セキュリティ上の問題を解決した「WordPress 4.7.1」がリリース

  • 投稿日
  • 更新日
  • 著者 株式会社リソース・シェアリング
  • カテゴリー WordPress

【PR】当Webサイトのコンテンツにはプロモーション(広告)が含まれています

スポンサードサーチ

2017年1月11日にセキュリティ上の問題を解決した「WordPress 4.7.1」がリリースされました。
WordPress 4.7.1 Security and Maintenance Release
WordPress 4.7.1 セキュリティ・メンテナンスリリース

WordPress 4.7.1 Security and Maintenance Release
WordPress 4.7.1 Security and Maintenance Release

目次

PHPMailer の遠隔コード実行、クロスサイトスクリプティング(XSS)等、8件のセキュリティ問題に対応

今回のバージョンアップでは、WordPress 4.7以前のものが対象となっており、以下8件のセキュリティ問題に対応しています。

  1. PHPMailer の遠隔コード実行。
    JVNVU#99931177 PHPMailer に OS コマンドインジェクションの脆弱性で指摘されていたPHP Mailerのリモートコード実行脆弱性に対し、WordPress および主要なプラグインがこの問題の影響を受ける可能性はないですが、広範囲に影響しうる問題のため今回のリリースで PHPMailer のアップデートを行われたようです。
  2. 公開 (public) の投稿タイプの投稿を作成したすべてのユーザーのデータが REST API 経由で参照可能になる問題。
    これは、WordPress 4.7 “Vaughan”がリリースされましたで以下のように記述をしていた

    WordPress 4.7以前は、「WP REST API」を有効にしないとこの「REST API」は使えなかったのですが、WordPress4.7以降はプラグインを使わなくても、アクセスできるようになってます。

    そのため、「REST API」にアクセスさせたくない場合には、Disable EmbedsといったPluginを導入する必要があります

    に対して、WordPress 4.7.1 では REST API で参照可能と指定された投稿タイプに限定されるよう制限が加わったようです。

  3. update-core.php のプラグイン名またはバージョンのヘッダーを利用したクロスサイトスクリプティング (XSS)。
  4. Flash ファイルのアップロードに関連したクロスサイトリクエストフォージェリ (CSRF)。
  5. テーマ名のフォールバックを利用するクロスサイトスクリプティング (XSS)。
  6. メールによる投稿でデフォルト設定の mail.example.com が変更されていない場合の対応。
  7. ウィジェット編集のアクセシビリティモードに関連したクロスサイトリクエストフォージェリ (CSRF)。
  8. マルチサイト有効化キーの強度不十分な暗号セキュリティ。

また、WordPress 4.7.1 では 4.7 リリース以降に発見された62個のバグを修正しています。

自動アップデートが始まっている

今回も自動アップデートに対応していますので、自動バックグラウンド更新の設定を行っている場合には自動でアップデートが行われている場合があります。

しかし、自動バックグラウンド更新の設定を行っていない場合や、まだアップデートが行われていない場合には、WordPress 4.7.1をダウンロードして手動で更新するか、ダッシュボードから更新が必要です。

WordPressの運用をされている方は、早急に対応を行いましょう。

ECサイト&マーケットプレイスサイトを低コスト・短納期で構築するなら

多言語・多通貨対応ECサイト&マーケットプレイスサイト構築パッケージ CS-Cart は、B2C、B2B、B2B2C、B2B2Bのどのビジネスモデルにも対応したECサイト&マーケットプレイスサイトを低コスト・短納期で構築が可能です。

ECサイトやマーケットプレイスサイトの構築を検討している場合には、是非ご検討ください。

CS-Cart

経営課題の解決でお困りではありませんか?

DXを始めとするITを使った経営課題の解決が上手くいっていない企業は数多くあります。

それは、単なるソリューションの導入や、社内人材への丸投げとなっており、課題解決がゴールになっていないからです。

そのためには、経営とITを理解した人材が、経営者層と共に取り組み、経営者の頭の中を可視化することが必須要件です。

現在、1時間の無料オンライン・コンサルティングを実施しております。

是非この機会にご相談ください。

ご相談はこちらから

経営課題を解決するWebサイト構築の最適解は?

経営課題を解決するWebサイトとは、何をおいてもWebサイトに集客する事が必須要件です。

そうなると、最強のWebサイトとは「検索エンジンへの登録と分析、GA4での現状分析ができ、集客のための実施施策に落とし込みができ、コンバージョンに繋げられ、改善の分析ができるWebサイト」一択です。

まずは、現状のWebサイトが経営課題を解決することができるのかをまずご相談ください。

ご相談はこちらから

ECサイトの最適解はクライアント毎に異なります

経営課題を解決する最適なECサイト、越境ECサイト、BtoB ECサイト、マーケットプレイスを構築するためのシステムは、クライアント毎に異なります。

まずは、御社にとって経営課題を解決するには、どういったシステムが必要であり、ASP、SaaS、パッケージ、フルスクラッチのどれが最適なのかの検証が必要です。

ご相談はこちらから

スポンサードサーチ

CMS CSRF WordPress XSS アップデート クロスサイトスクリプティング クロスサイトリクエストフォージェリ コマンドインジェクション セキュリティ 脆弱性