練馬のみなさまへ 協業のお願い!

慌ててのアップデートは危険!改ざん問題でも落ち着いてWordPressのアップデートを

wordpressのロゴ

2017年も世間を騒がせているWordPressの脆弱性問題

2017年も2月に入りましたが、Webサイトの改ざん問題が世間をにぎわせています。

情報処理推進機構(IPA)によれば、ホームページの編集権限の認証機能について、WordPress(ワードプレス)の4.7.0と4.7.1のバージョンに脆弱性が確認されたとのことです。

つまり問題は単純で、WordPressで新たなハッキング手口が見つかったことから、Webサイトへの侵入が後を絶たないようです。

「自分たちのWordPressは大丈夫ですか?」
「バージョンアップをお願いします!!」
というメール・お電話を多くいただいております。

パニックによる被害を起さないために

自社のWebサイトをWordPressで更新している場合は、Webサイトを乗っ取られる心配があるので、4.7.0と4.7.1のバージョンでWordPressを使用している場合は速やかにアップデートをする必要があります。

アップデート自体は非常に簡単で、WordPressの管理画面から「アップデート」のボタンを押すだけです。

ただし、アップデートをする前に以下の2点に気を付ける必要があるように思えます。

  1. バックアップを取る
  2. 現在のサーバーでバージョンアップ後のWordPressが動くか確認する

バックアップはバックアップをとるプラグインなどもありますので、比較的簡単にクリアできるかもしれないのですが、引っかかりやすいのがサーバーの問題です。

WordPressはPHPというプログラミング言語で動いているのですが、このPHPにもバージョンがあります。
そしてサーバーによって、使えるPHPのバージョンが異なります。

そこで問題なのが、バージョンアップしたWordPressが現在のサーバーで使用できるバージョンよりも高いバージョンのPHPを要求をした時です。

その結果何が起こるかというと、WordPressが正常に機能しなくなります。

私も以前Webサイトを公開した際に、テストサイトで上手く動いていたWordPressのサイトがクライアントのサーバーに移管した途端、動かなくなるという現象に直面したことがあります。

まさに顔面蒼白な話だったのですが、同僚の敏腕プログラマーに泣きついた末、ダウングレードすることで事なきを得ました。その時の原因が、クライアントのサーバーが古かったため、PHPのバージョンも古く、結果新しいバージョンのWordPressに対応できなかったとのことでした。

そのため、WordPressのバージョンをアップする前に現在のサーバーのPHPのバージョンを知る必要があります。例えば下記サイトで紹介されているphpinfo()を出力する方法があります。

単純に

<?php
phpinfo();

とメモ帳に書き、拡張子をphpにするだけなので、非常に簡単です。
実際にサーバーにそのファイルを格納し、Web上から格納したphpファイルをみてみると、下のような画像が表示されます。

info_php

このサーバーのPHPのバージョンは一番上に表示されています。このサーバーであれば、5.3.3ですね。2017年2月8日現在のWordPressに日本語公式サイトでは

PHP 5.2.4 以上、かつ MySQL 5.0 以上であれば WordPress は動作しますが、公式サポートは終了しており、サイトがセキュリティの脆弱性にさらされる危険があります。
https://ja.wordpress.org/

としていますので、バージョンアップしても動かないなどの問題はないでしょう。

最後に

「WordPressの脆弱性が問題になっている!速くバージョンアップしないと!」と思って、今回久々にバージョンアップされる方は要注意です。

バージョンアップの必要がないにもかかわらず、バージョンアップしたことでWordPressが動かなくなってしまうこともありますので、ご注意を。