WordPress 4.9.1 セキュリティパッチ&バグフィクス

2017年12月1日

WordPress

2017年11月29日、WordPress 4.9.1 がリリースされました。WordPress 3.7 以降にあるセキュリティリスクに対するパッチになります。

WordPress 4.9.1 is now available. This is a security and maintenance release for all versions since WordPress 3.7. We strongly encourage you to update your sites immediately.
出典:WordPress公式サイト

セキュリティリリースの内容

WordPress 3.7 以降に含まれていたマルチベクトル型攻撃の一部として機能し得るセキュリティリスクへの修正があります。

セキュリティリリースの内容は以下の4件です。

  1. newbloguser キー用に既存の substring の代わりに適切に生成されたハッシュを使用
  2. html要素に使用する language 属性をエスケープ
  3. RSS および Atom フィードの enclosure の属性が正しくエスケープされることを保証
  4. unfiltered_html 権限のないユーザーによる JavaScript ファイルのアップロードを禁止

出典:WordPress Codex 日本語版

メンテナンスリリースの内容の抜粋

全部で11件の不具合修正や改善作業が行われています。

コンソールエラーやJSエラー等、ドキュメントの修正等の比較的軽微な修正と、特定の条件下の人には深刻な不具合の修正が含まれています。

子テーマのカスタムテンプレートが特定条件で選択できない不具合やWindows サーバーで稼働している場合、WordPress 4.9 テーマエディタはファイルを編集できない不具合などは影響を受けている人もいるかもしれません。

自動更新について

自動更新が有効な場合は自動更新の対象になっています。

管理画面へログインしての手動で更新可能ですので、自動更新されていない場合は手動で更新しましょう。

まとめ

セキュリティ&メンテナンスリリースのため、この変更による影響で構築済みのサイトが動かなくなるというリスクはほぼないと考えています。

可能な限り速やかにWordPress 4.9.1 へとアップデートすることをオススメ致します。

WordPress

Posted by さとし