国内でもコンテンツ改ざん被害が出ているようで、IPAから緊急の情報が出ています。
[(独)情報処理推進機構]
情報を読んでいて考えさせられたのが以下の内容です。
開発者は本脆弱性を 1 月 26 日に更新された「4.7.2」で修正しましたが、利用者の安全を確保するため、脆弱性の内容については 2 月 1 日まで公開を遅らせていたとのことです。今回のケースを教訓に、今後も最新版が公開された場合は早急にアップデートを実施してください。
今まではなんとなく「新しいものが最良」という認識で即時アップデートをしていたのですが、「アップデートが出ている以上、既に何かの危険がある」と思っておいた方が良さそうです。
WordPressはかなりのシェアを持つCMSなので、脆弱性が発見されると狙われがちです。
ささやかなblogではありますが、自分で管理している以上こういったところもきっちりやっていきたいところです。
今回はセキュリティリリースです。
[wordpress.org 日本語版]
筆頭に上がっているPressthisのタクソノミー語句を割り当てるユーザーインターフェースが……という問題ですが、WordPressに内蔵されているPressthisというツールの問題のようです。
Pressthisは既存のWeb記事からWordPressのエントリ作成の支援をしてくれるツールです。
タクソノミー語句というのはいわゆるカテゴリの分類に使う語句のことですので、他のユーザがPressthisで作成したエントリのカテゴリを勝手に操作できてしまうような脆弱性があったんだろうと想像します。
その他、SQLインジェクションやXSSの脆弱性修正となっています。今回はセキュリティリリースだけで速やかにリリースされた感があるので、多少緊急性のある内容なのかもしれません。
セキュリティとメンテナンスのリリースです。
[wordpress.org]
筆頭に挙げられているのはPHPMailerというライブラリの脆弱性修正です。これはPHPでメールを送るときに使うもので、WordPress以外にも広く使われているんだそうです。年末年始で脆弱性が発見され、今回のアップデートで反映されたようです。「WordPress本体やメジャーなプラグインで特定の問題は発生していませんが、脆弱性の修正を反映しました」というコメントがついています。
その他、XSS関連の修正などが数件入っています。
新しいテーマ、Twenty Seventeenを含む4.7が出ました。
[WordPress.org日本語版]
メインの話題はやはり新テーマのTwenty Seventeenかと思います。例によって「ライブプレビューだけしてみる」というのをやってみたのですが、いきなりヘッダ画像が大写しになるところがあまりに今風で、私の好みではない感じでした。テーマについては相変わらず”昔のブログ”という感じのTwenty Twelveがお気に入りです。
その他、ライブプレビューをしながらサイト内の要素をカスタマイズできる機能や、動画をヘッダとして使用できる機能などが追加されています。
WordPressは後ろでMySQLが動いているのですが、セットアップの時くらいしか意識する機会はありませんでした。
先日、バックアップの関係でデータベースを管理するphpMyAdminにログインしようと思いました。データベースのログイン用のパスワードは忘れていたのですが、パスワードを新しいものに変更すればログインできるようだったので、パスワードを変更してログインしました。ここで気軽にデータベースのパスワードを変更したことがトラブルの原因になりました。
確認したかったバックアップファイルからの復元手順を確認できたので、サーバのコントロールパネルを抜けたところ、blogに全くアクセスができなくなっていることに気づきました。
ちなみにアクセスしようとすると、”データベース接続確立エラー”というエラー表示だけが出ます。
調べてみたところ、データベースのパスワードを変更したことが原因という指摘をされているエントリを見つけました。
[電脳世界 様]
確かにパスワードはさっき変えたので、元々設定していたパスワードに戻すことを試みました。しかし元々のパスワード自体を忘れていたので、”wp-config.php”の中身をサーバのコントロールパネルで確認してみました。
割と分かりやすいところにパスワードの記載欄があり、その部分を先ほど設定した新しいパスワードに書き換えて、元通りにblogが見られるようになりました。
WordPressはwp-config.php内に記述された設定情報によりデータベースにアクセスして様々な処理を行うので、データベース上の設定と、wp-config.php内の設定に不整合が生じるとこのように動作しなくなってしまうようです。勉強になりました。
セキュリティリリースです。
[WordPress.org日本語版]
脆弱性修正のほか、バグの修正も含まれています。
脆弱性修正については毎回「○○さんにご報告を頂きました」と書いてあるのですが、WordPressの開発においては、脆弱性を発見した場合の報告プロセスが確立されているので、こういった情報はメールやフォーラムへの投稿で開発側に集まってくるんだそうです。
報告者はWordPress開発チームの内部の方の場合もありますが、リリース時の投稿を見ていると外部からの報告が多いように思います。
さっそく更新しました。
[WordPress.org日本語版]
今回は更新された要素を紹介する動画があるのでとても分かりやすくなっています。
まず大きいトピックとして、プラグインやテーマを更新する際に画面遷移をしなくなったことが挙げられます。サイトのメンテナンスがよりスムーズに行なえます。
また、執筆中のエントリがローカルストレージに保存されるようになりました。以前も自動的に執筆中のエントリを下書き保存してくれていましたが、ローカルにも保存してくれるのが新しいところです。
さらに、執筆中のインラインリンクをWordPressが自分でチェックしてくれるようになりました。存在しないURLに対してリンクを張ると赤表示で教えてくれるので、ちょっとしたコピペミスなんかを防止できるようになっています。
どれも決して派手な改善ではないのですが、WordPressが書く人目線の快適さを追求してくれているのがよく分かります。細かい改善によって、エントリの執筆に極力リソースを割けるようにしてくれています。
Typesquareのプラグインがアップデートされたようなので再度有効化してみると、エントリをカテゴリごとに表示した時に正しく表示されない問題が修正されていました。
とりあえずblogの機能上問題はなくなったので、またしばらく使っていこうと思います。今は”ベーシック”というフォントのセットを使っているのですが、使用できるフォントは30種類あったはずなので、そのうちカスタマイズにも挑戦してみたいところです。
Typesquareのプラグインを利用して当blogでもWebフォント表示を試していたところだったのですが、同プラグインを利用していると、カテゴリ別にエントリを表示する際に正しくないURLが生成される現象が確認されました。
プラグインを無効にすると以前の通りカテゴリ表示も正常に動くので、しばらくWebフォントのプラグインの利用はやめておこうと思います。
プラグインの機能としては、プラグイン上で設定したクラスに対してフォントの設定を適用する動作をしているようなので、カテゴリ表示になぜ影響があるのかよく分かりません。
さくらインターネットのレンタルサーバでWordPressを運用する場合に、フォントの制作で有名なモリサワのフォントが使えるようになったそうです。
ニュースとしてリリースされていたのはちょっと前なのですが、一応当blogも条件には当てはまる環境にはあるので、今日作業をしてみました。
[Internet Watch]
さくらインターネットでWordPress用のプラグインを用意してくれていて、それをインストールすることで簡単にWebフォントの適用が可能です。
正直デザインとか美術的な分野は完全に門外漢なので、どこにどういう書体を使うべしみたいなことは全く分からないのですが、とりあえずデフォルトの設定を参考に、無難そうな設定をしてみました。
やっぱりやってみるとオリジナル感が増したような感じがして良いものだと思います。フォントはかなりたくさんあるので、色々試しながら設定を詰めてみたいところです。