警報: WordPress セキュリティチームなりすまし詐欺

以下は WordPress.org 公式ブログの記事「Alert: WordPress Security Team Impersonation Scams」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress セキュリティチームによると、「WordPress チーム」あるいは「WordPress セキュリティチーム」を詐称してサイト管理者をだまし、マルウェアを含んだ危険なプラグインをインストールするように仕向けるフィッシング詐欺の試みが現在確認されています。

本物の WordPress セキュリティチームがメールを送りつけてプラグインやテーマをサイトにインストールするよう求めたりすることはありません。管理者のログイン名やパスワードを尋ねることも絶対にありませんのでよく覚えておいてください。

WordPress を名乗る上記のような内容のメールを受け取った場合はメールの指示に従わないように注意してください。また、メールサービスのプロバイダーに対してはこのメールが詐欺であることを通報してください。

これら詐欺メールがリンク先としているサイトは WordPress やその関係者の所有ではないドメインに設置された WordPress プラグインの野良リポジトリのようです。PatchstackWordfence がそれぞれこの問題に関する詳細を記事にまとめています。

WordPress プロジェクトが送付する本物のメールには次のような特徴が見られます:

  • 送信元ドメインが @wordpress.org または @wordpress.net であること。
  • メールの詳細セクションに “Signed by: wordpress.org” の署名があること。
Screenshot of email sent by a WordPress.org email account. The details include "mailed-by wordpress.org" and "signed-by wordpress.org".

WordPress セキュリティチームが WordPress ユーザーに連絡を取る場合に用いるロケーションは次の二つに限られます。

WordPress プラグインチームがプラグインのユーザー個人に対し直接連絡を取ることはありません。ただし、プラグインのオーナーやコントリビューター、またはサポート担当者に対してメールを送信することはあるかもしれません。その場合でも、本物のメールであれば必ず plugins@wordpress.org から送信されており、また上述の署名があるはずですので判別は可能です。

公式の WordPress プラグインリポジトリは wordpress.org/plugins に置かれています。また、そのローカル版がサブドメインにあり、例えば fr.wordpress.org/plugins (フランス語版)、en-au.wordpress.org/plugins (オーストラリア英語版) などがあります。サブドメインにハイフン (-) が含まれることはありますが、サブドメインと wordpress.org の間には必ずドット (.) があります。

WordPress サイト管理者は WordPress ダッシュボードのプラグインメニュー経由でプラグインリポジトリにアクセスすることも可能です。

WordPress は最も多く使われる CMS です。そのためこの類のフィッシング詐欺の試みが確認されることは珍しいことではありません。送信元に心当たりのないメールがテーマやプラグインのインストールを求めてくる、あるいはログインフォームにリンクしてログインするよう促してくるような時は、十二分に用心深く対応するべきでしょう。

Scamwatch のサイトでは詐欺の可能性があるメールやテキストメッセージの見分け方についていくつか紹介しています。

WordPress に関してセキュリティ脆弱性を発見した場合は、責任のある情報開示を求めるセキュリティポリシーに従って、プロジェクトの公式 HackerOne ページから WordPress セキュリティチームに直接報告してください。

WordPress バージョン 3.7 – 4.0 へのセキュリティアップデート提供の終了について

以下の内容は WordPress.org 公式ブログの記事「Dropping security updates for WordPress versions 3.7 through 4.0」を日本語に訳したものです。

誤字脱字、誤訳などありましたらフォーラムまでお知らせください


2022年12月1日をもって、WordPress セキュリティチームは WordPress バージョン 3.7 から 4.0 までに対するセキュリティアップデートの提供を終了します。

これらのバージョンの WordPress は8年以上前にリリースされたものであり、現在稼働している WordPress サイトの大多数ではそれより新しいバージョンが利用されています。本件があなたのサイトに影響を及ぼす可能性は極めて小さいと考えてよいでしょう。

最新版の WordPress を使っているか不確かな場合はサイトのダッシュボードにログインして確認しましょう。最新ではないバージョンの WordPress が使われているなら次のような通知が表示されます:

WordPress update notice: "WordPress 6.0.2 is available! Pleaes update now."

現在使用しているバージョンはダッシュボードの「概要」セクション下部に表示されます。

"At a Glance" section of the WordPress dashboard. The final line includes the exact version of WordPress the site is running.

サポート終了までのプロセスについてのさらに詳しい情報が Make WordPress Security ブログに掲載されています。

Classic Editor プラグインの公式サポート期限更新

以下は、Josepha が書いた WordPress.org 公式ブログの記事「An Update on the Classic Editor Plugin」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


2018年の WordPress 5.0のリリース前に、新しいブロックエディターへの移行を容易にするため Classic Editor プラグインを公開しました。その際、このプラグインを2021年末までサポートし、期限が近づいた頃に必要に応じてそれを調整することを約束しました。マットと話し合った結果、2022年末までこのプラグインのサポートを継続することが、プロジェクトとコミュニティにとって正しい判断であることがはっきりしました。

とはいえ、ブロックエディターの利用を後回しにしていた人にとっては、もう一度試してみる絶好の機会です。ブロックエディターが2018年に初めて登場して以来、何百人もの WordPress コントリビューターたちが、ユーザーのフィードバックに基づいて多くのアップデートを行ってきました。使っていただければ、「こんなに進化したのか !」と嬉しい驚きを感じていただけるはずです。

WordPress、Gutenberg、Classic Editor プラグインに取り組んできた皆さんに心より感謝します。また、ソフトウェアをより良くするために必要なフィードバックを提供してくれたすべての WordPress ユーザーとテスターの皆さんも、ありがとうございます。

~ Josepha (ジョセファ)


久しぶりにブロックエディターを試してみるという方は、アウトリーチプログラム (日本語訳) に参加すれば、早い段階でフィードバックをいただけます。初めてブロックエディターを使う方はワークショップ動画やこちらのデモ動画をご覧いただき、基本的な使い方を知ってみてください。

四半期レポート | Q2 2018

以下は、Josepha が書いた WordPress.org 公式ブログの記事、「Quarterly Updates | Q2 2018」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress コントリビューターチーム全体の大きなプロジェクトや取り組みを皆さんに知ってもらうため、各チームの担当者に連絡を取りました。チームの最優先事項と完了希望期日、懸念していることや成功したことを共有してもらうよう頼みました。見出しに各チームのサイトへのリンクが含まれていますので、質問がある場合はご利用ください。


アクセシビリティ

  • 担当者@rianrietveld@joedolson@afercia
  • 優先事項: コアへのマージより前に、Gutenberg がある程度アクセシブルになることを確実にするために作業中。予定期限はバージョン5.0リリース前です。
  • 懸念事項: マイルストーンイシューのテストやコードを書くための、開発者とアクセシビリティ専門家の不足。この問題を解決するためにチームはアウトリーチを行っている。
  • 成功事項: Gutenberg のコードレビューとテストツールを手伝うために、Paciello Group や Tenon.io のような企業から興味をもってもらえた。

CLI

  • 担当者: @danielbachhuber, @schlessera
  • 優先事項: 最初のグローバルハックデイが7月20日に行われます。バージョン2.0.0はまだ開発中 (新しい予定期限は7月末) 。
  • 懸念事項: チームは継続的に新しいコントリビューターを必要としている。現在のチームはとても小さいが、タフでもある。
  • 成功事項: WordCamp ヨーロッパの「サマーアップデート」で言及されたとおり、WP-CLI は現在 WordPress プロジェクトの4つのメインフォーカスとなっている。

コミュニティ

  • 担当者@francina@hlashbrooke
  • 優先事項: ボランティアチームを強くし、物事をうまく運用するために必要なツールを確立することで、コミュニティ管理におけるプロセスを円滑にすることに焦点を当てています。期限はなく、進行中です。
  • 懸念事項: 現時点での2つの最大の懸念事項は、何をする必要があるかをトラッキングすることと、物事を最終決定することです。進行状況のトラッキングを助けるのに使えるツールに関する作業を現在行っています。
  • 成功事項: コミュニティーチームの貢献者を増やす努力をした後、代理人および WordCamp メンターとして働いてくれているボランティアグループの人員がかなり増えました。

コア

  • 担当者@jeffpaul
  • 優先事項: WordCamp ヨーロッパでの「サマーアップデート」 (およびこちらの関連記事) に続き、チームは Gutenberg (新しい WordPress エディター) をバージョン5.0でのリリースに向けてしっかりした状態になるよう作業しています。完了の可能性がある予定期日は8月です。
  • 懸念事項: より多くの貢献者が時間を提供してくれるようになるにつれ、チームの勢いと方向性をコーディネートすること。WordCamp ヨーロッパでの「サマーアップデート」 (およびこちらの関連記事) に続き、チームは Gutenberg (新しい WordPress エディター) をバージョン5.0でのリリースに向けてしっかりした状態になるよう作業しています。完了の可能性がある予定期日は8月です。まだ、未解決の問題に取り組んでいます。チームは、問題をより迅速かつ透明性を持って処理するため、毎週何度かのバグ・スクラブ (バグ解決の集中作業) をはじめました。
  • 成功事項: 4.9.6でかなりのリリースがありました。コアのプライバシーツールと機能に関する主要なアップデートが含まれます。

デザイン

  • 担当者@melchoyce@karmatosed@boemedia@joshuawold@mizejewski
  • 優先事項: 新しいコントリビューターを迎える手助け。特に、より良いドキュメンテーションを作成すること。予定期限は7月末。
  • 懸念事項: 初めてコントリビュートする方に、適度に小さなタスクを見つけるのが難しい。
  • 成功事項: チームは現在、以前よりもはるかに良い組織になっており、それがデザイン関連の未処理のタスクをクリアし、新しいコントリビューターを迎え入れ、現在のコントリビューターも引き続き活動してもらうのに役立っています。さらに、Joshua Wold 次回のリリースを共同でリードする予定です。

ドキュメンテーション

  • 担当者@kenshino
  • 優先事項: HelpHub の作業を新しいコントリビューターへオープンにし、開始プロセスをより簡単にすること。期限は特になく、現在進行中。
  • 懸念事項: https://wordpress.org/support/ でのローンチに対し、コードとデータベースの準備ができているようブロッカーを確認すること。
  • 成功事項: HelpHub の最初のフェーズの作成は完了した。コンテンツの更新 (情報の更新、可読性や情報の見つけやすさの向上)、内部検索、デザイン改善、REST API エンドポイント。

ホスティング

  • 担当者@mikeschroder@jadonn
  • 優先事項: ホスティングサービスが Gutenberg への準備ができた状態にすること。特に、「Gutemberg を試してみよう」というコールアウトがダッシュボードに表示されるようになった後に寄せられるであろうサポート関連の質問に関して。期限は7月31日、その後は WordPress 5.0。
  • 懸念事項: 少数のボランティアチームによって、ほとんどのコントリビュートが行われています。さらに数人が参加してはいますが、歩みは遅いです。
  • 成功事項: 新しいチームメンバーとホスティング会社が #hosting-community チームに参加し、コントリビュートを開始しました。

マーケティング

  • 担当者@bridgetwillard
  • 優先事項: コミュニティからのケーススタディの作成と公開を継続。期限は特になく、現在進行中。
  • 懸念事項: 特になし。
  • 成功事項: 短いコントリビューターデイ向けのオンボーディングカード (初心者向けの手引き) を執筆、デザイン。WCEU のコントリビューターデイで使われ、オンボーディングの時間が3時間から1時間に短縮できた。

メタ (WordPress.org サイト)

  • 担当者@tellyworth@coffee2code
  • 優先事項: コントリビュータエリア (テーマレビュー、GDPR /プライバシー、プラグインレビュー) を中心に手動の作業を減らすこと。細かい部分の期限は四半期の終わりであり、その後の大きな部分に手を付けます。
  • 懸念事項: チケットの勢いを維持すること。また、メタ Tracシステムを使用っているチーム間でのチケット管理プロセスの更新に関する議論も行われている。
  • 成功事項: 新しい「About」ページが立ち上げられ、ほとんどのロケールサイトで翻訳が完了した。

モバイル

  • 担当者@elibud
  • 優先事項: モバイルアプリに Gutenberg を導入すること。期限は12月後半。
  • 懸念事項: ReactNative アプリで直接 Gutenberg のソースを消費すること。詳細はこちら
  • 成功事項: WordPress モバイルアプリは、RTL (右から左へ書く言語) を完全にサポートし、アクセシビリティに関する最新規格に準拠しています

プラグイン

  • 担当者@ipstenu
  • 優先事項: 8,000個以上の使われていないプラグインをキューから削除すること。見込み期限は9月。
  • 懸念事項: GDPR への準拠を提供するプラグインに関する多くの誤った主張をトリアージする必要があった。
  • 成功事項: 4.9.6をリリースし、プラグイン作成者の期待を更新しました。そのために尽力してくれたコアプライバシーチームに感謝します。

翻訳

  • 担当者@petya@ocean90@nao@chantalc@deconf@casiepa
  • 懸念事項: 新しい PTE のトレーニングに時間がかかり、ツールやシステムが複雑である。全体として、承認待ちの文字列が大量にある。
  • 優先事項: WordPress コアリリースを100%に翻訳した上で、トップ100のプラグインとテーマに集中すること。期限は特になく、現在進行中。

サポート

  • 担当者@clorith
  • 優先事項: Gutenberg コールアウトの準備を整えること (前四半期から先延ばしされた) 。公式サポートフォーラムでのさらに活発な参加が必要であり、そのための支援・教育活動が進行中です。期限は7月末です。
  • 懸念事項: コントリビューターデイ/ドライブの後も貢献者の参加を継続させること。この件についての洞察を得るため、コントリビューターデイの後にアンケートを作ることを検討している。
  • 成功事項: 週次ミーティングへの国際リエゾン担当者の参加増加により、より広範なサポートコミュニティを団結させることができるようになった。

テーマレビュー

Tide

  • 担当者@valendesigns (but usually @jeffpaul)
  • 優先事項: PHPCompatibilty の結果を WordPress.org API 内に保存し、その結果を表示する UI を構築すること。また、この作業が継続できるよう監査をリクエストするエンドポイントを追加すること。
  • 懸念事項: チームメンバーが休暇中だったり、内部クライアント業務に引き込まれている間、開発が大幅に減速中。
  • 成功事項: Amazon Web Services (AWS) から Google Cloud Platform (GCP) への移行が完了し、監査サーバーはすべて Go 言語で書き直されました (これにより、より大きな容量とより少ないコストで、さらなる高速化が可能になります) 。

トレーニング

  • 担当者@bethsoderberg@juliek
  • 優先事項: レッスンプランの作成。予定期限はなく、現在進行中。
  • 懸念事項: ワークフローが少し複雑なため、プロセスを動かすのに十分な貢献者を募集し訓練することが大変。
  • 成功事項: WordCamp Europe のコントリビューターデイはとても生産的でした。新しいツールやワークフローが整備され、2人のチーム代表が先導や手助けをしました。

今年の第1四半期のレポートに興味がある方は、こちらをご覧ください。