> 記事 > GITS関連 WordPress インターネット プログラミング マメ知識 > 【重要】WordPress4.7.2へのアップデートを推奨します。

【重要】WordPress4.7.2へのアップデートを推奨します。

2017.02.08.(Wed)Masahiro Natori By.Masahiro Natori

こんにちは、masaです。

パースは暑くなったり、寒くなったり、温度差が激しい日々が続いています。40度近い日があったかと思えば、今朝は14度まで冷え込んだりしていて、まだ2月なのに明日からはしばらくは雨の予報になっています。(暦上はまだ十分夏のはずなんですが。。)

今回のブログでは
・WordPressのバージョン4.7、4.7.1というバージョンに問題が見つかった。
・その問題を悪用することで、第三者がWebサイトの内容を書き換えられてしまう危険がある。
・バージョン4.7.2にアップデートすると問題が回避できる。
ということを解説しようと思います。

Sponsored Link

WordPress4.7、4.7.1の問題(脆弱性)について


現在Webサイト作成に大変多く使われているWordPressですが、2016年12月リリースされたバージョン4.7、4.7.1のプログラムには、大きな問題(脆弱性「ぜいじゃくせい」)が見つかっております。要はプログラムが不完全で、本来は権限のないコンテンツは更新できないようになってなければいけないところが、ちょっと特殊な方法を使うことでログインせずにWebサイトの内容を書き換えることができてしまう状態になってしまっていた、ということです。一般の人には難しいですが、少し知識のある方でしたら、出来てしまうと思います。

書き換えることが出来るということは、Webサイトに勝手な画像を表示させられてしまったり、すべての内容を消し去ってしまうこと、ウイルスなどをダウンロードさせるコードなども書き込むことが可能ということで、大変大きな問題です。

公開されているニュース:
【セキュリティ ニュース】早急に「WordPress 4.7.2」へ更新を – 攻撃容易、改ざん被害も(1ページ目 / 全1ページ):Security NEXT

技術的な話:
WordPress 4.7.1 の権限昇格脆弱性について検証した | 徳丸浩の日記

WordPress4.7、4.7.1の問題を回避するには


1月末にリリースされたバージョン4.7.2でその部分が修正されていますので、WordPressのアップデートをすることが間違いない方法です。

現在お使いのWordPressのバージョンを確認いただき、4.7、もしくは4.7.1を使われている場合、早急にアップデートを掛けていただいた方がよいと思います。その際、万が一の時に備えてバックアップをお取りいただいた方がよいと思います。

WordPressのバージョン確認方法について


WordPressのバージョン確認方法はいくつかありますが、一番簡単なのはダッシュボードに書かれている値を確認する方法です。これはバージョンによって違うので、この場所に出てこない場合や、ダッシュボードの一番下、欄外に出てくることもあります。


それ以外には、WordPressがインストールされているディレクトリの、
/wp-includes/version.php というファイルをFTPなどで確認するという硬派な方法もあります。

アップデートの方法について


もし、WordPressの4.7.2以下だった場合、WordPressにログインすると、


このような「アップデート可能です」という案内が出てきます。こちらをクリックすると、実際にアップデートを行う画面になります。


ここで、青い「Update Now」ボタンをを押すと更新が始まります。

アップデート後について


WordPressをアップデートすると、About.php という画面が出てきます。


この画面が「音が出て」「動画が流れて」大変重たいので、作業に苦労しました。WordPressをアップデートしたことによって新しく使えるようになった機能がの紹介が表示されるのは決して悪いことではないのですが、音や動画まで載せるのはやりすぎなのではないだろうかと、ちょっと思いました。この画面はなるべくシンプルにしておいて、アップデートで追加された新機能について見たい人はページを開けるようになっている、くらいだとありがたいなと思いました。(おそらく、このような形にしたら、ほとんどの人は見ないでしょうが・・)

(この画面では3つの動画が自動的に再生されます)

WordPressバージョンアップのお手伝い


弊社では25サイト以上のバージョンアップを行いましたが、アップデートについて特に問題はありませんでした。

・やり方がわからない、代行をお願いしたい
・アップデートしたら、なにかトラブルが発生した。
・バックアップの方法がわからない

など、問題がありましたら、弊社でもお手伝いすることが出来ますので、
気軽にお問い合わせください。

→ お問い合わせ

Masahiro Natori

Masahiro Natori
こんにちはMasaです。39歳の時に16年勤めた会社を辞め、2013年4月に家族で日本からパースに引っ越してきました。2013年6月よりGITSに勤務。2014年1月にGITSのサポートでProgrammerとして457ビザを取得。 趣味は音楽を聴くことと、部屋のレイアウトを変えること、ドライブすること。
  • facebook
  • twitter