生した場合に、サイトを復元するためのバックアップとして利用可能です。
本番環境への反映 ディべロップ環境(開発環境)やステージング環境(テスト環境)にて開発・更新したものを、本番環境に反映する際にも利用されます。
テスト環境の実装 ステージング環境が存在しないWordPressサイトの保守管理を行う際に、本番環境の複製し、ディべロップ環境やステージング環境を構築するのに利用されます。

All-in-One WP Migration and Backupの制限と有料アドオンについて

All-in-One WP Migration and Backup(無料版)には以下のような制限がある点に注意が必要です。

インポートファイルのサイズ制限 無料版のAll-in-One WP Migration and Backupでは、インポートできるファイルのサイズに512MBの制限があります。
この制限は、比較的小規模なサイトには問題になりませんが、コンテンツが大量に含まれている大規模なサイトの場合にはファイルサイズが512MBを超えることがあり、無料版では対応できない場合があります。
このような場合、All-in-One WP Migration Unlimited Extensionという有料アドオン(月額5.75ドル)を購入することで、インポートできるファイルサイズを無制限にすることができます。
参考:Unlimited Extension公式サイト
参考:Unlimited Extension User Guide
マルチサイト非対応 無料版のAll-in-One WP Migration and Backupでは、WordPressのマルチサイト機能に対応していません。
WordPressのマルチサイトを運営している場合、All-in-One WP Migration Multisite Extensionという有料アドオン(月額26.58ドル、年払い)を購入することで、マルチサイトでも利用することができるようになります。
参考:Multisite Extension公式サイト

開発・アップデートの継続

前述のように、人気の高いプラグイン(ダウンロード数が多いプラグイン)は、攻撃のターゲットとして狙われやすいという側面があります。

当社では、WordPress自体は非常に堅牢なCMSであり、バージョンアップをしっかりと行えば大きな侵入のリスクは少ないと考えています。
実際に、WordPress本体(コア)の脆弱性の数はプラグインやテーマに比べて少なく、特に最近では緊急レベルの脆弱性報告は減少しています。
※詳細は、当社が公表しているWordPressの脆弱性情報一覧を参照してください。

一方で、膨大な数のプラグインやアドオンが存在し、それらの脆弱性を狙った攻撃が増加しています。
※「20 WordPress Statistics You Should Know in 2023」によれば、WordPressに関連する脆弱性の約90%はプラグインに、6%はテーマに、残りの4%はWordPressコアに起因しているとのことです。

そのため、All-in-One WP Migration and Backupのように定期的にアップデートされ、脆弱性が迅速に修正されることは、セキュリティ対策の観点から非常に重要です。
実際、All-in-One WP Migration and Backupにおいても、いくつかの脆弱性がこれまでに報告されていますが、ServMask社はこれらの報告を迅速に受け入れ、修正アップデートを提供しています

当社では、脆弱性に対する対応が遅い、もしくは対応しないプラグインは、クライアントに推奨していません。

All-in-One WP Migration and Backupのバージョン情報に関するポイント

All-in-One WP Migration and Backupは、2つの数字の組み合わせによる独自のバージョニングを使用しています。
公式サイトに直接的な記載はありませんが、この記事では、左側の数字を「メジャーバージョン」、右側の数字を「マイナーバージョン」と呼ぶこととします。

2024年11月6日 現在、All-in-One WP Migration and Backupの最新バージョンは7.87であり、 WordPress6.7 までテストされています。

通常のオープンソースソフトウェアでは、公式のサポート(新機能の追加、不具合の改修、セキュリティパッチの提供)は最新マイナーバージョンのみを対象としており、All-in-One WP Migration and Backupでも同様の対応が行われていると考えられます。

パフォーマンス向上およびセキュリティ対策の観点から、常に最新のマイナーバージョンへのアップデートを推奨いたします。

All-in-One WP Migration and Backupのバージョン情報

2024年11月日現在での、All-in-One WP Migration and Backupのバージョン情報は次の通りです。

バージョン リリース日 サポート期限 修正された脆弱性
7.87 2024年10月14日 サポート中 CVE-2024-9162
CVE-2024-8852
7.86 2024年8月12日 2024年10月14日
7.63 2022年8月15日 2022年8月25日 CVE-2022-2546
7.59 2022年4月27日 2022年5月23日 CVE-2022-1476
7.41 2021年4月16日 2021年4月26日 CVE-2021-24216

※上記の内容は、WordPress公式開発ログの情報を正として、バージョン7.86までを掲載しています。また、それ以前のバージョンについては、下記脆弱性が修正されたバージョンを追記しています。
※バージョン7.86未満には既知の脆弱性が存在するため、グレーにしています。

All-in-One WP Migration and Backupの脆弱性情報

All-in-One WP Migration and Backupの最新バージョンは7.87であり、当社が把握している全ての脆弱性に修正対応済みとなっています。

また、All-in-One WP Migration and Backup 7.86以下のバージョンをご使用の場合には、既知の脆弱性が存在する可能性がありますので、最新バージョンへとアップデートをしてください

なお、All-in-One WP Migration and Backup自体に関する脆弱性情報で、当社が把握しているものは次の通りです。

脆弱性情報 深刻度 影響を受けるバージョン 修正されたバージョン
CVE-2024-9162
CVE-2024-9162 Detail
CVSS v3
7.2 (重要)
All-in-One WP Migration and Backup 7.86までのバージョン All-in-One WP Migration and Backup 7.87
CVE-2024-8852
JVNDB-2024-011167
CVSS v3
5.3 (警告)
All-in-One WP Migration and Backup 7.86までのバージョン All-in-One WP Migration and Backup 7.87
CVE-2022-2546
JVNDB-2022-012711
CVSS v3
4.7 (警告)
All-in-One WP Migration and Backup 7.62までのバージョン All-in-One WP Migration and Backup 7.63
CVE-2022-1476
JVNDB-2022-011447
CVSS v3
6.5 (警告)
All-in-One WP Migration and Backup 7.58までのバージョン All-in-One WP Migration and Backup 7.59
CVE-2021-24216
JVNDB-2021-018858
CVSS v3
7.2 (重要)
All-in-One WP Migration and Backup 7.40までのバージョン All-in-One WP Migration and Backup 7.41

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しており、その他の情報については、JVN iPediaなどでご確認ください。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulnerability Database(以下「NVD」)に準拠しています。
※本記事における脆弱性情報は、All-in-One WP Migration and Backupに関するものを掲載しています。CVE-2023-40004のように、アドオンに関するものについては掲載しておりません。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。

All-in-One WP Migration and Backupのバージョンアップを継続する体制について

前述のように、All-in-One WP Migration and Backupは世界的に有名なプラグインであり、Web制作の現場でWordPressを利用する場合には、よくお世話になるプラグインです。

しかしながら、All-in-One WP Migration and Backup自体のバージョンアップをしようと思っても、WordPressやPHPのバージョンアップが必要であったり、サーバーの設定が複雑であるなどの問題に直面することもあるかと思います。

taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、All-in-One WP Migration and BackupとWordPressはもちろんのこと、PHP、MySQL、MariaDB、各種サーバーについてもノウハウを有しています。

※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。

All-in-One WP Migration and Backupを使用したWebサイト制作やアップデートを含む保守管理に関しては、こちらのお問合せよりお気軽にご相談ください。

この記事を書いた存在
ちほうタイガー

taneCREATIVEに所属する謎のトラ。