先日、2013年9月11日に、WordPress 3.6.1 がリリースされましたので、バージョンアップを行いました。今回のバージョンアップはメンテナンスとセキュリティのアップデートとのことなので、やっておいた方がいいかなと。
ウチのブログの場合は、「Stinger 2」を導入した際に、プラグインを大幅に削除したので、現時点ではバージョンアップによる不具合はないみたいです。
ブログのテーマを「Stinger 2」に変更した時の設定 | ウェブをもっと知りたいの-anque
このページの概要
Codex 日本語版によると、13個のバグ修正と3つのセキュリティ問題を修復したらしい
アップデートはいつもの様に、ダッシュボードの更新メニューから行いました。すでに日本語版も用意されているので、さくっと終了。どんなアップデートなのかは、日本語版Codexに記述されています。
Version 3.6.1 – WordPress Codex 日本語版
Version 3.6.1 のお知らせ(英語原文) によると、このメンテナンスリリースは Versoin 3.6 の 13 個のバグに対応しています。
さらに、 Version 3.6.1 は3つのセキュリティ問題を修正しています。
リモートコード実行:
特定の状況とセットアップ時に於いてリモートからのコード実行が可能となりうる、安全でない PHP de-serialization をブロックしました。 Tom Van Goethem からのレポート。CVE-2013-4338。
リンクインジェクション / リダイレクトを開く:
ユーザーを他のウェブサイトへリダイレクトあるいはリードしうる、入力の不適切な認証を修正。 アメリカ疾病予防管理センター下請けのノースロップ・グラマン勤務、Dave Cummo からのレポート。CVE-2013-4339。
権限のエスカレーション:
投稿者権限を持ったユーザーが細工をしたリクエストを送ることで、他のユーザーが書いたように偽装することを防ぎました。 Anakorn Kyavatanakij からのレポート。CVE-2013-4340。
さらなるセキュリティ強化策:
ファイルアップロードに関するセキュリティ制限をアップデートし、潜在的なクロスサイトスクリプティングのリスクを軽減させました。 .swf と .exe の拡張子を持つファイルのアップロードは、デフォルトでは無効となりました。ユーザーがフィルターされていない HTML を使うことが出来る場合、 .htm と .html のみがアップロード可能となりました。
Version 3.6.1 での全ての変更内容は、 http://core.trac.wordpress.org/log/branches/3.6?stop_rev=24972&rev=25345 を参照してください。
コアファイルの中で更新されたファイルは21個あるようです。
WordPress への攻撃はこの後も続くのか・・・
WordPressが、定番CMSとして現時点では最も人気のあるシステムであるとして、いつかのWindows OSのように、さまざまな攻撃が懸念されています。個人で運用するブログなどは、実際に被害にあってもバックアップやメンテナンスで、ある程度、復旧することも可能ですし、情報が漏洩したとしても自分自身に限られる場合が多いと思います。
しかし、企業のウェブサイトへのWordPressの導入もどんどん進んでいることですし、自分自身も、お客さんへの導入実績もあります。企業の担当者さんとかには、こういったメンテナンスの重要性をしっかりと伝えて行かなければならないなと感じます。
最近では、WordPress指定でご依頼いただくケースもあるので、初期の段階から意識の共通化みたいな部分を作って行かないとな。と実感しているところです。
