Tag Archive WordPressプラグインアップデート

welcart
このページはWelcartご利用の方が対象です

このページは、2021年08月04日に作成したページです。
このページに掲載しているWelcartの仕様・機能・操作手順は、現在リリースされている最新バージョンのWelcartと異なる場合がございます。

このページに掲載している
Welcartのバージョン:
Welcart2.2.7以下

Welcart 2.2.7までの全てのバージョンに於いて脆弱性報告が発表されました。

Welcart 2.2.7までの全てのバージョンを使い続ける場合、受注データの漏洩の危険性のある重大な脆弱性が確認できました。既に修正を行い、7月31日にバージョン2.2.8をリリースしています。Welcartをご利用の方は直ちにアップグレードを行ってください。

保守契約ご利用中・開発中・納品後3か月以内のお客様

既にバージョン2.2.8へのアップデート対応済です。

アップデートにより、不具合が発生する場合で、サイト運用に重大な影響を与えるものは早急に修正対応致します。

それ以外の不具合は、追って修正スケジュールをお知らせ致します。

 

上記以外のお客様

出来る限り早急に、お客様ご自身でアップグレードしてください。

アップデートにより、不具合が発生する場合で、サイト運用に重大な影響を与える場合は、個別にご相談ください。

それ以外の不具合は、別途有償にて承ります。

 

テストサイトが用意されている場合は、テストサイトでまずアップグレードして検証

お客様によっては、テストサイトをご用意しています。※

※ お客様ご利用中のサーバーや、ご予算、納期等の事情によりテストサイトを用意していない場合もあります。

テストサイトのご用意があるお客様は、先ずはテストサイトをアップグレードし不具合が無いか検証してから、本番サイトをアップグレードしてください。

 

アップグレードの前には必ずバックアップを

 

万が一welcartのアップグレードにより、不具合が発生した場合でも、元の状態に戻せる様にこちらのデータをバックアップしてください。

上記ページの中でも、DBデータは必ずバックアップしてください。

 

対象バージョン

Welcart 2.2.7までの全てのバージョン

 

 

危険性

受注データおよび会員データの漏洩の危険性が高い

 

 

対処法

Welcart 2.2.8以降のバージョンにアップグレードします。

管理画面のプラグインの画面にて、「Welcart e-Commerce」に表示されている「更新」をクリックしてアップグレードを完了してください。

 

welcart
このページはWelcartご利用の方が対象です

このページは、2021年06月09日に作成したページです。
このページに掲載しているWelcartの仕様・機能・操作手順は、現在リリースされている最新バージョンのWelcartと異なる場合がございます。

このページに掲載している
Welcartのバージョン:
Welcart2.2.3以下

welcartの公式からwelcart 2.2.3以下でのクロスサイトスクリプティングの脆弱性報告が発表されました。 welcart 2.2.4よりも低いバージョン(2.2.3以下)を使い続ける場合、管理画面にて、JavaScriptが実行される危険性(クロスサイトスクリプティング)があります。お早めのアップグレード対応をお願いいたします。なお、保守管理をご利用の方・納品後3か月以内のお客様、現在開発中のお客様は、弊社の方でアップグレード済又はアップグレード予定です。

テストサイトが用意されている場合は、テストサイトでまずアップグレードして検証
お客様によっては、テストサイトをご用意しています。※ ※ お客様ご利用中のサーバーや、ご予算、納期等の事情によりテストサイトを用意していない場合もあります。 テストサイトのご用意があるお客様は、先ずはテストサイトをアップグレードし不具合が無いか検証してから、本番サイトをアップグレードしてください。  

アップグレードの前には必ずバックアップを

  万が一welcartのアップグレードにより、不具合が発生した場合でも、元の状態に戻せる様にこちらのデータをバックアップしてください。 上記ページの中でも、DBデータは必ずバックアップしてください。  

Welcart 2.2以降の主な修正

会員関連のセキュリティを強化

  • 会員のスパム登録に対処するため、会員の新規登録時に Google reCAPTCHA v3 の利用ができるようオプション機能を実装
  • 会員登録、パスワード変更時のパスワードポリシーを厳密にチェックおよびメッセージするよう仕様を改善
  • 会員ログインに対するブルートフォース攻撃に対処するため、連続ログイン失敗時のアクセス拒否機能を実装
 

不具合の修正と機能の改善

 
PayPal関連
  • 定期購入の自動受注で決済エラーになった後、再決済ができなかった不具合を修正
  • 継続課金会員情報画面の取引金額が通貨フォーマットされていなかった不具合を修正
  • PayPal を利用停止にすると、内容確認画面で JavaScript エラーが発生する不具合を修正
  • 複数配送先プラグイン利用時、複数配送先を指定した注文を PayPal で決済するとき、決済ができない不具合を修正
 
ブルートフォース対策関連
  • ブルートフォース対策オプション設定が更新できない不具合を修正
  • ブルートフォース対策でログインエラーチェック漏れがあった不具合を修正
 
ウィジェット関連
  • 「Welcart 最近の投稿」というウィジェットを利用した時、記事のタイトルが全て現在表示しているページのタイトルになってしまう不具合を修正
 
その他
  • 管理画面の商品リストで、商品コードまたは商品名順で並び替えをした時に、並び替えの解除が行えるよう仕様を改善
  • 最新のGoogle Analytics for WordPress by MonsterInsightsでコンバージョンが取れなくなった不具合を修正
  • 商品リストで在庫状態を指定して検索した時に、2ページ目に遷移すると検索条件が解除されてしまう不具合を修正
  • 基本設定「会員ポイント:付与する/付与しない」の表示を変更
  • 会員システムを利用しないにしている場合にお客様情報ページに会員規約説明文が表示されてしまう不具合を修正
  • PDF 出力時 PHP Notice エラーが表示される不具合を修正
  • 管理画面の設定項目のヒントが、タイトルをクリックしても表示されない不具合を修正
  • wc_templates用のテンプレートタグ(関数)を追加

WordPress

WordPressのサイトにアクセスした際、「現在メンテナンス中のため、しばらくの間ご利用いただけません」という表示となった場合、それがWordpressやプラグインなどのアップデート中ならば慌てる事はございません。

 

次の様な画面となります。

メンテナンスモード

 

これは、WordPressのアップデートシステムがメンテナンスモードにする為です。

このメッセージが出たからと言って、サイトに不具合が起きているという事ではございません。

しばらくすると自動的に、この表示が解消されて通常通りの状態に戻ります。

 

メンテナンスモードのまま変化しない場合

メンテナンスモードが解消されず、いつまで経っても通常の状態に戻らない場合があります。

その原因の多くは、以下の通りです。

  • 更新途中でブラウザーのタブを閉じてしまった場合
  • プラグインアップデートが、タイムアウト等で失敗してしまった場合
  • そのプラグインが誤動作を引き起こす、互換性の問題があった場合

 

 

メンテナンスモードを手動で解除する

メンテナンスモードを解除するのは簡単です。

FTPでウェブサイトの公開フォルダにアクセスして、「wp-config.php」などと同じ階層にある、.maintenanceファイル を削除するだけです。

 

メンテナンスモード

 

このファイルを削除すると、通常通りにアクセスできるはずです。

ウェブサイトの機能に異常がないか?プラグイン一覧を確認して、アップデートしていたプラグインが正常にアップデートされているか?を確認してください。

WordPress

当社管理下のサイトにおいてwordpressプラグインのアップデートを行った際の検証情報をこちらにてお知らせ致します。

お客様ご自身でプラグインアップデートを行う場合の参考情報として、ご利用ください。

 

※全ての不具合を調査している訳ではございません。そのプラグインの基本的な機能(日常的に操作する部分)のみ確認しているため、発見できなかった不具合がある場合もあります。

より確実な動作情報について

「プラグイン」→「インストール済プラグイン」で表示される各プラグインの「詳細を表示」の順で移動すると「対応する最新バージョン」に対応Wordpressバージョンが記載されています。

 

プラグイン名アップデート
バージョン
アップデート前の
バージョン
※1
アップデートした日アップデートを行った
WordPressバージョン
利用している
テーマ
発見した不具合
Advanced Custom Fields 5.9.4 5.9.3 2021/1/21 5.6 当社制作 問題なし
5.9.5 WP 5.6.2 2021/3/10 5.7 当社制作 問題なし
このプラグインは過去にクロスサイトスクリプティングの脆弱性がありました。ver5.7.8未満をご利用の場合は、必ずアップデートしてください。
脆弱性の詳細は、こちら
All in One SEO 4.0.12 4.0.9 2021/1/21 5.6 当社制作 不具合あり
googleクロームにおいて、メタ説明のデフォルトで入る「投稿コンテンツ」が削除できない。Firefoxでは、削除可能。
4.0.16 WP 5.6.2 2021/3/10 5.7 当社制作 問題なし
このプラグインは過去にXSSの脆弱性がありました。ver3.6.1未満をご利用の場合は、必ずアップデートしてください。
脆弱性の詳細は、こちら
Really Simple SSL 4.0.6 4.0.5 2021/1/21 5.6 当社制作 問題なし
4.0.11 4.0.6 2021/3/9 5.6.2 当社制作 問題なし
4.0.11 WP 5.6.2 2021/3/10 5.7 当社制作 問題なし
Yoast Duplicate Post 4.0.2 3.2.6 2021/1/21 5.6 当社制作 問題なし
4.1.1 4.0.2 2021/2/2 5.6 当社制作 問題なし
4.1.1 WP 5.6.2 2021/3/10 5.7 当社制作 問題なし
このプラグインは過去にSQL インジェクションの脆弱性がありました。ver2.6未満をご利用の場合は、必ずアップデートしてください。
脆弱性の詳細は、こちら
BackWPup 3.8.0 WP 5.6.2 2021/3/10 5.7 当社制作 問題なし
このプラグインは過去に外部からアクセス可能なファイルまたはディレクトリに関する脆弱性がありました。ver3.4.2未満をご利用の場合は、必ずアップデートしてください。
脆弱性の詳細は、こちら
Category Order and Taxonomy Terms Order 1.5.7.4 WP 5.6.2 2021/3/10 5.7 当社制作 問題なし
このプラグインは過去に遠隔から任意のコード実行ができるRCE(Remote Code Execution)に関する脆弱性がありました。ver1.5.2.2未満をご利用の場合は、必ずアップデートしてください。
Classic Editor 1.6 WP 5.6.2 2021/3/10 5.7 当社制作 問題なし
MW WP Form 4.4.0 WP 5.6.2 2021/3/10 5.7 当社制作 問題なし
Search Regex 2.4.1 WP 5.6.2 2021/3/10 5.7 当社制作 問題なし
Search Regex 2.4.1 WP 5.6.2 2021/3/10 5.7 当社制作 問題なし
WP Multibyte Patch 2.9 WP 5.6.2 2021/3/10 5.7 当社制作 問題なし
WP-Optimize 3.1.7 WP 5.6.2 2021/3/10 5.7 当社制作 問題なし
このプラグインは2015年3月に未知の脆弱性があるとの報告があります。(その後の対応は不明)2016年より前のバージョンをご利用の場合は、必ずアップデートしてください。

※アップデート前のバージョンが「WP *.*」の場合は、WordPress側のアップデートです。

WordPress

WordPressやプラグインのアップデートで、ウェブサイトや管理画面の不具合が発生した場合の当社推奨の対応については、以下それぞれのフロー図をご覧ください。

 

 

 

WordPressプラグインアップデート
で不具合が発生したら

もしWordpressプラグインをアップデートした事で、ウェブサイトや管理画面に不具合が発生した場合は、弊社にご相談いただければ有料となりますが原因を調査致します。

原因調査による、対応フローは以下の通りです。

プラグインアップデート不具合対応フロー

 

上記で見積がNGの場合
見積NGの場合

 

 

 

WordPressプラグイン削除による影響

プラグインを削除する事で、当然ながらそのプラグインが提供していた機能が使えなくなります。これが、例えばより運用上(管理上)若干不便になるものなら問題はありませんが、サイトの機能として、また表示する情報として不具合が出てしまう為、テーマ自体を修正する必要がございます。

プラグイン削除を提案する場合は、運用上若干不便にある様な場合や、削除による影響が軽微な場合にのみ、提案致します。

 

WordPress

WordPressは、CMS CMSとは、Contents Management System(コンテンツ・マネジメント・システム)の略で、ウェブサイトのコンテンツを構成するテキスト・画像などをHTMLの知識が無くても作成したり更新したりする事が出来るシステムです。CMSはブログやWordを使える程度のPCスキルがあれば、ウェブサイトを更新する事が出来ます。当社では、Wordpress、MovableTypeやPowerCMSの他、お客様のサイトに合わせて開発するフルスクラッチ型CMSなど幅広く対応しております。 では世界で圧倒的なシェアを誇り、弊社でも最近は制作するウェブサイトの半数以上でwordpressを利用しています。

その世界シェアは2020年1月時点で、CMS CMSとは、Contents Management System(コンテンツ・マネジメント・システム)の略で、ウェブサイトのコンテンツを構成するテキスト・画像などをHTMLの知識が無くても作成したり更新したりする事が出来るシステムです。CMSはブログやWordを使える程度のPCスキルがあれば、ウェブサイトを更新する事が出来ます。当社では、Wordpress、MovableTypeやPowerCMSの他、お客様のサイトに合わせて開発するフルスクラッチ型CMSなど幅広く対応しております。 シェアのうち60%を超えていますが、人気故に攻撃対象となる事も多く、オープンソースが故に脆弱な個所が発見されやすく、そこを突いてきます。

しかし、その人気が高いので脆弱性を修正したパッチの提供も早く、頻繁に更新されています。

 

WordPressやプラグインアップデートのリスク

上記の通りwordpressやプラグインをアップデートは、常に最新の状態に保っておく事が望ましいのですが、稀にアップデートによりウェブサイトに不具合が発生してしまう場合がございます。

ワードプレスのアップデートでサイトが機能しなくなる場合があります

ワードプレス本体がアップデートで使えなくなる事は、あまり無いのですが※、使用しているプラグインとアップデートしたワードプレスバージョンとの互換性が原因で、サイトが機能しなくなる場合がございます。

※メジャーアップデートの場合は不具合が発生する場合があります。

メジャー・マイナーの違いについてはこちら(外部サイト)をご覧ください。

 

アップデートで不具合が出たら

保守サービスを利用していない場合で、弊社規定の期間(納品時にお渡しする書類に期間を記載)を過ぎている場合、その不具合の解消や代替案の施工は有償作業となります。

有償でもアップデートが必要か否かは、お客様自身の判断次第となりますが、そのアップデートが致命的な脆弱性への対応アップデートだった場合は、早急な対処をお勧めします。

 

詳しくはこちらをご覧ください。

 

そのアップデートが致命的な脆弱性に対するものか否かを判断するには

次のサイトを参照して判断してください。

尚、早急に対処が必要な脆弱性の場合は、弊社からメールでお知らせする場合もございます。

 

保守サービスをご利用されているお客様

弊社でサイト保守サービスをご利用されているお客様の場合は、ワードプレス本体と使用しているプラグインのアップデート(上記の検証含む)は、弊社で行う為お客様自身で行っていただく必要はありません。

 

アップデート前には、サイトデータのバックアップを

もしアップデートした事で、不具合が発生した場合、アップデート前の状態に戻す為には、サイトデータのバックアップを行ってからにしましょう。

バックアップすべきデータはこちらをご覧ください。

 

 

 

テストサイトが用意されている場合

ワードプレスを使用したサイト制作をご依頼されたお客様は、サイトの本番化前のご確認用・検証用・開発用としてテストサイトを用意している場合がございます。

なお全てのお客様テストサイトを用意しているものではございません。テストサイトをご用意している場合は、予めテストサイトのURL・ワードプレスのログイン情報等をお知らせしています。

このテストサイトは、上記の通り本番化前の確認用が主な目的ですが、本番化後にはお客様自身でご利用いただく為のサイトとなります。

その主な目的は

  • お客様がワードプレスの各種更新作業を行う為の練習用として
  • ワードプレスのアップデートの検証用として

としてご利用ください。

ワードプレスのアップデートは、先ずテストサイトでテストしてから

ワードプレスは、定期的に更新されます。また、そこに組み込んで利用しているプラグインも更新されます。

お客様のサイトを納品した後は、弊社規定の期間(納品時にお渡しする書類に期間を記載)を過ぎると、保守サービスを利用されない場合は、そのサイトのアップデート対応はお客様自身で行っていただく必要があります。

ハッカーやクラッカーなど悪意を持った個人・団体からサイトを守る為にもアップデートの適用は是非行っていただきたいのですが、公開しているサイトをいきなりアップデートしてしまう事はなるべく避けてください。

 

本体・プラグインのアップデートは、先ずテストサイトで検証

上記の理由から、公開しているサイトをいきなりアップデートしてしまうのではなく、先ずテストサイトでアップデートをテストしてから、問題なければ公開サイト側もアップデートしましょう。

そうする事で、もしアップデートした後に、テストサイトに不具合があった場合でも

  • アップデートしていない公開サイト側のアップデートを一旦延期し、テストサイト側で原因を探る事が出来る
  • とりあえず問題の無い、公開サイト側のデータバックアップが出来る。→そのデータを使って、テストサイトを元の状態に戻す事が出来る。

のです。

 

WordPress

WordPressやWordPressのプラグインは、定期的に更新されます。

wordpressやプラグインをアップデートは、常に最新の状態に保っておく事が望ましいのですが、稀にアップデートによりウェブサイトに不具合が発生してしまう場合がございます。

従って、こちらにご案内しています通りサイトデータのバックアップやテストサイトでの事前検証を行う事が望ましいです。

このようなアップデート前のバックアップや、検証を当社が変わって行う保守サービスです。

対応内容

  • WordPressのアップデート

    WordPressの更新があった場合、リリースから一か月以内にテストサイトで検証した後、本番環境をアップデートします。

  • 利用中のWordpressプラグインのアップデート

    利用しているプラグインのアップデートがあった場合、リリースから一か月以内にテストサイトで検証した後、本番環境アップデートします。

  • アップデート前のローカルバックアップ

    本番環境をアップデートする前に、サイト全体のデータを、ローカル環境に保存します。

  • アップデート前のDBバックアップ

    アップデートする前に、テストサイト・本番環境どちらのDBデータもバックアップします。

  • 緊急を要する脆弱性が発生した場合の対応

    WordPressやプラグインに、緊急を要する脆弱性が発生した場合で、その修正パッチがリリースされた場合、できる限り早急に対応致します。

    緊急性を要する脆弱性とは、IPA(情報処理推進機構)の重要なセキュリティ情報一覧で通知されたものが対象です。

    ※場合によっては、上記で通知されていない場合も対象とします。

     

    修正パッチが提供されない場合

    修正パッチが提供されない場合は、そのプラグインの使用を停止するなどの提案を致します。

    ※そのプラグインの持つ機能が、サイトに重要な役割を持つ場合は、代替案の提示を行いますが、それによる修正費用は別途見積となります。

  • アップデートした事で不具合が発生した場合で、軽微な場合の修正

    WordPressやプラグインをアップデートした事で、不具合が発生したもののうち、その修正が作業工数が1日以内で完了できるものは、修正致します。

    但し、テーマファイル内の修正で改善できるものに限ります。

  • サイトを一時停止する場合のアナウンス画面の作成、設置

    アップデートに長時間かかるものや、サイトの性格上一時停止した方が良いと思われる場合の、メンテナンス中等のアナウンス画面の作成・設置を致します。


 

テストサイトの無い場合

テストサイトが無い場合は、対象のウェブサイトのテストサイトを用意いたします。

 

ご利用中のサーバーに、環境を作れる場合

ご利用中のサーバーが、サブドメインを利用できる場合や、利用中ドメインとは別のテスト環境を作れるサービスを提供している場合で、本番用のDataBaseとは別のDBを作れる場合は、ご利用中サーバーにテスト環境を用意します。

 

ご利用中のサーバーに、環境を作れない場合

ご利用中のサーバーが、上記の様な環境を作れない場合は、弊社所有ドメインのサブドメインで弊社サーバー内にテスト環境を用意します。

 

テスト環境について詳しくは、こちらをご覧ください。


 

テストサイトで不具合が発生したら

WordPressやプラグインをアップデートした事で、サイトに不具合が発生した場合は、先ずお客様担当者にメール又は電話連絡いたします。

そのご連絡で、対応をご説明いたします。

 

対応フロー

もし、WordPressやプラグインをアップデートした事で、サイトに不具合が発生した場合は、以下の対応フローにより対応致します。

いずれにせよ、お客様にとってどのような対応が最適か?を弊社の知識と経験を生かして熟考した上で、対応を提案致します。

 

WordPressアップデートの場合

Wordpressアップデートの対応フロー

 

上記で見積がNGの場合
見積NGの場合

 

WordPressプラグインアップデートの場合

WordPressプラグインアップデート対応フロー

 

上記で見積がNGの場合
見積NGの場合

 

WordPressプラグイン削除による影響

プラグインを削除する事で、当然ながらそのプラグインが提供していた機能が使えなくなります。これが、例えばより運用上(管理上)若干不便になるものなら問題はありませんが、サイトの機能として、また表示する情報として不具合が出てしまう為、テーマ自体を修正する必要がございます。

プラグイン削除を提案する場合は、運用上若干不便にある様な場合や、削除による影響が軽微な場合にのみ、提案致します。

削除による不具合が、テーマ修正で修正出来る場合でも、その作業が1日でテーマ修正可能な場合のみ、プラグイン削除を提案し2日以上かかるものは、別の手段を提案致します。

 

別途費用となる作業(保守費用で賄えないもの)

次の場合は、別途費用となります。

※あくまでもアップデートの検証、アップデート代行とアップデートによる軽微な不具合解消が対象です。機能追加、設定変更、更新管理等のサービスは、別形態の保守サービスのお申込みが必要です。

メジャーアップデート時の対応

WordPressのバージョンがver4.x.x から ver5.0 へのアップデートの様に、バージョンの先頭の数字が変わる場合は、検証費用が発生します。

※プラグインバージョンの場合は、除きます。

不具合が発生した場合で、その不具合解消に2日以上の作業工数がかかる場合

不具合修正に2日以上の作業工数がかかると予測される場合は、修正費用や代替案への対応費用を別途見積致します。見積を確認した上で、発注するかアップデートを断念するか?をご判断ください。

パッチリリース前の不正改竄等の対応

脆弱性を改善したパッチがリリースする前に、その脆弱性を突いた不正侵入、サイト改竄によるサイト復旧は別途費用となります。

 

保守費用について

ウェブサイトの規模や、利用している機能によって異なります為、お客様毎に異なります為、見積依頼をお願いいたします。

弊社で制作したウェブサイトは、その内容を把握している為不要ですが、弊社が制作したものでは無い場合は、事前調査が必要となります。

また、サーバー保守サービスとの組み合わせ等によっても、異なります。

保守料金例 (月額)

一般的なコーポレートサイトの場合(当社制作)

利用している機能
  • WordPress標準の機能
  • お問い合わせフォームのプラグインを利用
  • お知らせ程度の更新機能
保守料金例

5,000円(税別) / 月

 

 

ご利用期間について

6か月毎の契約更新となります。

但し、2年以上ご利用のお客様は契約期間中であっても、途中解約が可能です。※1

※1 その場合、既にいただいている残り契約期間分の料金は返金致します。返金対象期間は、解約手続き月の翌月末~契約期間満了までの料金です。

※2 保守費用が月額2万円未満のお客様は、6月分一括請求となります。

 

この保守サービスを利用できない場合

次に該当する場合、当保守サービスを利用できません。

 

利用しているサーバーのOSやphp、mysql等が古い場合
利用しているWordpressが古い場合

申込時点のバージョンよりも2世代以上古いバージョンのWordPressを利用している場合は、ご利用いただけません。

例えば現バージョンがver5.xだった場合、ver3.xを利用の場合は、ご利用いただけません。

また、一世代前のバージョンの場合は、以下「一世代前のWordpressバージョンご利用のお客様」をご覧ください。

ログインパスワードが簡単なもので、それを変更していただけない場合

ログインパスワードを、誕生日や会社名、数字だけなど予測されやすいパスワードを利用している場合は、複雑なパスワードに変更していただきます。これに応じていただけない場合は、当サービスを利用いただけません。

その他、当社が不適切と判断するウェブサイトやお客様

当社の規定により、不適切と思われるサイト(日本国法に抵触するサイト)や、不適切と思われるお客様(反社会的な職業に従事する方)の場合、当サービスは利用できません。

 

一世代前のWordpressバージョンご利用のお客様

一世代前のバージョンのWordpressをご利用のお客様も当サービスをご利用できますが、利用できる期間はそのバージョンのサポート期間の残りまでとなります。