待ったなし!の理由WordPressのバージョン4.9系

ワードプレスversion4-9-1

2017年12月17日

躊躇不要のWPバージョンアップ “4.9系”

ワードプレスのバージョン、何使っていますか?
2017年12月時点での最新バージョンは“4.9系”です。
今、この記事を書いている時点では、“4.9.1” という末尾1が最新です。

(※【追加情報】:2018年1月30日現在は、“4.9.2”にマイナーバージョンアップされています)

今後、「4.9.2」→「4.9.3」と末尾の数字が増えていくことになります。
「4.8系」から「4.9系」へのバージョンアップは【メジャーバージョン】のアップデートとなります。

一般的には、【メジャーバージョン】が出た時は、すぐにはアップデートすべきではないと言われていますが、
今回の「4.9系」は待ったなしでアップデートしたほうが良いです。



メジャーバージョンは1ヶ月様子を見たほうが良い理由

一般的にメジャーバージョンがリリースされた時は、すぐに飛びついてアップデートするより、1ヶ月ほど様子を見たほうが良いと云われます。
それは、メジャーバージョンの場合、大きな変更になるので、想定外のトラブルの可能性があるからです。
「最新版が出た!」と、すぐにアップデートしてみたら、デザインが崩れたり、管理画面にログインできなかったり、不具合が生じる可能性があるからです。
WordPressは世界中に膨大な人数のユーザーがいますので、リリース後に不具合があった場合、情報を共有して、バグの修正や解決策を出し切ってマイナーバージョンがアップデートされます。

そういう理由で、すぐに最新版が出た時にアップデートするより、一通り、修正が完了した後にアップデートしたほうがトラブルに遭遇するリスクが減ります。

 

Version4.9.1には直ぐにアップデートすべき理由

メジャーバージョン4.9.1へのアップデートは躊躇なく、直ぐに実行したほうが良さそうです。
というより、すべきです。
その理由は、2017年12月1日に掲載された、WordPressの公式ページからの、この記事です。

WordPress 4.9.1 が公開されました。これは WordPress 3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンスリリースとなります。今すぐにサイトの更新を行うことを強くおすすめします。
WordPress 4.9 とそれ以前のバージョンは、マルチベクター攻撃の対象となり得る4つのセキュリティ問題の影響を受けます。コアチームの継続的なセキュリティ強化の取り組みにより、4.9.1 には、次の修正が行われました。

1.特定の部分文字列の代わりに、正しく生成されたハッシュを newbloguser キーに使用。
2.html 要素の言語属性にエスケープ処理を追加。
3.RSS と Atom フィードで enclosure の属性が正しくエスケープされていることを確認。
4.unfiltered_html 権限を持たないユーザーの JavaScript ファイルのアップロード機能を削除。

専門的な難しいことが書かれていますが、要は、4.9系以前のバージョンまで “マルチベクター” と呼ばれている危険な攻撃に対するセキュリティーの問題があったという事です。“マルチベクター” の「ベクター」は、数学で習った「ベクトル」の意味です。
マルチなベクトル。様々な方向からやってくるDDoS攻撃と呼ばれている悪質な攻撃です。
今回、この“マルチベクター”  に対する強化&修正が行われたということです。
以上のような理由から、今回のアップデートはすぐに更新しておくほうが良いでしょう。

ちなみに、ブログを複数運営していると、どのブログがどんなWordPressバージョンを使っているのか?
いちいち覚えていないものですので、一度確認しておくと良いですね。

 

簡単にWordPressバージョンを確認する方法

自分のWordPressサイトのバージョンを確認する方法ですが、
サイトにログイン後、管理画面の「ダッシュボード」にある「概要」から確認することが出来ます。
下図をご覧ください。
現在使っているWordPressのバージョンと、利用しているテーマ、そして更新できる最新バージョンの更新ボタンの様子です。

img 5a35fd7f77c89 - 待ったなし!の理由WordPressのバージョン4.9系

 

しかしここで確認するには、一つ一つ、サイトにログインするのが面倒です。
一番簡単なバージョンの確認方法は、普通にウェブページを閲覧してソースから確認する方法です。

ソースからの確認なら、自分のブログでなくても第三者の誰のブログでもURLが判っていれば、そのWordPressサイトのバージョンを確認することができます。
まず、ブラウザで目的のWordPressサイトを開いたら、ソースを開きます。
Google Chromeなら、ショートカットキー「Ctrl」+「U」でソースのページが一発で出てきます。
その中の、
 <meta name=”generator” content=”WordPress ●.●.●” /> 
という部分が、バージョンの部分です。

metaタグは開いたページの上方にありますがソースから探すのが大変な場合は、検索で調べます。
ソースを開いた状態で、ショートカットキー、「Ctrl」+「F」で検索窓が出てきます。
ここに、“generator” を入力して検索する方が早いです。
以下、図解です。

img 5a35fa7555400 - 待ったなし!の理由WordPressのバージョン4.9系
クリックで拡大

もし、「4.9.1」になっていなければ、この際、アップデートしておきましょう。
今回のようなメジャーバージョンのアップデートは管理画面のダッシュボードから手動で行う必要があります。

img 5a36065cdf476 - 待ったなし!の理由WordPressのバージョン4.9系

尚、マイナーバージョンのアップデートはWordPressのシステムが全自動で行ってくれますので、いちいち手作業で行う必要はありません。

 

バージョン4.7.1を使っていたらアップデートは必須!

自分の使っているWordPressサイトのバージョンを確認した時、もし、「4.7.1」を使っていたら、かなり危険なので必ず最新版にアップデートしておきましょう。

2017年2月6日に、各サーバー会社からバージョン4.7 / 4.7.1の危険性がユーザーにメールで通知されています。
こんな内容です。

■WordPressのREST APIによる脆弱性について
バージョン4.7 / 4.7.1において、REST APIの一部機能を悪用することにより、第三者によるコンテンツの改ざんが可能になる脆弱性が公表されています。
なお、最新バージョンである「4.7.2」にアップデートすることにより回避することが可能です。
詳細は、以下のニュース・Webサイトをご参照ください。

◇ニュース
自動インストール対象プログラム
「WordPress」における最新版(4.7.2)への対応のお知らせ
(2017/02/06 掲載)
https://www.xserver.ne.jp/news_detail.php?view_id=3147

◇IPA (情報処理推進機構)
「WordPress の脆弱性対策について」
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html
(外部サイト)

この文章は、エックスサーバー0 - 待ったなし!の理由WordPressのバージョン4.9系から着たメールの引用です。

もしログインして、

WordPress の新しいバージョンがあります。
WordPress 4.7.2-ja に自動更新するか、手動でパッケージをダウンロードしてインストールできます。

 

↑ こんな記述があったら、4.7.2などではなく、最新版の4.9.1にバージョンアップしておきましょう。