WordPress 4.8.3 セキュリティアップデート!SQLインジェクションへの対応

2017年11月1日

WordPress

WordPress 4.8.3 がリリースされました。過去バージョンに対するセキュリティリリースで、SQLインジェクションのリスクを排除するためのリリースになります。

WordPress 4.8.3 is now available. This is a security release for all previous versions and we strongly encourage you to update your sites immediately.
WordPress公式サイトより引用

セキュリティリリースの内容

wpdbクラスのprepareメソッドでSQLインジェクションを実行できる可能性がありました。

WordPress本体は適切な実装になっていて、この脆弱性の影響は受けていません。プラグインやテーマでの呼び出し時の不注意で脆弱性が混入するのを防ぐためのリリースになります。

esc_sqlメソッドの更新も含まれていますが、基本的にはこの変更による影響はないと発表されています。

詳細は公式サイトでご確認ください。

自動更新について

自動更新が有効な場合は自動更新の対象になっています。

管理画面へログインしての手動で更新可能ですので、自動更新されていない場合は手動で更新しましょう。

まとめ

WordPress本体の脆弱性ではないことと、SQLインジェクション対策のリリースのため、この変更による影響で構築済みのサイトが動かなくなるというリスクはほぼないと考えています。

とはいえ、可能な限り速やかにWordPress 4.8.3へとアップデートすることをオススメ致します。