ECサイト運営用のプラグインWelcartに重要度中の脆弱性が発見されました。
Welcartバージョン 2.10以下をご利用の方で自動更新を有効にしていないWebサイトは、最新バージョンの2.11.21へアップデートしてください。
2.10.1以上ご利用の場合は、何も設定していなくても、自動でアップデート※されます。
※自動アップデートができないサーバーご利用の方を除きます。
脆弱性の概要
2.11.20未満のWelcartには、XSS攻撃(クロスサイト・スクリプティング)攻撃に対する脆弱性が存在します。
この脆弱性は、特定の条件下で認証されたユーザー、特にEditor以上の権限を持つユーザーが、悪意のあるスクリプトを保存できるという脆弱性です。
この悪意のあるスクリプトを埋め込まれたページを訪問者(アクセスした人)がそのページを閲覧した際に実行される可能性があり、結果として、ユーザーのブラウザ上で不正な操作が行われたり、個人情報が盗まれたりするリスクがあります。
XSS攻撃とは?
Webサイトに「本来書かれていない悪意のあるスクリプト(プログラムの一部)」を仕込んで、訪問者が意図しない不正な操作をする事が出来ます。
たとえば、掲示板やフォームに入力した文字がそのまま画面に表示されるような仕組みの場合、そこに攻撃者が「JavaScript」というプログラムを仕込む事で、そのプログラムを仕込まれたページにアクセスすると、そのプログラムを実行されてしまうことがあります。
アップデート対応について
ご利用中のWelcart e-Commerce のバージョンを確認してください。バージョン確認は、こちらの方法でインストールされているプラグイン一覧が確認できますので、その中から「Welcart e-Commerce」を探しそこにバージョンが記載されています。
アップデートによる不具合の可能性
今回のアップデートでは、XSS攻撃に対するセキュリティ強化の他、小さな修正(【ゼウス】あと払い決済用の修正、フック追加、PHPエラー修正)がされていますが、その影響はほとんど無いと思われます。
Welcart e-Commerce 2.10.1以上ご利用のお客様
Welcartは、2.10セキュリティアップデート以降、自動更新となっております。
従って、ほとんどのお客様は何もしなくても自動で今回修正されたバージョンにアップデートされています。
Welcart e-Commerce 2.10以下ご利用のお客様
お客様ご自身でアップデートしてください。
特に、Welcart 2.10でWebサイトに影響がある可能性がある修正が行われています。テストサイトが用意されている場合は、先ずテストサイトを更新して、表示確認・動作確認してから本番サイトを更新してください。
テストサイトの用意が無い場合は、本番サイトを更新するしか方法はございませんが、更新前のデータベースバックアップを必ず行いましょう。
DBデータさえあれば、元に戻せる可能性が高いです。不安なお客様は、有償対応となりますがご相談ください。
Welcartに重要度中の脆弱性 2.10以下ご利用の方は最新版へアップデートの関連記事
この記事には、以下の関連記事がございます。合わせてご覧ください。
Welcart利用サイトのアップデート
弊社で保守契約をご利用いただいていないWelcart利用サイトの場合(開発中、納品後3か月以内のお客様を除く)は、基本的にお客様ご自身でアップデートしていただく事になります。
Welcart利用サイトに限らず、Wordpressを利用したサイトはWordpress本体及び利用プラグインを常に最新の状態にしておく事を推奨いたします。
Welcart本体のアップデート
現在Welcart本体のアップデートでは無く、初期設定で自動更新が有効化されています。(無効化する事はできません)
Welcart専用プラグインのアップデート
welcart専用のプラグインは、FQDN(Welcart稼働サイトのドメイン)を限定している為、登録されているFQDNが一致しないとアップデート出来ない様になっています。
このFQDNは、お客様の本番環境を登録しています。
ウェブサイトのFQDNが変更となる場合
サイトの移設、ショップサイトの独立など等でFQDNが変更となる場合でも、変更が可能です。当社がその作業を行う場合は、FQDNの登録変更※も合わせて行います。
※弊社で制作したサイトで、プラグイン自体の購入も当社を通した場合に限ります。
他社に依頼する場合は、登録変更を行いますので新しいFQDNをお知らせください。(料金はかかりません)
※登録変更権限を委譲する事はできません。
テストサイトのWelcart専用プラグインのアップデート
上記の通り、welcart専用のプラグインは、FQDNを限定している為、テストサイトのFQDNではアップデートが出来ません。
本番環境のWelcart専用プラグインをアップデート前に検証したい場合は、一時的に登録FQDNを、テストサイトのFQDNへ変更(料金はかかりません)しますので、当社までごお申しつけください。
尚、テストサイトのFQDNへ変更してから24時間以内は再度本番サイトのFQDNへ戻す事が出来ません。従って、本番環境のアップデートは24時間後以降にお願いいたします。
それ以外のプラグイン
それ以外のプラグインは通常のWordpressプラグインと同様の方法でアップデートしてください。
Welcart利用サイトのアップデートの関連記事
この記事には、以下の関連記事がございます。合わせてご覧ください。
Welcart2.7更新の注意点
このページはWelcartご利用の方が対象です
このページは、2022年07月20日に作成したページです。
このページに掲載しているWelcartの仕様・機能・操作手順は、現在リリースされている最新バージョンのWelcartと異なる場合がございます。
Welcart 公式より2022年 7月25日(月)にWelcart 2.7がリリースされるという報告がございました。
変更点
このバージョンでは商品情報に関するデータ構造を大きく変更することで、表示スピードの改善したとの事です。
このバージョンではデータ構造が変更される関係で、アップグレード前には十分な検証を行い、またデータベースを更新する為、データベースのバックアップを必ず取得してから更新してください。
仕様の変更点
商品情報に関するデータをまとめ、専用のデータテーブルを追加しています。これによりpostmeta テーブルに大量にある商品メタ情報を削除することができる為、DBへの負荷を軽減します。
アップグレードの影響
アップグレードの影響については「WordPress や Welcart に特に大きな仕様変更がない限りアップグレードに影響はない。」との事ですが、今回のバージョンはその大きな仕様変更に当たります。サイトによっては、影響が出る場合があるとの事です。
もし、保守サービスを利用いただいてない場合で不安な方は、Welcartアップデートの更新を一旦見送りしてください。
但し、今後のWelcart更新は今回アップグレードされるWelcartを元に更新されていくのと、その更新にはWordpressバージョンアップに伴う更新の場合もございます為、必ずいつかはアップグレードが必要になります。
今回は、見送ってもそのままで長期使用することはできませんので、なるべく早い段階でテストサイトで動作検証だけでも行ってください。
拡張プラグインについて
今回のアップグレードではWelcart のみならず拡張プラグインもアップグレードいたします。Welcart本体をアップグレードした後、拡張プラグインもアップグレードしてください。
アップグレード作業が必要なプラグイン
- DL Seller(Ver 3.4.0)
- Multi Price(Ver 1.3.0)
- Auto Delivery(Ver 1.6.0)
- SKU Select(Ver 1.4.0)
- RakurakuZaiko(Ver 1.3.0)
- NEXT ENGINE(Ver 1.1.0)
- Instagram Shopping(Ver 1.1.0)
- zaiko Robot(Ver 1.1.0)
- Yamato Number(Ver 1.2.0)
- Sagawa Number(Ver 2.0.0)
テーマファイルへの影響
Welcart 2.7 へアップグレードを行うと一部動作しなくなる機能がありテーマファイル自体の修正が必要な場合がございます。
Welcart 2.7へのアップデートする場合は、テストサイトで検証してから
当社でWelcartご利用のサイトを制作した場合は、テストサイトを用意※しています。テストサイトでのアップデート後、不具合が無い事を確認した上で本番側サイトをアップデートしてください。また、本番サイトをアップデートする前に、こちらに記載されているデータをバックアップしてください。
※ ウェブサイト全ての制作を当社で行った場合が対象です。サイトの一部のみの制作を請け負った場合は、対象ではありません。
お客様別の対応
当社保守サービスご利用のお客様
WordPress利用サイトのアップデート保守サービスご利用のお客様は、Welcart 2.7へのアップデートと検証、不具合が発生していた場合はその修正を行います。
納品[本番化]から1か月以内のお客様
納品後サポート期間が有効ですので、追加費用無でWelcart 2.7へのアップデートと検証、不具合が発生していた場合はその修正を行います。
※納品後サポートはサイト制作時のみ有効であり、サイトの更新時は含まれません。Welcart 2.7以下ご利用の方は、Welcart 2.7にアップグレードしない状態で更新致します。Welcart 2.7以上にアップグレードした上で更新して欲しい場合は、別途動作検証料金(不具合が発生した場合は、その修正料金)が必要となります。
納品[本番化]から3か月以内のお客様
納品後アップデート保守が有効ですので、追加費用無でWelcart 2.3.2へのアップデートと検証を行います。不具合が発生していた場合は軽微な場合は、無償修正致しますが大幅な修正が必要な場合は、別途見積となります。
※ ウェブサイト全ての制作を当社で行った場合が対象です。サイトの一部のみの制作を請け負った場合は、対象ではありません。
※納品後アップデート保守はサイト制作時のみ有効であり、サイトの更新時は含まれません。Welcart 2.7以下ご利用の方は、Welcart 2.7にアップグレードしない状態で更新致します。Welcart 2.7以上にアップグレードした上で更新して欲しい場合は、別途動作検証料金(不具合が発生した場合は、その修正料金)が必要となります。
上記以外のお客様
Welcart 2.7へのアップデートをご自身で行う場合は、自己責任で行ってください。WordPress利用ウェブサイトのWordPress及びプラグインのアップデートについての注意事項は、こちらをご覧ください。アップデート前には、必ずこちらに記載されているデータをバックアップしてください。
また、有償となりますが当社でアップデート作業・検証・不具合が発生していた場合はその修正作業を承る事も可能です。
Welcart2.7更新の注意点の関連記事
この記事には、以下の関連記事がございます。合わせてご覧ください。
Welcartの商品画像登録機能が変更になりました
このページはWelcartご利用の方が対象です
このページは、2022年07月08日に作成したページです。
このページに掲載しているWelcartの仕様・機能・操作手順は、現在リリースされている最新バージョンのWelcartと異なる場合がございます。
- このページに掲載している
Welcartのバージョン: - Welcart2.6
Welcartの商品画像は、「Image Uploader for Welcart」プラグインを利用する事で、商品画像の複数画像登録を行っていましたが、Welcart2.6よりWelcart自体に商品画像登録機能が実装されました。
従来の商品画像登録
新しい商品画像登録
仕様変更で以下の点が改善されました
画像のファイル名を商品コードとするというルールがなくなりました。
その画像ファイル名のままアップロードすることができます。ただし、該当する商品編集画面からアップロードする必要があります。ファイル名は自由になりますが、サーバーが認識しやすい文字(半角英数など)を使用することをお勧めします。全角文字は使わない方が良いです。
同じ画像ファイルを他の商品にも適用することができます。
メディアにアップロードされている画像であれば簡単に商品に適用、また逆に適用除外ができます。
メイン画像とサブ画像を簡単に入れ替えられるようになりました。
メイン画像とサブ画像の入れ替え、あるいはサブ画像の並び順をドラッグ&ドロップで簡単に行えます
Welcart2.6以上にアップデートした場合、従来方式だと不具合が発生する場合がございます
Welcart2.6以上にアップデータし「Image Uploader for Welcart」プラグインを使い続けていた場合、そのまま使える様ですが、特定商品の商品画像がアップロードが出来ないなどの不具合が報告されています。その場合は、「Image Uploader for Welcart」プラグインからWelcart自体の商品画像登録機能へ移行する事で解消されます。
welcart標準の商品画像登録機能への移行
「Image Uploader for Welcart」からWelcart自体の商品画像登録機能へ移行する際には、必ず既存登録データのデータコンバートを行う必要があります。
お客様ご自身でのアップデート
以下の「お客様自身で画像登録機能をアップデートする手順」参照の上、アップデート作業を行ってください。
弊社にアップデートを依頼する
当社で制作したWelcartサイトのお客様に限り16,500円(税込)で承ります。
以下のアップデートする手順の作業全てと、アップデート後の動作確認を行います。
テストサイトの用意のあるお客様は、テストサイトで動作確認してから本番サイトをアップデート致します。
サイト保守契約をご利用のお客様
保守契約で対応します。
※15作業ポイント消費します。
他社で制作したWelcartサイトの場合
アップデートするWelcartサイトをフロント・管理画面・テーマファイル全てを確認させていただいた上で、見積提示致します。
お客様自身で画像登録機能をアップデートする手順
-
先ずは現在のDBをバックアップしてください。
データベースを必ずバックアップしてください。万が一、不具合が発生した場合、元に戻す事が可能です。
データベースバックアップの方法
phpmyadminが利用できる場合は以下をご覧ください。
WordPressプラグインを使ってデータベースバックアップする場合は、は以下をご覧ください。
-
welcartが最新じゃない場合は、「プラグイン」→「インストール済プラグイン」から「Welcart e-Commerce」を更新してください。
-
「Welcart e-Commerce」を更新したら次の動作確認を行ってください。
- サイトが問題なく表示されているか?
- Welcart Shopからの各登録情報が一通り問題ないか?
- Welcart Managementからの各登録情報が一通り問題ないか?
- 商品のカートボタンをクリックして、カートへ問題なく反映されるか?
- カートの中~注文完了までテスト注文して、問題なく受注処理が完了するか確認。
-
「Image Uploader for Welcart」プラグインを無効化
-
コンバーター用のプラグインをダウンロード
こちらからコンバート用プラグインをダウンロードします。
ダウンロードしたプラグインをWordpressにアップロードしてください。
-
再度データベースをバックアップしておきます。
手順1でバックアップしたDBとは別名でバックアップします。 -
コンバーター用のプラグインをアップロードしたら、「プラグイン」→「インストール済プラグイン」に「WCEX Data Converter for Image Uploader」が追加されるので「有効化」をクリックします。
-
次のメッセージが表示されたら「更新を行う」をクリックします。
-
「更新開始」をクリックします。
-
「OK」をクリックします。
-
コンバートが開始されます。データ更新が開始され終了が表示されたら、コンバート完了です。
「WCEX Data Converter for Image Uploader」は自動的に無効化されます。プラグインは削除しても構いません。
-
次の動作確認を行ってください。
- 既存商品の商品画像が問題なく表示されているか?複数画像登録されている商品は、全て表示されているか?
- 既存商品を複写してテストとして商品登録した後、新規画像登録してみる。その商品の商品ページを確認する。
- 複写したテスト商品の商品画像を更新してみる。削除・並び替え・画像の追加をテストする。
Welcartの商品画像登録機能が変更になりましたの関連記事
この記事には、以下の関連記事がございます。合わせてご覧ください。
