2,582 view

WordPressで緊急の脆弱性、更新・アップデート方法【注意喚起】

WordPressで緊急の脆弱性、更新・アップデート方法【注意喚起】 公開日:2021/05/24
この記事のURLとタイトルをコピーする

2021年5月13日、WordPress(ワードプレス)バージョン、「3.7」~「5.7.1」にかけての全バージョンのセキュリティ(security)に脆弱性が確認されました。
WordPressを使用している方は、被害が拡大する前にWordPressバージョンを最新系の5.8.1へ更新・アップデートしましょう。

目次 [ひらく ▼]

WordPress 5.8.1 セキュリティリリース

WordPress公式サイトからリリースをご確認ください。

WordPress公式サイト

2021年5月13日に報告された脆弱性

報告された脆弱性は、「CVE-2020-36326」及び「CVE-2018-19296」の2つのPHPMailerによるオブジェクトインジェクションです。
いずれも深刻度は緊急(Critical)および重要(High)となり、脆弱性を悪用された場合、第三者に遠隔から任意の不正コードを実行されてしまう危険性(RCE)がありセキュリティ(Security)に問題があります。

これらの脆弱性について、詳しくはNIST(米国標準技術研究所)の脆弱性情報をご確認ください。

CVE-2020-36326 – NIST

CVE-2018-19296 – NIST

そもそも脆弱性とは?

脆弱性(Vulnerability)は「プログラムに存在する弱点」を意味します。
一般的には「プログラムの不具合・設計上のミス」であると理解される事が多いでしょう。
この理解・解釈は間違いではありませんが、「全て」というわけではありません。
脆弱性の中には「狙い通り設計され・実装したシステム・機能が、予想しない外部の脅威のターゲットにされてしまった」ケースも含まれるからです。

共通して言えることは「攻撃されることをすべて、事前に想定するのは不可能」であるということ。
絶対にバグのないプログラムを作ることは不可能であり、バグ(不具合)のない部分が標的にされる場合もあるからです。

つまり、どのようなプログラムであったとしても、全てのプログラムは「脆弱性」を抱えているともいえます。
WordPressに限らず、macOS、iOS、Windows、などが頻繁にセキュリティパッチを公開し、セキュリティの観点からシステムの更新を促しているのは、脆弱性による攻撃リスクをできるだけ回避するためです。

WordPressは脆弱性が見つかることが特に多いの?

WordPressは世界で3割のシェアを誇り、ユーザー数の多いCMSです。
情報が多く使いやすいメリットがある反面、情報がたくさん公開されているということは、悪意を持つハッカーにとっても都合良く、情報の多さが攻撃しやすい条件にも繋がります。
WordPress本体だけではなく、使用しているプラグインから攻撃されることもあります。
しかし、他のCMSに比べ、WordPressが特に脆弱性の問題が多いとは、言い切れないでしょう。

今回の脆弱性への対策

今回発覚した脆弱性は、WordPress本体の脆弱性であり、悪用された場合、第三者に遠隔から任意のコードを実行される危険性があります。
脆弱性が修正された最新バージョン「5.8.1」へアップデートしましょう。

アップデートの手順

自動更新・アップグレード機能を有効にしている際は、アップグレードは自動的に行われます。
念のため、お使いのWordPressが「5.8.1」へアップデートされているか、管理画面からご確認ください。

WordPress 5.7.2

自動更新・アップグレードを無効にしている場合は、WordPressの管理画面から、
ダッシュボード > 更新メニュー「今すぐ更新」をクリックすることでアップデートできます。

更新・アップデートの注意点

WordPress本体更新時にエラー・不具合が起こり、サイトが閲覧・表示できなくなることがあります。
下記のいずれかが該当する方は、更新の際、要注意しましょう。

  • WordPress最新系(5.8.1)に対応していないプラグインを使用している。
  • 有効化されているプラグイン数が多い。
  • 使用しているWordPressのバージョンが「3系」「4系」である。
  • テーマファイルがカスタマイズされている。

WordPress最新系(5.8.1)へのバージョンアップ前に、可能であれば、サーバーからデータベース・WordPressデータ一式のバックアップを取ることを推奨致します。
これらの対応が難しい場合、最低でもアップデート・更新前のWordPressバージョンをメモっておきましょう。
※Web制作会社へサイト復旧をヘルプする場合、これらの情報を必ず聞かれることでしょう。

プラグインの互換性を確認する

WordPressをバージョンアップする際、使用しているプラグインが最新のWordPressに対応しているか確認します。
互換性がないプラグインは、無効化し、代わりとなるプラグインを探しましょう。

プラグインの互換性確認

WordPressの本体バージョンアップをご検討中の方へ

弊社では、WordPressのバージョンアップ、それに伴う不具合対応をサポート・提供しております。
サイトが見れなくなった、何をどうしたらよいかわからない、などのご相談も大丈夫です。お気軽にご連絡ください。

WEBサイト保守管理について

SD WEBWORKSでは、WordPressのセキュリティ対策から本体・プラグインのバージョンアップ、メンテナンス、技術サポート、サーバ・ドメイン管理・コンテンツ更新を代行しております。

お問い合わせはこちら

この記事のURLとタイトルをコピーする
TOP