【2024年11月版】UpdraftPlusのバージョンと脆弱性情報

皆さんこんにちは。taneCREATIVEの「ちほうタイガー」です。
この記事は2024年11月21日に執筆しています。

今回はUpdraftPlusのバージョンと脆弱性への対応状況についてまとめてみたいと思います。

UpdraftPlusは、WordPressのバックアップ管理に特化したプラグインであり、Updraft WP Software社によって開発・サポートされています。

WordPressのPlugin Directoryの統計情報によると、アクティブインストールは300万以上、総ダウンロード数は1億2980万回以上を計測しており、世界的にも人気があるプラグインの一つと言ってよいでしょう。

一方で、人気が高いほど攻撃対象になるリスクもあるため、脆弱性への適切な対応が重要になります。
実際にUpdraftPlusの脆弱性は過去見つかっており、Updraft WP Software社によって迅速に対応されています。

この記事では、企業のWeb担当の皆様に向けて、UpdraftPlusの概要並びに、脆弱性及びその対応状況をご紹介することで、UpdraftPlus自体については安心して使用していただけるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

UpdraftPlusとは

前述の通り、UpdraftPlusは、Updraft WP Software社が開発・サポートを継続している、オープンソースのWordPress向けプラグインです。

UpdraftPlusは、WordPressのバックアップ管理に特化したプラグインで、WordPressサイトのデータを安全に保存・復元するために広く利用されています。

当社はBackWPupの方を選択する傾向にありますが、BackWPupはサイトを復元する際にFTPやデータベースを操作するなど多少のスキルが必要であるのに対し、UpdraftPlusはWordPressの管理画面で復元を実行できることから、手軽にバックアップを取りたい場合にはUpdraftPlusが選択されることも多いと思います。

UpdraftPlusの主な機能

データベースバックアップ WordPressのデータベース内に格納されている、記事、管理画面の設定、ユーザー情報、コメント、プラグイン設定情報などをエクスポートし、バックアップを作成することができます。
サーバーバックアップ サーバー内に格納されている画像、テーマ、プラグイン、アップロードファイルなどをエクスポートし、バックアップを作成することができます。ただし、無料版だと、WordPressのコアファイルは含まれません。
外部ストレージとの連携 Dropbox, GoogleDrive、S3, FTPなどの外部ストレージサービスにバックアップデータを保存できます。
自動バックアップ バックアップを自動化し、定期的にバックアップを実行します。
ただし、無料版ではWordPressのWP-Cron(擬似的なスケジューリングシステム)に依存するため、細かい時間指定はできません。
復元機能 WordPressの管理画面から、簡単にサイトを復元することができます。

開発・アップデートの継続

前述のように、世界的に人気のあるプラグイン(ダウンロード数が多いプラグイン)は、攻撃のターゲットとして狙われやすいという側面があります。

当社では、WordPress自体は非常に堅牢なCMSであり、バージョンアップをしっかりと行えば大きな侵入のリスクは少ないと考えています。
実際に、WordPress本体(コア)の脆弱性の数はプラグインやテーマに比べて少なく、特に最近では緊急レベルの脆弱性報告は減少しています。
※詳細は、当社が公表しているWordPressの脆弱性情報一覧を参照してください。

一方で、膨大な数のプラグインやアドオンが存在し、それらの脆弱性を狙った攻撃が増加しています。
特に有名なプラグインは、多くのユーザーに利用されているため、脆弱性が発見された場合、そのプラグインを狙った攻撃が集中する可能性があります。
※「20 WordPress Statistics You Should Know in 2023」によれば、WordPressに関連する脆弱性の約90%はプラグインに、6%はテーマに、残りの4%はWordPressコアに起因しているとのことです。

特に、UpdraftPlusのようなダウンロード数の多いプラグインは、多くのユーザーに利用されているため狙われやすい傾向にあります。
そのため、当社では、脆弱性に対する対応が遅い、もしくは対応しないプラグインは、クライアントに推奨していません。

UpdraftPlusは定期的にアップデートされ、脆弱性が迅速に修正されているため、問題ないと考えております。

UpdraftPlusのバージョン情報に関するポイント

公式サイトに直接的な記載はありませんが、UpdraftPlusは、通常のセマンティックバージョニングに準拠し、左からメジャーバージョン、マイナーバージョン、パッチバージョンの3つの数字で構成されています。

2024年11月21日現在、UpdraftPlusの最新バージョンは1.24.11であり、WordPress6.7までテストされています。

通常のオープンソースソフトウェアでは、公式のサポート(新機能の追加、不具合の改修、セキュリティパッチの提供)は最新パッチバージョンのみを対象としており、UpdraftPlusでも同様の対応が行われていると考えられます。

バージョン1.23.10以下には既知の脆弱性が存在する可能性がありますので、最新のパッチバージョンへのアップデートを実施してください。

特に、バージョン1.23.2以下をご使用の場合には、重大な脆弱性が存在する可能性がありますので、最新のパッチバージョンへのアップデートを強く推奨いたします。

UpdraftPlusのバージョン情報

2024年11月21日現在での、UpdraftPlusのバージョン情報は次の通りです。

バージョン リリース日 サポート期限 修正された脆弱性
1.24.11 2024年11月15日 サポート中
1.24.10 2024年11月15日 2024年11月15日
1.24.9 2024年11月14日 2024年11月15日
1.24.8 2024年11月13日 2024年11月14日
1.24.7 2024年11月4日 2024年11月13日
1.24.6 2024年9月26日 2024年11月4日
1.24.5 2024年9月24日 2024年9月26日
1.24.4 2024年7月3日 2024年9月24日
1.24.3 2024年4月30日 2024年7月3日
1.24.2 2024年3月26日 2024年4月30日
1.24.1 2024年2月22日 2024年3月26日
1.23.16 2023年12月23日 2024年2月22日
1.23.15 2023年12月23日 2023年12月23日
1.23.13 2023年11月23日 2023年12月23日
1.23.12 2023年11月8日 2023年11月23日
1.23.11 2023年11月6日 2023年11月8日 CVE-2023-5982
1.23.10 2023年9月4日 2023年11月6日
1.23.4 2023年5月16日 2023年6月20日 CVE-2023-32960
1.23.3 2023年3月16日 2023年5月16日 Wordfence
1.23.1 2023年3月8日 2023年3月15日 Wordfence
1.22.9 2022年3月10日 2022年3月11日 CVE-2022-0864
1.22.3 2022年2月16日 2022年2月17日 CVE-2022-0633
1.16.69 2021年12月29日 2022年1月14日 CVE-2021-25089
1.16.66 2021年11月29日 2021年12月27日 CVE-2021-25022
1.16.59 2021年7月16日 2021年8月19日 CVE-2021-24423
Wordfence
1.13.15 2017年11月28日 2017年12月7日 CVE-2017-16871
CVE-2017-16870
1.13.5 2017年8月8日 2017年9月5日 CVE-2017-18593
1.9.64 2015年4月20日 2015年5月12日 CVE-2015-9360
Wordfence
1.9.51 2015年2月3日 2015年2月24日 Wordfence

※上記の内容は、WordPress公式サイトの開発ログの情報を正として、バージョン1.23.10までを掲載しています。また、それ以前のバージョンについては、下記脆弱性が修正されたバージョンを追記しています。
※バージョン1.23.10以下には既知の脆弱性が存在するため、グレーにしています。

UpdraftPlusの脆弱性情報

UpdraftPlusの最新バージョンは1.24.11であり、当社が把握している全ての脆弱性に修正対応済みとなっています。

また、バージョン1.23.10以下には既知の脆弱性が存在する可能性がありますので、最新のパッチバージョンへのアップデートを実施してください。

特に、バージョン1.23.2以下をご使用の場合には、重大な脆弱性が存在する可能性がありますので、最新のパッチバージョンへのアップデートを強く推奨いたします。

なお、UpdraftPlus自体に関する脆弱性情報で、当社が把握しているものは次の通りです。

脆弱性情報 深刻度 影響を受けるバージョン 修正されたバージョン
CVE-2023-32960
JVNDB-2023-010526
CVSS v3
6.1 (警告)
UpdraftPlus 1.23.3までのバージョン UpdraftPlus 1.23.4
CVE-2023-5982
JVNDB-2023-016849
CVSS v3
5.4 (警告)
UpdraftPlus 1.23.10までのバージョン UpdraftPlus 1.23.11
Wordfence CVSS v3
8.8 (重要)
UpdraftPlus 1.22.14から1.23.2までのバージョン UpdraftPlus 1.23.3
Wordfence CVSS v3
5.3 (警告)
UpdraftPlus 1.22.24までのバージョン UpdraftPlus 1.23.1
CVE-2022-0864
JVNDB-2022-009178
CVSS v3
6.1 (警告)
UpdraftPlus 1.22.8までのバージョン UpdraftPlus 1.22.9
CVE-2022-0633
JVNDB-2022-005395
CVSS v3
6.5 (警告)
UpdraftPlus 1.22.2までのバージョン UpdraftPlus 1.22.3
CVE-2021-25089
JVNDB-2021-018264
CVSS v3
6.1 (警告)
UpdraftPlus 1.16.68までのバージョン UpdraftPlus 1.16.69
CVE-2021-25022
JVNDB-2021-017233
CVSS v3
6.1 (警告)
UpdraftPlus 1.16.65までのバージョン UpdraftPlus 1.16.66
CVE-2021-24423
JVNDB-2021-017956
CVSS v3
4.8 (警告)
UpdraftPlus 1.16.56までのバージョン UpdraftPlus 1.16.59
Wordfence CVSS v3
7.2 (重要)
UpdraftPlus 1.16.56までのバージョン UpdraftPlus 1.16.59
CVE-2017-18593
JVNDB-2017-014742
CVSS v3
6.1 (警告)
UpdraftPlus 1.13.4までのバージョン UpdraftPlus 1.13.5
CVE-2017-16871
JVNDB-2017-010266
CVSS v3
8.1 (重要)
UpdraftPlus 1.13.12までのバージョン UpdraftPlus 1.13.15
CVE-2017-16870
JVNDB-2017-010265
CVSS v3
8.1 (重要)
UpdraftPlus 1.13.12までのバージョン UpdraftPlus 1.13.15
CVE-2015-9360
JVNDB-2015-008302
CVSS v3
6.1 (警告)
UpdraftPlus 1.9.63までのバージョン UpdraftPlus 1.9.64
Wordfence CVSS v3
9.9 (緊急)
UpdraftPlus 1.9.50までのバージョン UpdraftPlus 1.9.51
Wordfence CVSS v3
6.1 (警告)
UpdraftPlus 1.9.63までのバージョン UpdraftPlus 1.9.64

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。ただし、CVEの番号が採番されていない脆弱性情報については、Wordfenceの情報へのリンクを掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいていますが、CVSS v3が採用される以前の脆弱性情報についてはCVSS v2に基づいています。
※本記事では、CVSS v3ないしCVSS v2にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しています。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulnerability Database(以下「NVD」)に準拠していますが、NVDにてスコアリングされていない場合には、Wordfenceのスコアに準拠しています。
※CVE-2023-26530については、JVNではUpdraftPlus.Comのupdraftの脆弱性であると記載されていますが、CVEの情報によればベンダーはPaul Kehrerであり、別のプラグインであると判断しております。
※こちらのWordfenceによる脆弱税情報では、影響を受けるバージョンが1.9.6.3まで、修正バージョンが1.9.6.4と記載されていますが、開発ログで確認したところ、それぞれ1.9.63、1.9.64のことであると判断しております。
※本記事における脆弱性情報は、UpdraftPlus無料版に関するもので、UpdraftPlus有料版に関する情報は掲載しておりません。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずJVN、NVD、Wordfenceなどの情報を確認されたうえで、自己責任でご利用ください。

UpdraftPlusのバージョンアップを継続する体制について

前述のように、UpdraftPlusは人気のあるプラグインであり、Web制作の現場でWordPressを利用する場合には、よくお世話になるプラグインです。

しかしながら、UpdraftPlus自体のバージョンアップをしようと思っても、WordPressやPHPのバージョンアップが必要であったり、設定が複雑であるなどの問題に直面することもあるかと思います。

taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、UpdraftPlusとWordPressはもちろんのこと、PHP、MySQL、MariaDB、各種サーバーについてもノウハウを有しています。

※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。

UpdraftPlusを使用したWebサイト制作やアップデートを含む保守管理に関しては、こちらのお問合せよりお気軽にご相談ください。

この記事を書いた存在
ちほうタイガー

taneCREATIVEに所属する謎のトラ。