• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer

株式会社ハイファイブクリエイト

東京都を拠点にWebサイト制作やシステム構築、WordPress保守管理やウェブコンサルティングを提供。

  • SERVICE
  • ABOUT
  • WORKS
  • BLOG
  • NEWS
  • CONTACT
ホーム / ブログ / WordPress / WordPressサイト制作時の注意点。古すぎるプラグインを使っているとアップデートが困難に

WordPressサイト制作時の注意点。古すぎるプラグインを使っているとアップデートが困難に

池田祐太郎 | 2021年6月17日 公開 コメントを書く

WordPressでサイト制作をする大きいメリットの一つとして、プラグインが利用できる点が挙げられます。様々なプラグインが無償で公開されているため、ほしいと思った機能はたいていプラグインで手に入る、という素晴らしい環境です。

サイト制作を自分で(自社で)しても、制作会社(フリーランス)に依頼しても、いずれもプラグインを1つも使わないということは現実的にほぼあり得ません。

一方、注意したいのが「どんなプラグインを利用しているか」「正しくプラグインのメンテナンスができているか」ということ。

  • 公式ディレクトリから停止されたプラグイン
  • 最終更新日が数年前となっているプラグイン
  • 公開時からアップデートをしていない
  • 脆弱性が発見されたプラグインを利用している

ひとつでも上記に当てはまったら要注意。WordPressのアップデートができなかったり、いつの間にかサイトが改ざんされていたり、情報漏えいしていた、ということリスクがあるため非常に危険です。

一つずつ見ていきましょう。

目次

  • 1 公式ディレクトリから停止されたプラグイン
  • 2 最終更新日が数年前となっているプラグイン
  • 3 公開時からアップデートをしていない
  • 4 脆弱性が発見されたプラグインを利用している
  • 5 プラグインを適切にアップデートするには
  • 6 プラグインのアップデートは忘れずに

公式ディレクトリから停止されたプラグイン

WordPressのプラグインが安全に継続的に利用できるのは、WordPressが定めたガイドラインに則って開発者がプラグインを開発し、WordPress側もプラグインの審査を行っているからです。審査を通過後、ガイドラインに違反する行為が発見されても修正されなかったり、審査を通過したもののガイドラインに違反していたのが発覚した場合、プラグイン公式ディレクトリから停止されます。

停止後もガイドライン違反を修正しないと、公式ディレクトリから停止されるため、インストールやアップデートができません。

違反によって停止されたプラグインは時期と理由が明記される

ガイドラインに違反したプラグイン例:

  • social-media-mashup (ガイドライン違反)
  • wp-facebook-open-graph-protocol (ライセンス違反)
  • count-per-day(ガイドライン違反)
  • contact-form-7-datepicker (セキュリティの問題)

ガイドライン違反すると公式ディレクトリやWordPressのプラグイン新規追加からのプラグイン検索には引っかからなくなります。

存在している名前で検索しても検索結果に出ない

最終更新日が数年前となっているプラグイン

WordPressプラグインはWordPress自体のアップデートや新しいPHPのバージョンによる変更に対応したり、セキュリティ対応や修正等によってアップデートがされます。特に有名なプラグインや利用者が多いプラグインはアップデートが頻繁な傾向にあります。

一方、アップデートされないままのプラグインも存在します。

最終更新日が3年前となっている例。過去3回のメジャーアップデートに対応しておらず今後サポートされない可能性があるという注意文が記載されている。

その場合、このように公式ディレクトリのプラグインページに注意メッセージが表示されます。こうなってしまう背景としては、開発者が個人で、プラグインのメンテナンスに時間を割けない、開発を止めてしまった等が考えられます。WordPressのプラグインは原則無料で利用できるため直接の収益は見込めないため、なかなか個人で開発を続けることはそう簡単なことではありません。

最終更新日が古いプラグインの例:

  • WP Social Bookmarking Light (3年前)
  • Delete Custom Fields (9年前)
  • Theme Test Drive (6年前)

もし利用しようとしたプラグインの最終更新日が数年前だった場合、今後もメンテナンスされない可能性が高いため、利用時には代替プラグインがないか、機能はプラグインを導入しないで実現できないかどうか確認しましょう。

公開時からアップデートをしていない

サイト制作を制作会社に依頼し、無事公開し納品完了。WordPressからブログ記事の更新も行っている。ただ、公開してからWordPressやプラグインのアップデートをしていない。

このケースたまにあります。程度によりますが、結構リスクが高い可能性があります。WordPressはプラグイン含めてオープンソースで無料で利用できる反面、脆弱性が頻繁に世界中から報告され、その都度対応したバージョンが公開されています。

マイナーアップデートを有効化している場合は、自動的にセキュリティアップデートされたバージョンへアップデートされますが、そうではない場合は脆弱性があるバージョンのためリスクに晒されます。また、現時点でWordPress4.0以下はマイナーアップデートが行われていませんので、4.0以下のバージョンを使っている場合も同様です。

このように現時点で4.0以下は最終アップデートが2014年で止まっている(参照元)

プラグインはWordPressコアと異なり、各バージョンの最新という概念がなく、セキュリティリリースも新しいバージョンで実施されます。よって、プラグインは基本的に最新のバージョンにしておくのが望ましいです。また、プラグインによって必須WordPressバージョンが異なります。

各プラグインと必須WordPressバージョンの例

  • Contact Form 7: 5.5以降
  • Elementor Website Builder: 5.0以降
  • Yoast SEO: 5.6以降
  • Advanced Custom Fields: 4.7以降

例えば、2020年末に見つかったContact Form 7の脆弱性(以前記事書きました)は同プラグインのバージョン 5.3.1 以下において、セキュリティリスクに晒されるというもの(参考: NVDによるとセキュリティスコアは10点中で10点)でしたが、対応されたプラグインのバージョン5.3.2を利用できるWordPressのバージョンは5.4(当時)でした。なので、WordPress5.4未満の場合、Contact Form 7のアップデートができないため、WordPressを5.4以降にアップデートする必要があります。問題なくアップデートできればいいのですが、他にも影響が考えられる場合や、アップデートによって不具合が生じる場合はまずそこをクリアしないといけません。

サイト公開後にアップデートを全くしていないと、このように緊急的に発生するセキュリティアップデートに対応できず、リスクがある状態でサイト運用となってしまうため注意が必要です。

脆弱性が発見されたプラグインを利用している

上記とも重なりますが、脆弱性が発見されたプラグインを利用している場合セキュリティ対応された安全なバージョンを利用しないとリスクに晒されます。

脆弱性が発見されたプラグイン一例(対応バージョンにて解決済み)

  • Elementor Website Builder: 3.1.2以下でXSS
  • WooCommerce: 5.1以下でXSS
  • All in One SEO Pack: 3.6.1以下でXSS
  • Elementor Website Builder: 3.1.2以下でXSS
  • WPForms: 1.5.8以下でXSS
  • All-in-One WP Migration: 6.9以下でXSS
  • Welcart e-Commerce: 2.2.4以下でXSS
  • Custom Post Type UI: 1.7.2以下でCSRF
  • Ultimate Member: 2.1.11以下で権限昇格

これらは中には500百万以上のサイトで使われるほど、有名で人気のプラグインもあり、インストールしているサイトも多いでしょう。セキュリティアップデートされたバージョンが既にリリースされているため、アップデートを行っていれば問題有りませんが、適切にアップデートしていないと、脆弱性のあるバージョンを使っている状態になります。

サイト公開後からWordPress本体もアップデートできていない場合は、前述のように必須WordPressのバージョンに届かないためプラグイン側もアップデートできないという状態に陥ってしまいます。

個人のウェブサイトならまだしも、法人のコーポレートサイトや、特にECサイトや会員サイト等の場合、セキュリティ被害は深刻なダメージです。ご利用のWordPressサイトで脆弱性が発見されているバージョンを使っていないか早急にチェックしましょう。

プラグインを適切にアップデートするには

確認したところ、古いバージョンのプラグインが見つかった、脆弱性のあるバージョンを使っていた、公式ディレクエトリから削除されたプラグインを使っていた、最終更新日が数年前で使い続けていくのに不安、といった場合はどうすればいいでしょうか。

まずは焦らず落ち着いて、本番サイトでいきなりアップデート等は避けましょう。不具合が発生したりサイトが見られなくなる可能性があります。

テスト環境があるかどうか確認してください。ない場合は作成しましょう。同じサーバー上が望ましいです。

参照:WordPressのテストサイト・検証用環境の作り方

バックアップをとった上で、テストサイト上でプラグインの確認やアップデートの検証を行います。アップデート後はサイト一通りの確認や、管理画面側も確認します。まとめてアップデートすると不具合発生時にどのプラグインの影響かわからないため、一つずつアップデートしてという確認が好ましいです。

不具合が発生したプラグインがあれば、エラー内容を表示させるため、wp-config.php 内に記載されている WP_DEBUGをfalseからtrueに変更します。

// define( 'WP_DEBUG', false );
define( 'WP_DEBUG', true );

エラー内容を確認して対処します。エラーの内容がよくわからない……という場合は、WordPressのサポートフォーラムで過去に同様の事例がないか探してみたり、ウェブ検索したりするなりして、どうにか見てみましょう。それでも対応策がない場合は自力での対応は難しい可能性が高いので、プロに依頼するのが間違いありません。

プラグインのアップデートが問題なければ、WordPressコアやテーマも同様にアップデートします。アップデート後、再度プラグインのアップデートがあればそれも行い、すべてのアップデートを最新状態にします。これで問題なければ、いよいよ本番側もアップデートを行います。テスト側で行ったことがあればメモを残しておいて、本番側も同様の作業を行います。もちろんバックアップは忘れずに。

プラグインのアップデートは忘れずに

以上、脆弱性が発見されたバージョンを使っていてリスクがある状態でサイト運営をしていると注意というお話でした。WordPress保守管理サービスをお申し込みいただく際に状態を確認しますが、古いプラグインを使い続けていてリスキーなケースが頻繁にあります。ある日突然サイトが見られなくなっても困らなければいいかもしれませんが、会社サイトやECサイト、会員サイト等は大問題なので、適切に運用することをお勧めします。

メールコンサルティング
WordPress保守管理サービス

Filed Under: WordPress 関連タグ:保守管理

池田祐太郎

WordPressの導入を10年以上にわたって手掛けており、主に小〜中規模のコーポレートサイト・ECサイト・ブランドサイト等の企画・開発・保守・コンサルティングなどを行ってきました。2012年にハイファイブクリエイトを創業し、現在はWordPressの保守やコンサルティング、ディレクションや開発業務などを担当しています。 プロフィール詳細

Reader Interactions

コメントを残す コメントをキャンセル

メールアドレスが公開されることはありません。 ※ が付いている欄は必須項目です

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

この記事と関連する記事

WordPress のクロスサイト・スクリプティング被害にあった事例を共有します
2023年1月11日
タグ: セキュリティ, 保守管理
カテゴリー: WordPress
エラーログに wp-admin, wp-include 配下のファイルが含まれているエラーの対応方法
2022年11月15日
タグ: 保守管理
カテゴリー: TIPS
WordPress で PHP エラーメッセージを非表示にしたい時
2022年10月25日
タグ: php, 保守管理
カテゴリー: TIPS

人気記事

  1. git pull してもエラーが出てファイルが反映されないときの対処法
  2. 同一サーバー上に構築するWordPressのテスト環境の作り方
  3. WordPressの固定ページでタグやカテゴリーを使いたいときはカスタム投稿タイプを検討する
  4. サイト制作の要件定義書に普段書いている内容(ダウンロード可)
  5. WordPress において PHP 8.1 に更新していいかどうか検証
  6. [便利]困難な判断を10秒で AI が客観的に導き出すツールを試してみた

最初のサイドバー

WordPress保守管理サポート

Search

最近の投稿

  • [便利]困難な判断を10秒で AI が客観的に導き出すツールを試してみた
  • WordPress のクロスサイト・スクリプティング被害にあった事例を共有します
  • メール作業の生産性を向上させる最低限覚えておくべき Gmail のショートカットキー
  • タブ固定とタブ一発アクセスのショートカットキーの組み合わせでブラウザ作業の生産性を向上
  • メールフォームプラグイン MW WP Form を使いながら WP Rocket を使う場合にエラー回避する設定

カテゴリー

  • CSS初心者
  • HTML初心者
  • TIPS
  • WooCommerce
  • WordPress
  • エステサロン
  • お知らせ
  • キュレーション
  • サイトマップ
  • システム会社
  • デベロッパーツール入門
  • ブログ
  • ホームページ制作
  • ホームページ制作無料講座
  • メール
  • モバイル
  • 仕事のこと
  • 制作実績
  • 整体院
  • 美容院
  • 雑感

タグ

Android BtoC CMS css elementor git google workspace Gutenberg HTML iPhone jQuery Mac MAMP php SEO SNS ssh SSL Sublime Text Webサイト高速化 Windows WordPress WordPressカスタマイズ WordPressテーマ WordPress構築調査 WPRocket アクセス解析 アプリ クラウド クラウドソーシング サイト引っ越し サブスクリプション サーバー ショートカットキー スマホサイト スマートフォン ツール ブログ プラグイン マーケティング リニューアル 保守管理 改ざん 最適化 集客するサイト構築

アーカイブ

CONTACT

お問い合わせはこちら

Footer

  • PRIVACY POLICY
  • 情報セキュリティ基本方針
  • 特定商取引法に基づく表示
  • 転載/引用

© 2023 high five create All rights reserved.