Tag Archive WordPressプラグインアップデート

WordPress

WordPressや、WPプラグインはPHPというプログラム言語を利用しています。

こちらで説明している通り、PHPは定期的にアップデートされ各バージョンには、サポート期間が設定されています。

これに合わせてWordpressや、WPプラグインも新しいPHPバージョンに合わせたアップデートが行われて、逆に古いPHPバージョンは利用できなくなって行きます。

 

つまり、古いバージョンのPHPで運用しているWordpressサイトはWordPressやプラグインが対応しなくなる為、WordPressやプラグインが更新が出来なくなります。従って、現在のWordpressサイトをリニューアルせずに運用するには、どこかのタイミングで新しいPHPバージョンに切り替える必要がございます。

しかし、これもただ切り替えて済むものではございません。新しいPHPバージョンに切り替えた時、今度はWordPressサイトの方がそのPHPバージョンに対応していない部分がある場合がございます。

現在のWordpressサイトを新しいバージョンのPHPへ変更した場合の影響や古いPHPでWordpressを運用し続けるリスクは、以下をご覧ください。

 

この様に、Wordpressサイトはどこかのタイミングで新しいバージョンのPHPへ切り替えて、切り替えたことで出現する不具合を解消してサイトを延命する必要がございます。

WordPressサイトの
PHPバージョンアップサービス

 

保守サービスをご利用の場合は、心配する必要はありません。弊社がWordPressやプラグインに加えて、PHPも利用中のバージョンのサポート期限が切れる前に、切替します。切り替えたことで出現する不具合についても全てではございませんが、保守費用内で不具合解消します。

 

保守サービスをご利用されていないお客様にも、安心して新しいバージョンのPHPへ切り替えを行う事が出来るPHPバージョンアップサービスをご用意しています。

サービスをご利用できるWordpressサイト

弊社で制作したサイト

弊社で制作したサイトは、全てのサイトでご利用が可能です。

他社で制作したサイト

他社で制作したサイトも基本的には対応致しますが、Wordpress管理画面へのログイン情報、FTP接続の情報をお知らせいただいた上で事前調査が必要となります。調査の結果、可否をお知らせいたします。

※調査費用はかかりません。

 

 

ご利用中のサーバーについて

このサービスは、新しいバージョンのPHPがインストールされている又はインストールすることが出来るサーバーをご利用中であることが前提です。古いOSや古いバージョンのデータベースを利用している場合は、新しいバージョンのPHPをインストールすることが出来ない(出来ても不具合が発生する可能性が高い)為、PHPバージョンアップよりも前に新しいバージョンのOSがインストールされたサーバーへのサーバーリプレイスしてからになります。

※なお、弊社はUNIX系OSが専門です。Windows系OSをご利用の場合は、お断りするか別業者を相談致します。


切替するPHPバージョン

切替するPHPバージョンは、共用サーバーの場合はそのサーバーで提供されている最新のバージョンに切替します。

 

専用・VPS・クラウドの場合

専用・VPS・クラウドの様な、root権限付サーバーは、お客様とご相談の上、決定致します。

root権限付サーバーはインストールされているOSがバックサポートしているPHPバージョンを利用することが望ましいのですが、OSバージョンによって古いバージョンのPHPとなることがございます。例えば、RockyLinux8.3ではPHP7.4が標準でインストールされておりバックサポートも2029年までと長く設定されていますが、7.4を使い続けるとWordpress側が対応しなくなります。その場合は、REMIリポジトリから取得できるPHPバージョンの中から、最新のものをインストールします。但し、REMIリポジトリから取得したものは、サポート期間が短い為、その後も定期的にバージョンアップが必要になります。

この様に、お客様によって事情が異なるので、どのバージョンのPHPが良いのか総合的に判断した上で、弊社からご提案いたします。

 


料金について

サイトの規模、利用中のプラグイン、その他提供中の機能によって、作業量が異なる為、ご利用するウェブサイトによって異なります。事前にお見積り提出致します。


作業期間について

こちらもサイトの規模、利用中のプラグイン、その他提供中の機能によって、作業量が異なる為、ご利用するウェブサイトによって異なります。お見積りと一緒に報告します。


作業内容

作業前バックアップ

作業開前に、サーバーデータ※とデータベースをバックアップします。テストサイトが用意されている場合は、本番・テスト両方バックアッブします。

テストサイトの用意

動作検証や修正作業はテストサイト側で行う必要がございます。(本番環境でPHPバージョンを切り替えると、サイトに不具合が発生してしまう可能性がある為)

テストサイトが無い場合は、同一サーバー又は弊社のテストサーバー※においてテスト環境を作成して、そこで動作検証や修正作業を行います。

※サーバーの仕様で現在利用中のPHPバージョンと新しいバージョンのPHPをサイト毎に切り替えることができない場合は、弊社のテストサーバーでテスト環境を作成します。

 

既にテストサイトがある場合

既にテストサイトがある場合でも、本番環境と完全同期してから作業を行います。(テストサイト側が更新されていないことが多く、不具合を見逃さないため)

その関係で、管理画面へのログイン情報が本番用と同一になってしまいますのでご了承ください。

また購入情報や会員情報等の個人情報は、テストサイト側での個人情報流出を防ぐ目的に、同期直後全ての個人情報を削除させていただきますので、ご了承ください。

 

テストサイトでPHPを切替して動作検証

テストサイト側で実際にPHPを切替して動作検証を行います。動作検証は以下の各項目について検証します。より詳細に動作確認を希望される場合は、作業オプションの詳細検査をご指定ください。

WordPress及び利用プラグインを全て最新バージョンへアップデート

WordPress本体と利用中のプラグインは全て検証前に最新バージョンへアップデートします。

 

フロント側の表示確認

公開側ページの表示確認を行い表示の確認を行います。全てのページを確認するのではなく、各テンプレートが出力するぺージから任意に数ページ選択して表示を確認します。

フロント側の機能動作確認

動的な機能の動作確認を行います。問い合わせフォームは、送信テストを行い正常に送信されることを確認します。Welcart利用の場合は、会員登録、購入などをテストします。

管理画面側の機能動作確認

記事や固定ページ、カスタム投稿それぞれに、テスト記事を登録して問題が無いことを確認します。

 

不具合の解消

新しいバージョンのPHPに切り替えたことによる不具合を修正します。

但し当サービスで修正できる不具合修正は、1日(1人日)以内で修正できるものに限ります。修正に2日(2人日)以上かかるものは別途費用となりますのでご了承ください。

対応フローは「WordPress利用サイトのアップデート保守サービス」と同様となりますので、保守サービスの対応フロー図をご覧ください。

本番環境でのPHP切替、不具合箇所を修正したファイルをアップロード、簡易動作確認

テストサイト側での動作検証、不具合の修正が完了したら、予め切替日をご相談した上で、不具合箇所を修正したファイルをアップロードした上で本番側のPHPバージョンを切替ます。切替後、再度簡易動作確認を行います。

 

専用・VPS・クラウドの場合

root権限付サーバーは、共用サーバーの様に簡単な切替は出来ませんが、決定したPHPバージョンのインストール、PHP設定、WWWサーバーの設定等も当サービスに含まれます。

 


作業オプション

動作確認報告書の提出

行った動作確認をリスト化した動作確認報告書を作成して提出します。

詳細検査

より細かい動作検証を行います。

公開されている全てのページを表示確認し、レスポンシブの場合はPC表示、スマートフォン表示それぞれの表示確認を行います。

また各機能について考えられる全てのパターンを検査します。

こちらのサービスご利用の場合は、標準で動作確認報告書を提出します。

アフターサポート

PHPの切替から6か月以内にお客様サイドで不具合を発見した場合は、追加料金なし※で不具合修正致します。弊社まで不具合箇所と具体的なエラー内容をお知らせください。

※この場合も、1日(1人日)以内で修正できるものに限ります。

WordPress

PHPはWordpressを構成する最も重要なプログラム言語です。従って、使用するPHPをバージョンアップしたり、逆にWordpress側をバージョンアップするとWebサイトに不具合が出ることがあります。

理想は、WordPressとインストールされたプラグインを常に最新のバージョンにアップデートして、サポートが有効なPHPバージョンを利用することですが、利用しているサーバーの事情や、お客様のご予算の都合上難しい場合は、以下をお読みいただいた上で運用方針を決定してください。また、各ご事情を考慮した上でお客様に最適な運用方法をご提案(料金はかかりません)することも可能ですので、お気軽にご相談ください。

 

また、弊社がお客様に代わってWordpressとインストールされたプラグインを常に最新のバージョンにアップデート→動作確認→不具合が出た場合は修正を定額料金で行うお得な保守サービスもご用意しております。

 

 

WordPressが動作するPHPバージョン

WordPressは、どのバージョンのPHPでも動作するという訳ではありません。Wordpressのバージョンによって、対応するPHPバージョンがあります。例えば2023年12月現在で最新のVer6.4のWordpressでは以下の必要条件となります。

メーラー名OS
PHP バージョン7.4以上
MySQL バージョン5.7以上
MariaDB バージョン10.3以上

※ データベースのバージョンで、WordpressはMySQLかMariaDB(MySQL互換のDBサーバー)で動作します。

現在のWordpressサイトを新しいバージョンのPHPへ変更した場合の影響

WordPressもPHPも最新の状態で運用することが望ましいのですが、Wordpressサイトで利用するPHPを新しいバージョンのPHPへ変更した場合、サイト自体に不具合が発生する場合がございます。

具体的には以下の様に不具合が発生します。

 

  • サイトのページに英語のエラーメッセージが表示される
  • サイトのページが真っ白になってしまう
  • WordPress重大なエラーが表示される
    Wordpress重大なエラー
  • サイトのページに英文でエラーメッセージが表示される・体裁崩れが起きている
  • サイトの一部機能が動作しない
  • 管理画面でエラー表示が表示される
  • 管理画面で一部機能が動作しない
  • 特定のプラグインが動作しない

 

上記の様な現象が発生した場合は、Webサイトを更新する必要がございます。具体的には以下の通りです。

テーマファイルが原因の不具合

テーマファイルとは弊社が制作したお客様のサイトを構成する為のPHPで制作したテンプレートファイルです。PHPで制作している為、新しいバージョンのPHPで動作しない又はエラー表示される場合がございます。

その場合、弊社では以下の対応をいたします。

 

保守サービスご利用の場合・納品後(新規)6か月以内の場合

多くの不具合は、保守サービス内で対応する為、追加費用などはかかりません。また、納品後6か月以内の場合は保守サービス同様の対応を致します。

 

サイト更新をご依頼いただいた場合

Webサイトの更新をご依頼いただいたWordpressサイトは、更新の種別によって対応が異なります為、個別にご対応させていただいています。

 

上記以外のお客様

有償にて動作検証・不具合修正を行っていますので、ご相談ください。

 

利用しているプラグインが原因の不具合

プラグインはWordpressとは別の開発者がサポートしている関係で、新しいバージョンのPHPでの動作は利用プラグイン次第ということになります。対応されるまでの期間もプラグインによって異なる為、一旦は新しいバージョンのPHPへの変更を保留し、プラグインの更新を待つことをお願いします。

 

一定期間経過してもプラグイン更新が無い場合

一定期間経過してもプラグイン更新が無い場合は、そのプラグイン開発者がサポートを止めてしまっている可能性がございます。その場合、そのプラグインがWebサイトにとっての重要度が低い場合は、利用の停止をお勧めします。重要度の高いプラグインの場合は、代替策(代替プラグインの利用など)を検討する必要があります。

 

 

古いPHPでWordpressを運用している場合

WordPressが対応外としているPHPバージョンの場合、Wordpressのダッシュボードに以下のメッセージが表示されます。

※ 管理画面左メニューの「ダッシュボード」をクリックすると表示します。ただしサイトによっては、表示しない設定にしてある場合があります。

 

WordpressのPHP警告

 

上記の場合、対応しているPHPのバージョンと利用しているPHPのバージョンが近いので、問題なく動作していますが、あまりにも古いPHPバージョンだと管理画面にアクセスしてもエラー表示が表示されたり、画面が真っ白となったりしてログインすることも出来ない場合があります。

プラグインの場合

プラグインもWordpress同様にPHPで構成されています。プラグインは、Wordpressとは別の開発者がサポートしている為、全てのプラグインが最新のWordpressが推奨するPHPバージョンに対応させているとは限りませんが、更新を頻繁に行っているプラグイン※ならば最新のWordpressに対応する形でアップデートされています。その為、プラグインが動作するPHPバージョンも新しいものに限られる場合がございます。その場合は、プラグイン一覧で以下の様に表示されます。

※ 弊社で制作したサイトは、特別な事情が無い限り更新サポートが頻繁に行われているプラグインを利用することをポリシーとしています。

 

古いPHPでのプラグイン更新表示

 

 

古いPHPでWordpressを運用し続けるリスク

古いPHPのままWordpressサイトを運用し続ける場合、直ちに影響がある場合ではありませんが、何れは対応しないと以下の様なリスクがあります。

WordPressが更新できない

WordPressがそのPHPに非対応となる為、Wordpressを更新できない状態になります。そうなると、プラグインも更新が出来なくなる(利用しているWordpressバージョンにプラグイン側が対応しなくなる)事になります。

そのままの状態でもサイト運用に問題ないので、即リスクがある訳ではございませんが、もしWordPressや利用しているプラグインに脆弱性が発覚した場合、そのセキュリティリスクに晒される状態になります。

 

プラグインが更新できない

WordPress同様に、プラグインがそのPHPに対応しなくなる為、プラグインの更新が出来なくなります。プラグイン更新には、脆弱性の対応も含まれるのでやはりセキュリティリスクに晒される状態になります。

 

WordPressやプラグイン更新を放置した実例

WordPressやプラグインを古いまま使用していたサイトで実際に次の様な実例がございました。多くの場合、セキュリティについて甘く考えており、事が起こってからあわてて相談されるケースが後を絶ちません。

WordPress4.7でサイト制作してそのまま利用し続けたケース

近年で最も大きなWordPressの脆弱性被害は、2017年にあった150万サイト以上が改ざん被害で、弊社のお客様もその被害に合いました。バージョン4.7.0およびバージョン4.7.1の「攻撃に対する認証が不要」、「リクエストを送るだけで改ざん可能」といった脆弱性が利用され、サイト内のリンクが全て不正サイトに誘導されるという改ざんを受けました。Wordpres管理画面からサーバー内の全てファイルに操作可能な状態であった為、どのファイルが改ざんされているか特定困難だったのと、定期的なバックアップを取っていなかったこと、弊社で制作したサイトではない為、納品時のバックアップも取得できないという状態だった為、結果的に一時的なサイト閉鎖とサイトを全て作り直すということになりました。

 

プラグインの脆弱性を放置したケース

利用しているプラグインの脆弱性が発覚していたにも関わらず、その脆弱性に対応したプラグインを更新せず使い続けていた為、被害に合いました。プラグインのSQLインジェクションの脆弱性でデータベースの中身を参照・改ざん。結果的に管理者パスワードを抜き取られてWordPressの最高権限を取得された後、サイト全体がアダルトサイトへ誘導する為のサイトへ作り替えられていました。このサイトは、バックアップがあった為、バックアップから復元した後、Wordpress本体と全てのプラグインを更新、FTP、DB含む全てのパスワードを変更、かつWP管理ページには、2段階認証を導入した上で、特定のIPアドレスからしか接続できない様にする対策をしました。SQLインジェクションの脆弱性は、DBの中身を全て参照されてしまう危険性がある為、もし個人情報を保管しているDBの場合、その個人情報が流出してしまうという危険性もあります。

Wordpress 脆弱性

この脆弱性は、Wordpressで会員制サイトを運用し、その会員制サイト運用の為にプラグイン「Ultimate Member」を利用しているお客様が対象です。

このプラグインを使用しないで会員制サイトを構築している場合は、対象ではありません。

現在弊社のお客様で、このプラグインを導入して会員制サイトを構築しているお客様はおりませんので、通知メールは送信していませんが、特に緊急性の高い脆弱性の為サポートサイトにてお知らせ致します。

お客様サイドで、このプラグインを導入されている場合は、直ちにアップデートしてください。

Ultimate Memberとは

「WordPress」において会員制サイトを運用するための支援機能を提供するプラグインで、会員制サイト作成プラグインの中でもユーザー権限管理機能が充実している為、人気の高いプラグインです。

脆弱性の概要

 

セキュリティ企業DefiantのWordfence脅威インテリジェンスチームは2023年6月29日にこのプラグインに含まれる特権昇格の脆弱性がサイバー攻撃に利用されていると報告されました。

 

少なくとも5件のIPアドレスを発信元とする攻撃が観測され、この攻撃者によって「wpenginer」「wpadmins」「wpengine_backup」「se_brutal」「segs_brutal」といったアカウントの作成を試行する活動が確認されているそうです。

 

この脆弱性が悪用された場合、サイト上でのユーザの役割を制御するwp_capabilitiesユーザメタ値がadministratorに設定され、未認証の攻撃者が管理者としてサイトに登録されてしまう可能性があります。

もし攻撃者のアカウントが管理者権限を持った場合、登録会員情報の漏洩だけでなく、お客様及び登録会員に対し様々な不利益が予想されます。

 

影響を受けるバージョン

2.6.6以前

対処方法

 

7月1日にリリースした2.6.7にて同脆弱性を解消したとしています。既に管理者権限を作成されてしまっている場合もある為、このプラグインを利用しているお客様は次の対応を直ちに行ってください。

 

  1. プラグインのアップデート
  2. 身に覚えのない管理者アカウントがないか確認
  3. セキュリティ機能を強化するプラグインの利用

 

またこの脆弱性を悪用してログイン入力を盗聴するマルウェアなどが設置されている可能性もあるとし、全ユーザーのパスワードをリセットし、全てのサイト会員へ対し事態の説明をする様に求められています。

 

Wordpress 脆弱性 
このページはWordPress+MW WP Formご利用の方が対象です

このページは、2023年05月19日に作成したページです。
このページに掲載しているMW WP Formの仕様・機能・操作手順は、現在リリースされている最新バージョンのMW WP Formと異なる場合がございます。

このページに掲載している
MW WP Formのバージョン:
MW WP Form4.4.2未満

当社で制作したWordpressを利用したウェブサイトにおいて、メールフォームを設置しているお客様の多くは日本製のプラグイン「MW WP Form」を利用しています。

2023年5月15日、このMW WP Formにディレクトリトラバーサルの脆弱性が発見されました。

MW WP Formの開発元により、脆弱性に対応したMW WP Form 4.4.3がリリースされています。

WordPressをご利用のお客様で、「MW WP Form 4.4.2未満」を導入しているWebサイトをご利用のお客様はアップデートしてください。

 

MW WP Formの開発元の株式会社モンキーレンチからのリリース情報

※WordPress保守契約をご利用のお客様または納品後3か月以内のお客様は既に当社で対応済です。

 

脆弱性の概要

4.4.2未満のMW WP Formには、ディレクトリトラバーサルの脆弱性が存在しています。

 

ディレクトリトラバーサルの脆弱性とは

ファイルやディレクトリを操作する際に、不正なパスを挿入されることによって意図しないディレクトリやファイルを参照、操作されてしまう問題です。悪意あるフォーム送信者は本来参照できないサーバー上のファイルを参照することができ、結果としてサーバのリソース枯渇による DoS または WordPress の再インストール(RCE)につながります。

アップデート対応について

WordPress保守契約をご利用のお客様または納品後3か月以内のお客様

既に当社にて対応済です。

納品後3か月以上のお客様でWordPress保守契約をご利用されていないお客様

お客様ご自身でアップデートしてください。

管理者権限のユーザーIDでWordpressにログインした後、こちらの方法でインストール済みプラグインへ移動します。

プラグイン一覧から、MW WP Formに「新バージョンの MW WP Form が利用できます。バージョン 4.4.5 の詳細を表示するか、更新してください。」と表示されていますので「更新」をクリックしてください。

 

MW WP Form

アップデートによる不具合の可能性

このプラグインはウェブサイトの表示及び問い合わせフォームからのメール送信に関係するプラグインですので、特に古いバージョンのプラグインを利用している場合は、不具合が出る可能性は少なからずございます。テストサイトが利用できるお客様は、先ずはテストサイト側でアップデートしてウェブサイトに不具合が無いか確認してください。

テストサイトが無い場合や、ご心配なお客様は必ずバックアップを取った上でアップデートしてください。

 

 

バックアップするデータ

次のデータをバックアップします。

 

  • WordPressが利用するDBデータ
  • プラグインデータ
    WordPressのディレクトリ/wp-content/plugins/mw-wp-form

 

 

アップデートした事で不具合が発生した場合

テストサイトでアップデートして不具合が発生している場合は、本番環境のアップデートを一旦保留にしてください。

そしてリスクを承知の上で、同プラグインバージョンを使用するか、弊社に不具合の原因調査・修正を依頼するかお客様で判断してください。

 

※ 同プラグインバージョンを利用し続ける事で万が一、お客様に不利益な事象が発生しても当社は一切の責任を負う事は出来ません。予めご了承ください。

 

 

 

 

テスト環境が無く本番環境をアップデートした事で不具合発生してしまったお客様

バックアップデータを使って復元してください。復元方法が分からない場合は、弊社にご依頼いただければ弊社が復元致しますが、作業費用を頂戴する事となりますのでご了承ください。

※ 作業費用及び納期は、お客様によって異なります為、ご依頼前にお尋ねください。見積及び納期を提示致します。

WordPress
このページはWordPressご利用の方が対象です

このページは、2022年08月01日に作成したページです。
このページに掲載しているWordPressの仕様・機能・操作手順は、現在リリースされている最新バージョンのWordPressと異なる場合がございます。

WordPressを利用したウェブサイトの固定ページの追加・更新や新規機能の追加、設定変更などを当社にご依頼された時、WordPress自体及び利用しているプラグインを最新の状態に更新した上で、修正作業を行わせていただきます。

このアップデートは、ご依頼されたウェブサイトのセキュリティ保持と、そのご依頼がその時点での最新環境で動作する状態での納品を行う為です。

その為、このアップデート作業については、修正料金の大小にかかわらず全てのご依頼に対して無償で行います。

但し、アップデート対象のWordpressバージョン、プラグインは以下の取り決めとさせていただきます。また、万が一アップデートによる不具合が発生してしまった場合の対応も以下の通りとさせていただきます。予めご了承ください。

 

アップデート対象のWordpressバージョン、プラグインについて

WordPressバージョンについて

 

WordPressは、同系バージョンの最新版へのアップデートとなります。

 

例えばご利用中のWordpressが4.x だった場合は、4系での最新バージョンへアップデート致します。2022年8月時点でのWordpress最新バージョンは6.0.1ですが4系・5系をご利用の場合、6.0.1へのアップデートは致しません。

 

これは、別系バージョンへのアップデートでの不具合発生の可能性がある為です。もし、古いWordpressをご利用のサイトを最新バージョンへアップデートしたい場合は、別途依頼いただくことになります。その場合は、有償となりますがアップデートの検証・不具合の対応等を行います。対応フローについて詳しくは、こちらをご覧ください。

プラグインについて

 

アップデートするプラグインは、そのサイトの初回制作時(リニューアル時)に当社の判断でインストールしたプラグインのみアップデートとなります。

 

お客様が、ご自身でインストールされたプラグインはアップデート致しません。

 

 

アップデート前のバックアップ

万が一アップデートにより、不具合が発生した場合でも元の状態に戻すことが出来る様に、依頼の大小にかかわらず次のデータバックアップを行っています。

 

  • 更新前の全てのアップロードデータ
  • 更新前の全てのデータベースデータ

 

本番サイト・テストサイト両方共、弊社が手を加える前のデータを保存しております。

 

 

アップデート後の動作確認について

その更新依頼に関連する部分の動作確認を行い、不具合が無い状態での更新を行います。

その他、ウェブサイトの簡単な表示確認・動作確認を行いますが、細かい動作確認等は更新依頼時には行っておりません。

万が一、お客様で不具合を発見された場合、以下の「アップデートにより不具合が発生した場合」の対応を行います。

 

 

アップデートにより不具合が発生した場合

万が一、Wordpress自体及び利用しているプラグインのアップデートでウェブサイトに不具合が発生した場合は、一旦元のバージョンに戻します。

その上で、その更新依頼部分を適応し動作確認した上で納品※致します。

また、今後のアップデートについての対応をお客様へ提案し、協議させていただければと思います。

 

※ アップデートで不具合が出てしまうので、その更新依頼自体を止めるとしても修正料金は頂戴することになります。予めご了承ください。

welcart
このページはWelcartご利用の方が対象です

このページは、2021年08月04日に作成したページです。
このページに掲載しているWelcartの仕様・機能・操作手順は、現在リリースされている最新バージョンのWelcartと異なる場合がございます。

このページに掲載している
Welcartのバージョン:
Welcart2.2.7以下

Welcart 2.2.7までの全てのバージョンに於いて脆弱性報告が発表されました。

Welcart 2.2.7までの全てのバージョンを使い続ける場合、受注データの漏洩の危険性のある重大な脆弱性が確認できました。既に修正を行い、7月31日にバージョン2.2.8をリリースしています。Welcartをご利用の方は直ちにアップグレードを行ってください。

保守契約ご利用中・開発中・納品後3か月以内のお客様

既にバージョン2.2.8へのアップデート対応済です。

アップデートにより、不具合が発生する場合で、サイト運用に重大な影響を与えるものは早急に修正対応致します。

それ以外の不具合は、追って修正スケジュールをお知らせ致します。

 

上記以外のお客様

出来る限り早急に、お客様ご自身でアップグレードしてください。

アップデートにより、不具合が発生する場合で、サイト運用に重大な影響を与える場合は、個別にご相談ください。

それ以外の不具合は、別途有償にて承ります。

 

テストサイトが用意されている場合は、テストサイトでまずアップグレードして検証

お客様によっては、テストサイトをご用意しています。※

※ お客様ご利用中のサーバーや、ご予算、納期等の事情によりテストサイトを用意していない場合もあります。

テストサイトのご用意があるお客様は、先ずはテストサイトをアップグレードし不具合が無いか検証してから、本番サイトをアップグレードしてください。

 

アップグレードの前には必ずバックアップを

 

万が一welcartのアップグレードにより、不具合が発生した場合でも、元の状態に戻せる様にこちらのデータをバックアップしてください。

上記ページの中でも、DBデータは必ずバックアップしてください。

 

対象バージョン

Welcart 2.2.7までの全てのバージョン

 

 

危険性

受注データおよび会員データの漏洩の危険性が高い

 

 

対処法

Welcart 2.2.8以降のバージョンにアップグレードします。

管理画面のプラグインの画面にて、「Welcart e-Commerce」に表示されている「更新」をクリックしてアップグレードを完了してください。

 

welcart
このページはWelcartご利用の方が対象です

このページは、2021年06月09日に作成したページです。
このページに掲載しているWelcartの仕様・機能・操作手順は、現在リリースされている最新バージョンのWelcartと異なる場合がございます。

このページに掲載している
Welcartのバージョン:
Welcart2.2.3以下
welcartの公式からwelcart 2.2.3以下でのクロスサイトスクリプティングの脆弱性報告が発表されました。 welcart 2.2.4よりも低いバージョン(2.2.3以下)を使い続ける場合、管理画面にて、JavaScriptが実行される危険性(クロスサイトスクリプティング)があります。お早めのアップグレード対応をお願いいたします。なお、保守管理をご利用の方・納品後3か月以内のお客様、現在開発中のお客様は、弊社の方でアップグレード済又はアップグレード予定です。
テストサイトが用意されている場合は、テストサイトでまずアップグレードして検証
お客様によっては、テストサイトをご用意しています。※ ※ お客様ご利用中のサーバーや、ご予算、納期等の事情によりテストサイトを用意していない場合もあります。 テストサイトのご用意があるお客様は、先ずはテストサイトをアップグレードし不具合が無いか検証してから、本番サイトをアップグレードしてください。  

アップグレードの前には必ずバックアップを

  万が一welcartのアップグレードにより、不具合が発生した場合でも、元の状態に戻せる様にこちらのデータをバックアップしてください。 上記ページの中でも、DBデータは必ずバックアップしてください。  

Welcart 2.2以降の主な修正

会員関連のセキュリティを強化

  • 会員のスパム登録に対処するため、会員の新規登録時に Google reCAPTCHA v3 の利用ができるようオプション機能を実装
  • 会員登録、パスワード変更時のパスワードポリシーを厳密にチェックおよびメッセージするよう仕様を改善
  • 会員ログインに対するブルートフォース攻撃に対処するため、連続ログイン失敗時のアクセス拒否機能を実装
 

不具合の修正と機能の改善

 
PayPal関連
  • 定期購入の自動受注で決済エラーになった後、再決済ができなかった不具合を修正
  • 継続課金会員情報画面の取引金額が通貨フォーマットされていなかった不具合を修正
  • PayPal を利用停止にすると、内容確認画面で JavaScript エラーが発生する不具合を修正
  • 複数配送先プラグイン利用時、複数配送先を指定した注文を PayPal で決済するとき、決済ができない不具合を修正
 
ブルートフォース対策関連
  • ブルートフォース対策オプション設定が更新できない不具合を修正
  • ブルートフォース対策でログインエラーチェック漏れがあった不具合を修正
 
ウィジェット関連
  • 「Welcart 最近の投稿」というウィジェットを利用した時、記事のタイトルが全て現在表示しているページのタイトルになってしまう不具合を修正
 
その他
  • 管理画面の商品リストで、商品コードまたは商品名順で並び替えをした時に、並び替えの解除が行えるよう仕様を改善
  • 最新のGoogle Analytics for WordPress by MonsterInsightsでコンバージョンが取れなくなった不具合を修正
  • 商品リストで在庫状態を指定して検索した時に、2ページ目に遷移すると検索条件が解除されてしまう不具合を修正
  • 基本設定「会員ポイント:付与する/付与しない」の表示を変更
  • 会員システムを利用しないにしている場合にお客様情報ページに会員規約説明文が表示されてしまう不具合を修正
  • PDF 出力時 PHP Notice エラーが表示される不具合を修正
  • 管理画面の設定項目のヒントが、タイトルをクリックしても表示されない不具合を修正
  • wc_templates用のテンプレートタグ(関数)を追加
WordPress

WordPressのサイトにアクセスした際、「現在メンテナンス中のため、しばらくの間ご利用いただけません」という表示となった場合、それがWordpressやプラグインなどのアップデート中ならば慌てる事はございません。

 

次の様な画面となります。

メンテナンスモード

 

これは、WordPressのアップデートシステムがメンテナンスモードにする為です。

このメッセージが出たからと言って、サイトに不具合が起きているという事ではございません。

しばらくすると自動的に、この表示が解消されて通常通りの状態に戻ります。

 

メンテナンスモードのまま変化しない場合

メンテナンスモードが解消されず、いつまで経っても通常の状態に戻らない場合があります。

その原因の多くは、以下の通りです。

  • 更新途中でブラウザーのタブを閉じてしまった場合
  • プラグインアップデートが、タイムアウト等で失敗してしまった場合
  • そのプラグインが誤動作を引き起こす、互換性の問題があった場合

 

 

メンテナンスモードを手動で解除する

メンテナンスモードを解除するのは簡単です。

FTPでウェブサイトの公開フォルダにアクセスして、「wp-config.php」などと同じ階層にある、.maintenanceファイル を削除するだけです。

 

メンテナンスモード

 

このファイルを削除すると、通常通りにアクセスできるはずです。

ウェブサイトの機能に異常がないか?プラグイン一覧を確認して、アップデートしていたプラグインが正常にアップデートされているか?を確認してください。

WordPress

WordPressは、CMS CMSとは、Contents Management System(コンテンツ・マネジメント・システム)の略で、ウェブサイトのコンテンツを構成するテキスト・画像などをHTMLの知識が無くても作成したり更新したりする事が出来るシステムです。CMSはブログやWordを使える程度のPCスキルがあれば、ウェブサイトを更新する事が出来ます。当社では、Wordpress、MovableTypeやPowerCMSの他、お客様のサイトに合わせて開発するフルスクラッチ型CMSなど幅広く対応しております。 では世界で圧倒的なシェアを誇り、弊社でも最近は制作するウェブサイトの半数以上でwordpressを利用しています。

その世界シェアは2020年1月時点で、CMS CMSとは、Contents Management System(コンテンツ・マネジメント・システム)の略で、ウェブサイトのコンテンツを構成するテキスト・画像などをHTMLの知識が無くても作成したり更新したりする事が出来るシステムです。CMSはブログやWordを使える程度のPCスキルがあれば、ウェブサイトを更新する事が出来ます。当社では、Wordpress、MovableTypeやPowerCMSの他、お客様のサイトに合わせて開発するフルスクラッチ型CMSなど幅広く対応しております。 シェアのうち60%を超えていますが、人気故に攻撃対象となる事も多く、オープンソースが故に脆弱な個所が発見されやすく、そこを突いてきます。

しかし、その人気が高いので脆弱性を修正したパッチの提供も早く、頻繁に更新されています。

 

WordPressやプラグインアップデートのリスク

上記の通りwordpressやプラグインをアップデートは、常に最新の状態に保っておく事が望ましいのですが、稀にアップデートによりウェブサイトに不具合が発生してしまう場合がございます。

ワードプレスのアップデートでサイトが機能しなくなる場合があります

ワードプレス本体がアップデートで使えなくなる事は、あまり無いのですが※、使用しているプラグインとアップデートしたワードプレスバージョンとの互換性が原因で、サイトが機能しなくなる場合がございます。

※メジャーアップデートの場合は不具合が発生する場合があります。

メジャー・マイナーの違いについてはこちら(外部サイト)をご覧ください。

 

アップデートで不具合が出たら

保守サービスを利用していない場合で、弊社規定の期間(納品時にお渡しする書類に期間を記載)を過ぎている場合、その不具合の解消や代替案の施工は有償作業となります。

有償でもアップデートが必要か否かは、お客様自身の判断次第となりますが、そのアップデートが致命的な脆弱性への対応アップデートだった場合は、早急な対処をお勧めします。

 

詳しくはこちらをご覧ください。

 

そのアップデートが致命的な脆弱性に対するものか否かを判断するには

次のサイトを参照して判断してください。

尚、早急に対処が必要な脆弱性の場合は、弊社からメールでお知らせする場合もございます。

 

保守サービスをご利用されているお客様

弊社でサイト保守サービスをご利用されているお客様の場合は、ワードプレス本体と使用しているプラグインのアップデート(上記の検証含む)は、弊社で行う為お客様自身で行っていただく必要はありません。

 

アップデート前には、サイトデータのバックアップを

もしアップデートした事で、不具合が発生した場合、アップデート前の状態に戻す為には、サイトデータのバックアップを行ってからにしましょう。

バックアップすべきデータはこちらをご覧ください。

 

 

 

テストサイトが用意されている場合

ワードプレスを使用したサイト制作をご依頼されたお客様は、サイトの本番化前のご確認用・検証用・開発用としてテストサイトを用意している場合がございます。

なお全てのお客様テストサイトを用意しているものではございません。テストサイトをご用意している場合は、予めテストサイトのURL・ワードプレスのログイン情報等をお知らせしています。

このテストサイトは、上記の通り本番化前の確認用が主な目的ですが、本番化後にはお客様自身でご利用いただく為のサイトとなります。

その主な目的は

  • お客様がワードプレスの各種更新作業を行う為の練習用として
  • ワードプレスのアップデートの検証用として

としてご利用ください。

ワードプレスのアップデートは、先ずテストサイトでテストしてから

ワードプレスは、定期的に更新されます。また、そこに組み込んで利用しているプラグインも更新されます。

お客様のサイトを納品した後は、弊社規定の期間(納品時にお渡しする書類に期間を記載)を過ぎると、保守サービスを利用されない場合は、そのサイトのアップデート対応はお客様自身で行っていただく必要があります。

ハッカーやクラッカーなど悪意を持った個人・団体からサイトを守る為にもアップデートの適用は是非行っていただきたいのですが、公開しているサイトをいきなりアップデートしてしまう事はなるべく避けてください。

 

本体・プラグインのアップデートは、先ずテストサイトで検証

上記の理由から、公開しているサイトをいきなりアップデートしてしまうのではなく、先ずテストサイトでアップデートをテストしてから、問題なければ公開サイト側もアップデートしましょう。

そうする事で、もしアップデートした後に、テストサイトに不具合があった場合でも

  • アップデートしていない公開サイト側のアップデートを一旦延期し、テストサイト側で原因を探る事が出来る
  • とりあえず問題の無い、公開サイト側のデータバックアップが出来る。→そのデータを使って、テストサイトを元の状態に戻す事が出来る。

のです。

 

WordPress

WordPressやプラグインのアップデートで、ウェブサイトや管理画面の不具合が発生した場合の当社推奨の対応については、以下それぞれのフロー図をご覧ください。

 

 

 

WordPressプラグインアップデート
で不具合が発生したら

もしWordpressプラグインをアップデートした事で、ウェブサイトや管理画面に不具合が発生した場合は、弊社にご相談いただければ有料となりますが原因を調査致します。

原因調査による、対応フローは以下の通りです。

プラグインアップデート不具合対応フロー

 

上記で見積がNGの場合
見積NGの場合

 

 

 

WordPressプラグイン削除による影響

プラグインを削除する事で、当然ながらそのプラグインが提供していた機能が使えなくなります。これが、例えばより運用上(管理上)若干不便になるものなら問題はありませんが、サイトの機能として、また表示する情報として不具合が出てしまう為、テーマ自体を修正する必要がございます。

プラグイン削除を提案する場合は、運用上若干不便にある様な場合や、削除による影響が軽微な場合にのみ、提案致します。

 

HTML Snippets Powered By : XYZScripts.com