- SERVICE
Webサイト・CMSの保守管理・運用
- WORKS
- ABOUT US
- NEWS & COLUMN
- RECRUIT
皆さんこんにちは。taneCREATIVEの「ちほうタイガー」です。
この記事は2024年11月21日に執筆しています。
今回はUpdraftPlusのバージョンと脆弱性への対応状況についてまとめてみたいと思います。
UpdraftPlusは、WordPressのバックアップ管理に特化したプラグインであり、Updraft WP Software社によって開発・サポートされています。
WordPressのPlugin Directoryの統計情報によると、アクティブインストールは300万以上、総ダウンロード数は1億2980万回以上を計測しており、世界的にも人気があるプラグインの一つと言ってよいでしょう。
一方で、人気が高いほど攻撃対象になるリスクもあるため、脆弱性への適切な対応が重要になります。
実際にUpdraftPlusの脆弱性は過去見つかっており、Updraft WP Software社によって迅速に対応されています。
この記事では、企業のWeb担当の皆様に向けて、UpdraftPlusの概要並びに、脆弱性及びその対応状況をご紹介することで、UpdraftPlus自体については安心して使用していただけるようにしたいと思います。
少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。
前述の通り、UpdraftPlusは、Updraft WP Software社が開発・サポートを継続している、オープンソースのWordPress向けプラグインです。
UpdraftPlusは、WordPressのバックアップ管理に特化したプラグインで、WordPressサイトのデータを安全に保存・復元するために広く利用されています。
当社はBackWPupの方を選択する傾向にありますが、BackWPupはサイトを復元する際にFTPやデータベースを操作するなど多少のスキルが必要であるのに対し、UpdraftPlusはWordPressの管理画面で復元を実行できることから、手軽にバックアップを取りたい場合にはUpdraftPlusが選択されることも多いと思います。
データベースバックアップ | WordPressのデータベース内に格納されている、記事、管理画面の設定、ユーザー情報、コメント、プラグイン設定情報などをエクスポートし、バックアップを作成することができます。 |
サーバーバックアップ | サーバー内に格納されている画像、テーマ、プラグイン、アップロードファイルなどをエクスポートし、バックアップを作成することができます。ただし、無料版だと、WordPressのコアファイルは含まれません。 |
外部ストレージとの連携 | Dropbox, GoogleDrive、S3, FTPなどの外部ストレージサービスにバックアップデータを保存できます。 |
自動バックアップ | バックアップを自動化し、定期的にバックアップを実行します。 ただし、無料版ではWordPressのWP-Cron(擬似的なスケジューリングシステム)に依存するため、細かい時間指定はできません。 |
復元機能 | WordPressの管理画面から、簡単にサイトを復元することができます。 |
前述のように、世界的に人気のあるプラグイン(ダウンロード数が多いプラグイン)は、攻撃のターゲットとして狙われやすいという側面があります。
当社では、WordPress自体は非常に堅牢なCMSであり、バージョンアップをしっかりと行えば大きな侵入のリスクは少ないと考えています。
実際に、WordPress本体(コア)の脆弱性の数はプラグインやテーマに比べて少なく、特に最近では緊急レベルの脆弱性報告は減少しています。
※詳細は、当社が公表しているWordPressの脆弱性情報一覧を参照してください。
一方で、膨大な数のプラグインやアドオンが存在し、それらの脆弱性を狙った攻撃が増加しています。
特に有名なプラグインは、多くのユーザーに利用されているため、脆弱性が発見された場合、そのプラグインを狙った攻撃が集中する可能性があります。
※「20 WordPress Statistics You Should Know in 2023」によれば、WordPressに関連する脆弱性の約90%はプラグインに、6%はテーマに、残りの4%はWordPressコアに起因しているとのことです。
特に、UpdraftPlusのようなダウンロード数の多いプラグインは、多くのユーザーに利用されているため狙われやすい傾向にあります。
そのため、当社では、脆弱性に対する対応が遅い、もしくは対応しないプラグインは、クライアントに推奨していません。
UpdraftPlusは定期的にアップデートされ、脆弱性が迅速に修正されているため、問題ないと考えております。
公式サイトに直接的な記載はありませんが、UpdraftPlusは、通常のセマンティックバージョニングに準拠し、左からメジャーバージョン、マイナーバージョン、パッチバージョンの3つの数字で構成されています。
2024年11月21日現在、UpdraftPlusの最新バージョンは1.24.11であり、WordPress6.7までテストされています。
通常のオープンソースソフトウェアでは、公式のサポート(新機能の追加、不具合の改修、セキュリティパッチの提供)は最新パッチバージョンのみを対象としており、UpdraftPlusでも同様の対応が行われていると考えられます。
バージョン1.23.10以下には既知の脆弱性が存在する可能性がありますので、最新のパッチバージョンへのアップデートを実施してください。
特に、バージョン1.23.2以下をご使用の場合には、重大な脆弱性が存在する可能性がありますので、最新のパッチバージョンへのアップデートを強く推奨いたします。
2024年11月21日現在での、UpdraftPlusのバージョン情報は次の通りです。
バージョン | リリース日 | サポート期限 | 修正された脆弱性 |
1.24.11 | 2024年11月15日 | サポート中 | - |
1.24.10 | 2024年11月15日 | 2024年11月15日 | - |
1.24.9 | 2024年11月14日 | 2024年11月15日 | - |
1.24.8 | 2024年11月13日 | 2024年11月14日 | - |
1.24.7 | 2024年11月4日 | 2024年11月13日 | - |
1.24.6 | 2024年9月26日 | 2024年11月4日 | - |
1.24.5 | 2024年9月24日 | 2024年9月26日 | - |
1.24.4 | 2024年7月3日 | 2024年9月24日 | - |
1.24.3 | 2024年4月30日 | 2024年7月3日 | - |
1.24.2 | 2024年3月26日 | 2024年4月30日 | - |
1.24.1 | 2024年2月22日 | 2024年3月26日 | - |
1.23.16 | 2023年12月23日 | 2024年2月22日 | - |
1.23.15 | 2023年12月23日 | 2023年12月23日 | - |
1.23.13 | 2023年11月23日 | 2023年12月23日 | - |
1.23.12 | 2023年11月8日 | 2023年11月23日 | - |
1.23.11 | 2023年11月6日 | 2023年11月8日 | CVE-2023-5982 |
1.23.10 | 2023年9月4日 | 2023年11月6日 | - |
1.23.4 | 2023年5月16日 | 2023年6月20日 | CVE-2023-32960 |
1.23.3 | 2023年3月16日 | 2023年5月16日 | Wordfence |
1.23.1 | 2023年3月8日 | 2023年3月15日 | Wordfence |
1.22.9 | 2022年3月10日 | 2022年3月11日 | CVE-2022-0864 |
1.22.3 | 2022年2月16日 | 2022年2月17日 | CVE-2022-0633 |
1.16.69 | 2021年12月29日 | 2022年1月14日 | CVE-2021-25089 |
1.16.66 | 2021年11月29日 | 2021年12月27日 | CVE-2021-25022 |
1.16.59 | 2021年7月16日 | 2021年8月19日 | CVE-2021-24423 Wordfence |
1.13.15 | 2017年11月28日 | 2017年12月7日 | CVE-2017-16871 CVE-2017-16870 |
1.13.5 | 2017年8月8日 | 2017年9月5日 | CVE-2017-18593 |
1.9.64 | 2015年4月20日 | 2015年5月12日 | CVE-2015-9360 Wordfence |
1.9.51 | 2015年2月3日 | 2015年2月24日 | Wordfence |
※上記の内容は、WordPress公式サイトの開発ログの情報を正として、バージョン1.23.10までを掲載しています。また、それ以前のバージョンについては、下記脆弱性が修正されたバージョンを追記しています。
※バージョン1.23.10以下には既知の脆弱性が存在するため、グレーにしています。
UpdraftPlusの最新バージョンは1.24.11であり、当社が把握している全ての脆弱性に修正対応済みとなっています。
また、バージョン1.23.10以下には既知の脆弱性が存在する可能性がありますので、最新のパッチバージョンへのアップデートを実施してください。
特に、バージョン1.23.2以下をご使用の場合には、重大な脆弱性が存在する可能性がありますので、最新のパッチバージョンへのアップデートを強く推奨いたします。
なお、UpdraftPlus自体に関する脆弱性情報で、当社が把握しているものは次の通りです。
脆弱性情報 | 深刻度 | 影響を受けるバージョン | 修正されたバージョン |
CVE-2023-32960 JVNDB-2023-010526 |
CVSS v3 6.1 (警告) |
UpdraftPlus 1.23.3までのバージョン | UpdraftPlus 1.23.4 |
CVE-2023-5982 JVNDB-2023-016849 |
CVSS v3 5.4 (警告) |
UpdraftPlus 1.23.10までのバージョン | UpdraftPlus 1.23.11 |
Wordfence | CVSS v3 8.8 (重要) |
UpdraftPlus 1.22.14から1.23.2までのバージョン | UpdraftPlus 1.23.3 |
Wordfence | CVSS v3 5.3 (警告) |
UpdraftPlus 1.22.24までのバージョン | UpdraftPlus 1.23.1 |
CVE-2022-0864 JVNDB-2022-009178 |
CVSS v3 6.1 (警告) |
UpdraftPlus 1.22.8までのバージョン | UpdraftPlus 1.22.9 |
CVE-2022-0633 JVNDB-2022-005395 |
CVSS v3 6.5 (警告) |
UpdraftPlus 1.22.2までのバージョン | UpdraftPlus 1.22.3 |
CVE-2021-25089 JVNDB-2021-018264 |
CVSS v3 6.1 (警告) |
UpdraftPlus 1.16.68までのバージョン | UpdraftPlus 1.16.69 |
CVE-2021-25022 JVNDB-2021-017233 |
CVSS v3 6.1 (警告) |
UpdraftPlus 1.16.65までのバージョン | UpdraftPlus 1.16.66 |
CVE-2021-24423 JVNDB-2021-017956 |
CVSS v3 4.8 (警告) |
UpdraftPlus 1.16.56までのバージョン | UpdraftPlus 1.16.59 |
Wordfence | CVSS v3 7.2 (重要) |
UpdraftPlus 1.16.56までのバージョン | UpdraftPlus 1.16.59 |
CVE-2017-18593 JVNDB-2017-014742 |
CVSS v3 6.1 (警告) |
UpdraftPlus 1.13.4までのバージョン | UpdraftPlus 1.13.5 |
CVE-2017-16871 JVNDB-2017-010266 |
CVSS v3 8.1 (重要) |
UpdraftPlus 1.13.12までのバージョン | UpdraftPlus 1.13.15 |
CVE-2017-16870 JVNDB-2017-010265 |
CVSS v3 8.1 (重要) |
UpdraftPlus 1.13.12までのバージョン | UpdraftPlus 1.13.15 |
CVE-2015-9360 JVNDB-2015-008302 |
CVSS v3 6.1 (警告) |
UpdraftPlus 1.9.63までのバージョン | UpdraftPlus 1.9.64 |
Wordfence | CVSS v3 9.9 (緊急) |
UpdraftPlus 1.9.50までのバージョン | UpdraftPlus 1.9.51 |
Wordfence | CVSS v3 6.1 (警告) |
UpdraftPlus 1.9.63までのバージョン | UpdraftPlus 1.9.64 |
※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and
Exposures(本記事では「CVE」とします)の順序に従って掲載しています。ただし、CVEの番号が採番されていない脆弱性情報については、Wordfenceの情報へのリンクを掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいていますが、CVSS v3が採用される以前の脆弱性情報についてはCVSS v2に基づいています。
※本記事では、CVSS v3ないしCVSS v2にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しています。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational
Vulnerability Database(以下「NVD」)に準拠していますが、NVDにてスコアリングされていない場合には、Wordfenceのスコアに準拠しています。
※CVE-2023-26530については、JVNではUpdraftPlus.Comのupdraftの脆弱性であると記載されていますが、CVEの情報によればベンダーはPaul
Kehrerであり、別のプラグインであると判断しております。
※こちらのWordfenceによる脆弱税情報では、影響を受けるバージョンが1.9.6.3まで、修正バージョンが1.9.6.4と記載されていますが、開発ログで確認したところ、それぞれ1.9.63、1.9.64のことであると判断しております。
※本記事における脆弱性情報は、UpdraftPlus無料版に関するもので、UpdraftPlus有料版に関する情報は掲載しておりません。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずJVN、NVD、Wordfenceなどの情報を確認されたうえで、自己責任でご利用ください。
前述のように、UpdraftPlusは人気のあるプラグインであり、Web制作の現場でWordPressを利用する場合には、よくお世話になるプラグインです。
しかしながら、UpdraftPlus自体のバージョンアップをしようと思っても、WordPressやPHPのバージョンアップが必要であったり、設定が複雑であるなどの問題に直面することもあるかと思います。
taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、UpdraftPlusとWordPressはもちろんのこと、PHP、MySQL、MariaDB、各種サーバーについてもノウハウを有しています。
※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。
UpdraftPlusを使用したWebサイト制作やアップデートを含む保守管理に関しては、こちらのお問合せよりお気軽にご相談ください。
taneCREATIVEに所属する謎のトラ。