セキュリティ&メンテナンスのリリースとなっています。
[wordpress.org]
リリースノートの冒頭に記載されている $wpdb ->prepare() が何なのかピンとこなかったので少し調べてみました。$wpdb ->prepare()はWordPressのデータベース(MySQL)にアクセスするための関数で、()内にSQL文と変数を記載することでデータベースに不正なSQL文が発行されることを防ぐ仕組みになっているそうです。
せっかくの仕組みなのですが、今回はその関数に不正なSQL文を作成する脆弱性が発見されたので、その修正が行われたそうです。脆弱性そのものはWordPressのコアに影響するものではないそうなのですが、プラグインやテーマへの影響も考えられるのでいち早く修正となったようです。
当blogで常時SSL接続を行うように設定を行いました。個人の日記帳でそんなことしなくても…という気はするのですが、以下の理由からSSL化することにしたものです。
記事を書くに当たってはログイン作業が必要になります。個人の日記帳ではありますが、ログイン情報や問い合わせフォームの情報が平文で流れるのはどうかな、とかねてから考えていました。
例えばですが、サイトを改ざんされて不正なスクリプト置き場にされたりすると当blogが加害者になってしまいますのでこれは好ましくありません。
ちなみにSSL化の計画はちょっと前から考えていて、2013年に共有SSLを導入しようとしました。しかしこの時は自分で自分をロックアウトするという失態をやらかしました。
近年インターネットにおけるSSL通信の割合は増加傾向で、ブラウザベンダも将来的にはHTTP接続すべてについて警告を出すことを検討しているようです。
Googleの場合はこんな風に計画を表明しています。
[Google Security Blog]
せっかく見に来ていただいた方にはコンテンツを楽しんで帰っていただきたいと思っているので、アクセスした瞬間「なんか危ないサイトなのかな」と思われるのは好ましくないと思いました。
独自ドメインに適用可能なドメイン認証のSSL証明書は、最低でも年額数万円くらいのコストがかかるものと思っていました。ところが、お世話になっているさくらインターネット様が取り扱っている証明書ラインナップの中に”ラピッドSSL”という安価なものがあり、これなら導入可能と判断しました。
月額100円くらいの維持費で導入できるので、自分のドメインの証明とSSL通信用であればこれで十分と判断しました。
WordPressのSSL化に当たっては、htaccessの編集や既存の絶対パスの書き換えなど面倒な作業が発生するのですが、これをワンタッチで済ますことができるプラグインをさくらインターネット様が用意していました。これでハードルがかなり下がった感じがしました。
というわけで無事に導入できて一安心というところです。
メンテナンスリリースです。
[wordpress.org]
テキストウィジェットに多数修正が加えられているとのことです。
テキストウィジェットはどんな機能のものだったかな…と思って改めて調べてみたところ、任意のテキストを表示するというシンプルなものでした。HTMLタグを使わずに、エントリ本文のような感じでUIの操作で書式を設定したり、文中にリンクを張ったりすることもできます。
このテキストウィジェットの強化は4.8の目玉の一つでもあったのですが、改めて管理者画面でテキストウィジェットを追加しようとすると、「Custom HTMLというウィジェットもあるのでそっちを使いませんか?」というメッセージが出ます。
せっかく強化されたばかりのテキストウィジェットでしたが、さっそくたくさんの修正が入った上に別のウィジェットに誘導されるというのはちょっと妙に思います。
4.8が登場しました。
[wordpress.org日本語版]
当blogでは使っていませんが、画像ウィジェットや音楽ウィジェットが強化され、使いやすくなっているそうです。
小さいことながらエントリを書いている側として便利だと思ったのは”リンク境界”の実装です。
動画を見て頂くと分かりやすいのですが、従来のエディタではリンク済みの文字列の前後に新しく文字を挿入しようとした際に、挿入する文字列にはリンクをしたくないのに意図せず文字にもリンクが設定されてしまったり、逆にリンクを張りたい文字列にリンクが設定されない、という問題がよく起きていました。リンク文字列とそうでない文字列の境界が操作しにくかったのです。
今回のリンク境界の実装で、リンクが設定されていない文字列とリンクが設定されている文字列の間を矢印キーで行き来する際に、1回分余計に矢印操作が必要になりました。リンクが設定されている文字列がカプセルのようになっており、カプセルに入るのに1回余計に矢印キー操作が必要と考えると多少分かりやすいかもしれません。
これによりユーザはカーソルがリンク文字列の外側にあるのか内側にあるのかが分かりやすくなり、編集したい文字列を認識しやすくなっています。本当に微妙な改良なのですが、これは便利だと思います。
セキュリティ&メンテナンスリリースとなっています。
[WordPress.org]
例によってXSSとCSRFの修正が入っているのですが、見慣れないのが” XML-RPC APIの値の処理が不適切な問題の修正”という項目です。
調べてみるとXML-RPC APIというのはWordPressで外部プログラムからの投稿に使われているAPIなんだそうです。私はいつもエントリをブラウザ上で書いていますが、ブログ執筆アプリやブログ用エディタというアプリケーションも時折見かけますので、そういったアプリケーションはこのAPIを利用しているのではないかと思います。
メンテナンスリリースとなっています。
[wordpress.org日本語版]
最新版のGoogle Chrome上でのビジュアルエディタの互換性が確保されたほか、2月頃にコンテンツ改ざん事件の原因になったREST API処理についてもアップデートが加えられているとのことです。
当blogのバックアップに使っているプラグイン、BackWPupからお知らせが来ていました。
なんでも、最近のバージョン3.3.6からPHP7.1との互換性を確保したほか、PHP5.2については将来のバージョンでサポートしなくなるとのことでした。
[bacwpup.com]
改めて調べてみると、WordPressの推奨動作環境も
となっていて、PHP7が推奨になっています。ということは、プラグインさえPHP7に対応していれば、サーバのPHPバージョンを上げても問題ないのではないかと思いました。
当blogにはbackWPup以外のプラグインとして、
が入っています。これらのプラグインについてPHP7での動作に問題がないかざっと調べ、試しにサーバの設定をPHP7に切り替えてみました。
今のところ特に問題もなさそうなので、このまま運用してみようと思っています。
ところでPHP7導入でblog自体の処理が速くなるという情報を結構見かけたのですが、当blogは体感レベルではそんなに変わった感じはしません。正確に計測すれば差は出ているのかもしれません。
複数のセキュリティ問題の修正を含む4.7.3がリリースされています。セキュリティ・メンテナンスリリースですので、バグフィックスも含まれているようです。
[WordPress.org 日本語版]
1月の4.7.2のリリースの際にはアップデート未適用だったサイトの改ざんが発生し、IPAからもリリースが出るような事態になりました。今回も極力速やかにアップデートするよう勧告がされていますので、早めのアップデートが吉だと思います。
国内でもコンテンツ改ざん被害が出ているようで、IPAから緊急の情報が出ています。
[(独)情報処理推進機構]
情報を読んでいて考えさせられたのが以下の内容です。
開発者は本脆弱性を 1 月 26 日に更新された「4.7.2」で修正しましたが、利用者の安全を確保するため、脆弱性の内容については 2 月 1 日まで公開を遅らせていたとのことです。今回のケースを教訓に、今後も最新版が公開された場合は早急にアップデートを実施してください。
今まではなんとなく「新しいものが最良」という認識で即時アップデートをしていたのですが、「アップデートが出ている以上、既に何かの危険がある」と思っておいた方が良さそうです。
WordPressはかなりのシェアを持つCMSなので、脆弱性が発見されると狙われがちです。
ささやかなblogではありますが、自分で管理している以上こういったところもきっちりやっていきたいところです。
今回はセキュリティリリースです。
[wordpress.org 日本語版]
筆頭に上がっているPressthisのタクソノミー語句を割り当てるユーザーインターフェースが……という問題ですが、WordPressに内蔵されているPressthisというツールの問題のようです。
Pressthisは既存のWeb記事からWordPressのエントリ作成の支援をしてくれるツールです。
タクソノミー語句というのはいわゆるカテゴリの分類に使う語句のことですので、他のユーザがPressthisで作成したエントリのカテゴリを勝手に操作できてしまうような脆弱性があったんだろうと想像します。
その他、SQLインジェクションやXSSの脆弱性修正となっています。今回はセキュリティリリースだけで速やかにリリースされた感があるので、多少緊急性のある内容なのかもしれません。