エス技研

WordPress、CakePHP、PHP、baserCMSなどの Web系システムを中心に情報を提供します!


WordPressは危険?最新バージョンにアップデートして利用しよう

      2017/03/12

WordPressは最新バージョンでリスク回避

 

WordPressを使うことのリスク

 
2013年 9月の情報ですが、情報処理推進機構(IPA)から下記のような注意喚起がなされています。
 http://www.ipa.go.jp/security/topics/alert20130913.html
 
これを見ると、「WordPressを利用するのはリスクは高いのではないか?」と考えてしまうことも致し方がないことだと思います。
ですが、この注意喚起の中に書かれている内容は、「危険だから WordPressは使わないように」ではなく「古いバージョンの WordPressを使っている方は最新のものにバージョンアップを」となっています。
 
つまりは、オープンソースである WordPressを使う場合は、セキュリティ対策の最優先事項は、最新バージョンにしておくこと!ということをしっかり認識しておく必要があるでしょう。
 
 
WordPressがオープンソースで、多くの開発者と多くの利用者がいるということは、セキュリティホールが発見されやすい状況であるともいえます。
ですが、開発者も多いため、セキュリティホールが発見されてもその対策も素早く実施されるということでもあります。
 
つまり、WordPressは多くのユーザ、開発者に支えられ、セキュリティホールがあってもすぐに対策が実施され、最新版であれば安心して使えるシステムになっています。ということです。
 
WordPressが危険なプログラムなのであれば、ここまでユーザが広がることはなかったのではないでしょうか。
 
 
逆に、利用者が少なく、開発者が少なく、バージョンアップが少ないシステムの場合は、セキュリティホールは見つかりにくいかもしれませんが、セキュリティホールが見つかってもその対策が実施されるまでに時間がかかり、場合によっては対策が実施されない可能性もありますので、こちらの方がリスクは高い場合があるでしょう。
 
 

WordPressのアップデートを行う前にバックアップを

 
WordPressのアップデートを行う前には、必ずバックアップを取りましょう。
 
WordPressのバックアップというと「BackWPup」というメジャーなバックアッププラグインがありますので、それを利用すると便利です。
詳しくは「BackWPupでWordPressのDBもファイルもバックアップ」に書いていますので参考にしてください。
 
BackWPupの関連記事は 10記事ほど書いていまして、バックアップを取った後元に戻すリストアの方法も「BackWPupでバックアップ・リストア(復旧)の具体的手順」として記事を書いていますので、参考にしてください。
 
「BackWPup」は設定項目が多く取っつきにくい印象はありますが、ほとんど項目はデフォルトのままで設定が終わりますし、一度設定してしまえば、バックアップの実行はワンクリックで実行完了になりますので非常に便利です。
 
 
また、WordPressのアップデートに関しては、公式オンラインマニュアルである「WordPress Codex」に説明書きがされていますので、参考にするといいでしょう。
http://wpdocs.sourceforge.jp/WordPress_のアップグレード/詳細
 
ここでもまずバックアップを、と書いてありますように、万一に備えてバックアップを取る習慣を付けておきましょう。
 
 


 

WordPressのアップデートの実行

 
具体的な更新手順です。
この手順は、WordPressのバージョン 3.9から 4.0へのバージョンアップ時の手順です。
基本的な手順はどのバージョンでも変わりませんが、各画面のイメージや遷移する画面が違う場合はあるでしょう。
 
20141120_wp_01
 
管理画面の上部にある「更新してください。」をクリックします。
 
20141120_wp_02
 
「今すぐ更新」をクリックします。
ちなみに、「Important: before updating, …….」の部分には、前項でも書きましたが、バックアップを取ることは非常に重要なことですので、BackWPupでバックアップを取りましょう、と書いてあります。
それくらい万一の時に備えてバックアップが大事だ、と言うことですね。
 
20141120_wp_03
 
「今すぐ更新」をクリックすると、ファイルがダウンロードされ、アップデートが開始されます。
時間は 10秒~1分ほどです。ここはサーバと回線スピードによって影響を受けますので各サーバで大きく違うと思います。
ダウンロードの処理などが行われている最中は上記の画面が出る場合がほとんどですが、私の環境では、アイコンがぐるぐる回るファイルをダウンロードしている状況の表示が出続け、上記の画面が出るのは一瞬でした。
 
20141120_wp_04
 
そのあと、アップデートは自動的に終了し、自動的にログイン画面に切り替わります。
 
 
20141120_wp_05
 
定期的にアップデート作業をしていた場合はこれで終了ですが、3.9より以前のバージョンからバージョンアップする場合などは、上記のようにデータベースの更新を求められる場合があります。
「WordPressデータベースを更新」をクリックし、データベースを更新しましょう。
 
20141120_wp_06
 
しばらく待つと更新が完了します。
 
 
また、「WordPressの管理画面ログインURLの変更方法解説」で説明している方法で管理画面のログインURLを変更している場合は、アップデート終了後、ログイン画面切り替わらずに真っ白な画面になってしまいます。
 
これは、エラーと言えばエラーですが、元々のログインURLである「http://………/wp-login.php」を変更していることが原因ですので、改めてログイン URLを入力してログインし直してもらえれば問題ありません。
アップデートは正常に終了しています。
 
 

WordPressのアップデートは怖くない

 
アップデートを実行は、日常的な記事を投稿する運営に比べるとトラブルが発生する可能性を高めることは間違いありませんが、アップデートは不具合が起こらないように作られたプログラムによって実行されますので、基本的に不具合は起こりません。
 
また、ブログシステムとして利用していて、管理画面から変更できる部分しか変更していない場合(プラグインの追加やテーマを変更することによるデザイン変更など)は、トラブルは起こらないように作られています。
 
 
下記のサイトに説明がされていますが、
http://9ensan.com/blog/wordpress/fix-wordpress-apply_filters-add_flter/
 
/{WordPressがインストールされている場所}/wp-include/
のフォルダの中にはコアファイルと呼ばれる WordPressの基本プログラムが入っています。
 
ここはバージョンアップする際に差し替えられる部分ですので、ここに手を加えてはいけません。
逆にここの中のプログラムに手を加えた場合は、バージョンアップの度にまた戻す必要が出てきますので、バージョンアップが億劫になるため、セキュリティの低下を招く結果となります。
 
「wp-include」フォルダの中の処理は、「/wp-content/themes/{テーマ名}/functions.php」の中でフィルターフックを利用することで関数を拡張することができるようになっていますので、「wp-include」フォルダの中は手を加えないようにしましょう。

 - WordPress

GoogleAdwords

GoogleAdwords

最後までお読みいただきましてありがとうございます。
この記事が参考になったと思いましたらソーシャルメディアで共有していただけると嬉しいです!

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

下記の空欄を埋めてください。 * Time limit is exhausted. Please reload CAPTCHA.

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

※入力いただいたコメントは管理者の承認後に掲載されます。

  関連記事

WordPress 任意のファイルを読み込むショートコードの処理

投稿ページにショートコードを利用して任意のファイルを読み込む処理の解説です。

WordPress・Contact Form7、MW WP Form共通 細かなデザイン調整方法

お問い合わせフォームプラグインの Contact Form7、MW WP Formにおけるラジオボタン、チェックボックスなどの見た目を調整する小技を紹介。

get_categories、get_termsでカテゴリとタクソノミーのターム一覧の編集方法

get_categories()関数やget_terms()関数を使ってタクソノミーのタームを取得し検索処理の部品を作るプログラム作りその解説をしています。

WP-PostRatingsでWordPressに自由度が高い口コミサイトを構築

口コミの評価点を投稿する機能に特化したプラグインで、多様なイメージと投稿方法が用意されていてサイトにあったイメージを選択できます。

Custom Post Type UIでカスタムタクソノミーを設定・バージョン1.4対応解説

カスタムタクソノミーをプラグインCustom Post Type UIを使って設定する方法の解説。バージョンアップにより設定する項目も増え続け、より柔軟な設定が可能に。

WordPressのウィジェットでショートコードを使う方法add_filter

WordPressのウィジェットでショートコードを利用するには add_filter、do_shortcodeの関数を利用する必要があります。

Better Delete Revisionを使って WordPressのリビジョンを削除する方法

自動的に溜まるリビジョンは Better Delete Revisionを使うことで簡単に削除することが出来ます。表示の重さを軽減したり、バックアップファイルのスリム化に貢献します。

WordPressのPing・更新情報サービス設定方法とPingサーバ

WordPressのPing機能、更新情報サービスの設定方法の解説と Pingサーバのリストを提供しています。

WordPressのカテゴリ単位・フォルダ単位でBasic認証を設定する方法

カテゴリ単位でBasic認証を設定する方法の解説。WordPressのカテゴリはフォルダの実態がないですが、実は簡単な方法でプラグインも使わずにBasic認証を設置できます。

WordPressの管理画面ログインURLの変更方法解説

管理画面のログインURLの変更は極めて有効なセキュリティ向上の方法ですので、その解説を行います。