WordPress 3.1.3、WordPress 3.2 ベータ 2

以下は、Mark Jaquith が書いた WordPress.org 公式ブログの記事、「WordPress 3.1.3 (and WordPress 3.2 Beta 2)」を訳したものです。

追記 (6/5): WordPress 3.2 beta 2 日本語版が利用可能になりました。ぜひテストにご協力ください。


WordPress 3.1.3 がご利用いただけるようになりました。これは、以前のバージョン全てに対するセキュリテイアップデートであり、以下のセキュリティ修正と改善を含んでいます。

  • Alexander Concha による各種セキュリティ強化
  • John Lamansky によるタクソノミークエリ関連の補強
  • カノニカルリダイレクトを利用した投稿者以外のユーザー名情報傍受の防止。Props: Verónica Valeros
  • Microsoft 社の Richard Lundee 氏および Jesse Ou 氏、また マイクロソフト脆弱性調査 によるメディアセキュリティの修正
  • 危険なセキュリティ設定を行っているサーバー上でのファイルアップロードセキュリティを向上
  • インポートが完了しなかった場合古い WordPress インポートファイルを削除
  • モダンブラウザ上の管理画面及びログイン画面で、「クリックジャック」に対する防御策を導入

詳細については更新履歴ページをご覧ください。

WordPress 3.1.3 (英語版) をダウンロードするか、管理画面の「更新」メニューからアップグレードを行ってください。


WordPress 3.2 ベータ 2 も公開しました

もうひとつのニュースです。WordPress 3.2 開発スケジュールは予定通り進んでいます。ベータ 1を13日前にリリースしましたが、本日ベータ2をテスト用に公開できるようになりました。

これはまだベータ版のソフトです。稼働中の公開サイトに利用することはおすすめしません。ですが、プラグインやテーマ作者の皆さんやサイト管理者の方はテスト環境で動かして、発見したバグを報告してください。プレゼントを開けるのを待ちきれないという方は、テスト用の新規サイトを5分間インストールで作成してみてください。ご意見お待ちしています!

計画としては、6月初旬にリリース候補 (RC) 版をリリースし始め、来月末までに WordPress 3.2 を完成させる予定です。ベータ期間中に問題を早めに解決することが出来れば、計画通りに進められる可能性も高まります。マハトマ・ガンジーの言葉をアレンジして流用させてもらえば、「WordPress リリースが計画通りに進んで欲しいと望むなら、あなた自身が行動を起こしなさい」ということです。つまり、今すぐテストをお願いします !

ベータ 1 からの変更点は以下のとおりです。

  • Google Chrome フレームをインストールしている場合、管理画面で対応。IE6 ユーザーには特に便利です (お忘れなく、これ以外では IE6 の管理画面対応は終了します) 。
  • 管理画面を IE7 でもう少し見やすくしました。
  • 青系統の管理画面カラーもグレー系統同様に新 UI でテストできるようになりました。
  • jQuery 1.6.1を同梱しています。jQuery を使っているプラグインなどではテストが必要です。WordPress における JavaScript の第一人者、Andrew Ozz がさらに詳しく開発ブログに書いています

それでは、Download WordPress 3.2 ベータ 2 (英語版) をどうぞ。

追記(6/5): WordPress 3.2 ベータ 2 日本語版 のテストもぜひご協力ください。

WordPress 3.1.2

以下は、Ryan Boren が書いた WordPress.org 公式ブログの記事、「WordPress 3.1.2」を訳したものです。

WordPress 3.1.2 日本語版は現在準備中です。


WordPress 3.1.2 がご利用いただけるようになりました。これは、過去すべての WordPress バージョンに対するセキュリティリリースです。

このリリースでは、貢献者権限グループのユーザーが投稿を不正に公開できてしまうという脆弱性に対応しています。

この問題は、私たちのセキュリティチームの一員である、WordPress 開発者 Andrew Nacin により、Benjamin Balter の協力のもとに発見されました。

みなさんに、3.1.2 に素早くアップグレードを行うことをおすすめします。特に、誰でも貢献者レベルのユーザーとして登録できるようにしているサイトや、信頼できないユーザーがいるサイトでは注意が必要です。

このリリースではさらに、3.1.1 に間に合わなかったバグもいくつか修正しています。

バージョン 3.1.2 (英語版) をダウンロードするか、管理画面ダッシュボードの「更新」メニューからアップグレードを行ってください。

WordPress 3.1.1

以下は、Ryan Boren が書いた WordPress.org 公式ブログの記事、「WordPress 3.1.1」を訳したものです。

WordPress 3.1.1 日本語版をダウンロード


WordPress 3.1.1 がご利用いただけるようになりました。このメンテンナンスおよびセキュリティリリースでは、バージョン 3.1 にあった30件弱のバグを修正しています。以下で一部をご紹介します。

  • メディアアップロードに関するセキュリティ強化
  • パフォーマンス向上
  • IIS6 対応のための修正
  • タクソノミーおよび PATHINFO (/index.php/) パーマリンク修正
  • クエリおよびタクソノミーとプラグイン互換性に関する各種エッジケース (まれに起こる問題) 向けの修正

バージョン 3.1.1 ではさらに、WordPress コア開発者でありセキュリティチームに属するジョン・ケーヴピーター・ウエストウッドが発見したセキュリティ問題3点にも対処しています。一つ目は、メディアアップローダーでの CSRF 阻止の強化。二つ目は、一部の環境において、非常に悪意を込めて作成されたリンクがコメントに含まれていた場合の PHP クラッシュの防止。三つ目は、XSS 問題の修正です。

みなさんへ、すぐに 3.1.1 にアップグレードすることをおすすめします。バージョン 3.1.1 英語版をダウンロードするか、管理画面ダッシュボードの「更新」メニューから自動アップロードしてください。

リリースに向けた Haiku をここで一句。

Only the geeks know
What half this stuff even means
Don’t worry — update

(訳注: ギークだってこのうちの半分くらいしかよく分からないはず。でもご心配なく。とにかくアップグレード !)

WordPress 3.0.5 (そして、3.1 リリース候補 4)

以下は、Andrew Nacin が書いた WordPress.org 公式ブログの記事、「WordPress 3.0.5 (and 3.1 Release Candidate 4)」を訳したものです。

WordPress 3.1 RC4 日本語版をダウンロード

不具合を見つけた場合は、開発版フォーラムまでお知らせください。


WordPress 3.0.5 がご利用いただけるようになりました。これはセキュリティ向上のための更新で、過去すべての WordPress バージョンに向けたものです。

このセキュリティリリースは、信頼性の低いユーザーアカウントが存在する場合必須となりますが、それ以外にも重要なセキュリティ改善・向上が含まれています。すべての WordPress ユーザーの皆さんに、アップグレードを強くおすすめします。

Three point oh point five
Enhances security
Three point one comes soon

上記「Haiku」の解説: 「3.0.5 ではセキュリティを改善。3.1 がもうすぐやってきます」

このリリースでは数多くの問題を解決するとともに、二つの機能強化も追加しています。

中程度のセキュリティ問題二点を解決。寄稿者または投稿者レベルのユーザーがサイトへのさらなるアクセスを行える可能性がある点を修正した。

情報公開に関する問題を一点解決。投稿者レベルのユーザーが、下書きやプライベート状態の投稿など、本来閲覧すべきでないコンテンツを表示できてしまう点を修正した。

セキュリティ強化を二点追加。セキュリティ API を適切に活用していないプラグインのセキュリティを改善。また、以前のリリースで修正された脆弱性に対するさらなる防衛策を追加した。

上記の問題のうち二つについては、Nils Jueneman 氏、そして Saddy 氏が非公開かつ責任あるセキュリティ問題の指摘を security@wordpress.org に対して行なってくださった事に心より感謝します。その他の問題はセキュリティチームによって報告、修正されました。

3.0.5 (英語版) をダウンロードするか、ご自分のサイトのダッシュボードの「更新」メニューから更新を行ってください。すぐに更新することをおすすめします !


WordPress 3.1 リリース候補 4 も公開しました

リリース候補 4ビルドには 3.0.5 のセキュリティ修正および20数個のバグ修正が含まれています。修正された内容の一部は、以下のとおりです。

  • ユーザーの削除に伴って別の投稿者に投稿を割り当てられる機能を追加
  • マルチサイトで複数のユーザーやサイトをスパムと判定できる機能を追加
  • PHP4 との互換性対応

これまでリリース候補版に関するブログ投稿でもお話ししたとおり、リリース候補版をテストしてバグを見つけたと思った場合は報告する方法がいくつかあります。

WordPress 3.1 をテストするには、WordPress ベータテスタープラグインをお試しください (「最新版ナイトリービルド」を選択) 。または リリース候補版をこちらからダウンロード (zip、英語版) してください。もし何か問題が発見されたら、Trac で確認できます。

5ヶ月間近くの開発とテストを経て、最終リリースにかなり近付けていると感じています。ユーザーと開発者の皆さん、テーマとプラグインをしっかりテストしてください。

それでは、WordPress 3.1 RC4 または WordPress 3.0.5 を今すぐダウンロードしてください。

3.0.4 重要なセキュリティアップデート

以下は、Matt Mullenweg が書いた WordPress.org 公式ブログの記事、「3.0.4 Important Security Update」を訳したものです。

WordPress 3.0.4 日本語版は現在準備中ですが、セキュリティ修正をすぐに適用したい方は一旦英語版にアップグレードすることもできます。この場合、管理画面の一部のメニューなどが翻訳されずに英語で表示されることがあります。


WordPress 3.0.4 は管理パネルダッシュボードの更新ページから今すぐ利用できます。もしくはこちらからダウンロードしてください。このアップデートはとても重要なので、な るべく早く適用してください。このアップデートでは HTML をサニタイズする KSES と呼ばれるライブラリーにあるコアのセキュリティバグを修正します。このリリースをランク付けするなら、”critical” (重要) になります。

休み期間中のアップデートは楽しいものではないと思いますが、これはご馳走をおろして取り掛かる必要があるくらい重要です。休み期間中の歳末たすけあいの精神で、お友達のアップデートも手伝ってあげてください。

セキュリティ研究者の方は、今回の修正を確認してレビューしてもらえるとたいへん助かります。私たちはかなり熟考してレビューしましたが、この修正はコアな部分なので、できるたけたくさんの方に確認してもらいのです。これらの XSS 脆弱性を最初に見つけて私たちに警告してくれた Mauro GentileJon Cave (duck_) に感謝します。

WordPress 3.0.3

以下は、Peter Westwood が書いた WordPress.org 公式ブログの記事、「WordPress 3.0.3」を訳したものです。

WordPress 3.0.3 日本語版をダウンロードしてください。
WordPress 3.0.3 日本語版は現在準備中ですが、セキュリティ修正をすぐに適用したい方は一旦英語版にアップグレードすることもできます。この場合、管理画面の一部のメニューなどが翻訳されずに英語で表示されることがあります。


WordPress 3.0.3 がご利用いただけるようになりました。これまでにリリースされたすべての WordPress バージョンに対するセキュリティアップデートです。

このリリース (原文) では、リモートパブリッシングインターフェースの修正が加わっています。修正されたのは、特定の状況において投稿者または寄稿者権限のユーザーが本来権限のない投稿を編集、公開、削除できてしまうという点です。

これらの問題の影響を受けるのはリモートパブリッシングを有効化しているサイトのみです。

リモートパブッシングはデフォルトでは無効化されていますが、WordPress モバイルアプリなどを使うためには必要になります。設定を確認するには、管理画面の「設定 → 投稿設定」をご覧ください。

3.0.3 (英語版) をダウンロードするか、「ダッシュボード > 更新」からワンクリックアップグレードを行ってください。

WordPress 2.8.6 セキュリティリリース

以下は、2009年11月12日に書かれた WordPress.org 公式ブログの記事、「WordPress 2.8.6 Security Release」を訳したものです。リンク先はすべて英語になります。

日本語版は現在作成中です。


バージョン 2.8.6 では、投稿権限があるログイン中の登録ユーザーによって悪用される可能性があるセキュリティバグを2箇所修正しています。もしご利用中のブログに信用できない投稿者が存在する場合は、2.8.6 へのアップグレードをおすすめします。

一つ目の問題点は、ベンジャミン・フレッシュ氏が発見した「Press This」ブックマークレットの XSS 脆弱性です。二つ目の問題点はダウィッド・ゴランスキ氏が発見したアップロードファイル名のサニタイズに関するものです。ある Apache 設定のもとでは脆弱性があることが確認されました。これらを発見し、報告してくれたベンジャミンとダヴィッドに感謝します。

WordPress 2.8.6 英語版をダウンロード