わたしは製造業のIT部門で、セキュリティ担当として勤務しています。
仕事内容はさまざまで、突然降ってくる業務のひとつに「ソフトウェアのアップデート」があります。
アップデートの目的は、ソフトウェアを最新版にすることです。
最新版にする理由は主に「機能追加」「バグ修正」「セキュリティ強化」の3つに分けられるでしょう。
わたしは2023年で5年ほどWordPressでブログを書いています。現在のセキュリティの仕事を始める2年前までは、アップデートに積極的ではありませんでした。
とくに理由はなく、なんとなく面倒で避けていただけです。
ただ、今は業務で得た知識を活かし、アップデートの判断を積極的にするようにしています。
今回は、本職でセキュリティ担当をしているわたしが考えるWordPressアップデートのタイミングを紹介します。
何でもすぐにアップデート!というわけではないことが、おもしろいところかと思います。仕事で企業のサイトを運用していたり、個人的にブログを書いていたりする方で、WordPressを使っている方は、ぜひ参考にしてみてください。
データベース「JVN」でみるWordPressの脆弱性情報
WordPressを含めソフトウェア全般で、セキュリティ上の欠陥を脆弱性といいます。
脆弱性を攻撃者に突かれると、情報を盗まれたり、いたずらで大量のメールが送られたり、さまざまな望まない事態に陥ります。早めに対策したいところです。
わたしが業務でも使っている脆弱性データベースのひとつが「JVN」です。
JVNはJapan Vulnerability Notesの略です。日本でよく使われるシステムの脆弱性情報と対策方法が、2001年のものから大量に保管されています。
JVNでWordPress本体の脆弱性を探して記事執筆時点の2023年5月からさかのぼると、2022年11月8日の「WordPress における複数の脆弱性」が最新のものです。
脆弱性は「メール投稿」機能に関するもの。悪用されると「サイトを閲覧しているユーザーに対し、任意のコードを実行できる」「メール投稿をしたユーザーのメールアドレスを取得できる」という内容です。
対象のバージョンはWordPress 6.0.3より前で、最新版にアップデートすることで対策できると読み取れます。
WordPressは簡単に外部からバージョンが確認できる
実は、WordPressは「RSS」という仕組みを利用すると、簡単に外部からバージョンを確認できます。
RSSはWebサイトやブログなどの更新情報を配信する技術です。
RSSでWordPressのバージョンを確認する方法を、わたしが運営しているブログのひとつ「https://fjgogogo.com/」を例にご紹介します。
上の画像はブログのトップページです。このページには、WordPressのバージョンに関係する情報はありません。
RSSは「https://fjgogogo.com/feed」のように、URLのうしろに「feed」とつけたページを利用します。
上の画像は2023年4月時点で取得したfeedページです。
よくみると「<generator>http://wordpress.org/?v=6.1.1</generator>」とあります。
管理画面にログインすることなく、わたしのブログのWordPressはバージョン6.1.1だとわかりました。2023年4月時点では脆弱性が発見されていないバージョンです。
RSSはプラグインやfunction.phpに記述を追記すれば無効化できますが、わたしはあまり効果がないと考えます。
ブラウザの検証ツールを見たり、CSSやJavaScriptを見たりと、他にもバージョンを確認する方法はいくつもあるのが実情です。
それらも隠すことはできますが、もしバージョンが隠されていても、攻撃者がダメ元で攻撃することも十分に考えられます。
WordPressだけでなくソフトウェア全般において、最も有効な脆弱性対策は、脆弱性がないバージョンに早くアップデートすることです。
バージョンアップするかどうかの判断基準
わたしは、緊急性が高いものを除き、状況に応じてバージョンアップの是非を判断すればいいと考えています。
WordPressの公式サイトでアップデートの内容を見て、脆弱性の修正が入っていればアップデートを勧めますが、サイトは英語ですし、少々難易度が高いかもしれません。
そこで、WordPressのアップデートがメジャーアップデートかマイナーアップデートかで判断することもオススメです。
主に、メジャーアップデートは新機能追加や仕様変更などの更新、マイナーアップデートはバグや脆弱性の修正などの更新です。
わたしは、メジャーアップデートのリリースは様子を見て、マイナーアップデートのリリースは早めにアップデートすることを推奨します。
WordPressのバージョン番号は6.1.1など、3つの数字がピリオドで区切られて管理されています。メジャーアップデートされると、前ふたつの数字が「6.2.1」「6.3.1」~「6.9.1」「7.0.1」と増えていきます。
マイナーアップデートされると、最後の数字が「6.1.2」「6.1.3」と増えていきます。
たとえば、6.1→6.2のメジャーアップデートの内容は「サイドバーが使いやすくなった」「見た目が変わった」など、すべて機能面の強化です(参考:https://wordpress.org/documentation/wordpress-version/version-6-2/)。
一方、6.1→6.1.1のマイナーアップデートの内容は「ある命令をすると致命的なエラーが起きることの修正」「デザインが崩れることの修正」などバグやセキュリティ面の修正です(参考:https://wordpress.org/documentation/wordpress-version/version-6-1-1/)。
メジャーアップデートをすると使い勝手も大きく変わり、思うように記事を書けなくなったり、プラグインがうまく動かなくなったりと不具合が出るかもしれません。
WordPress 5.0でクラシックエディタからブロックエディタ(Gutenberg)になり、うまく記事が書けなくなった方もいるかもしれません。
わたしも、今こそブロックエディタを使っていますが、当初はまったくブロックエディタに慣れず、プラグインでクラシックエディタにしていました。
メジャーアップデートでは、記事作成に支障が出る可能性もあります。
マイナーアップデートだと支障が出るほどに使い勝手が変わることは少ないでしょう。
WordPressには自動アップデートを制御できる項目がありますが、ここで制御できるのはメジャーアップデートの自動・手動だけです。マイナーアップデートはfunction.phpに直接書かない限り自動更新されます。
自動アップデートをOFFにして、メジャーアップデートだけ手動にしてもよいと思います。
最新バージョンが出たらテーマやプラグインの作者が動作確認と修正をするので、対応を待つのも手です。
緊急性が高いものを除き、アップデートの是非は状況次第
アップデートはWordPressのセキュリティ強化にとても有効な手段のひとつです。
ただ、アップデートのタイミングは使い勝手や緊急性を考慮することをオススメします。
WordPressのアップデートを手動にして、テーマやプラグインの新バージョンへの対応が確認できたら、最新版にするのもよいでしょう。
本記事が、みなさんの楽しくも苦労しつつ作り上げた大切なブログを、悪意のある攻撃から守ることに繋がればと思います。
(文:藤井宏治)
