サポート » インストール » セキュリティパッチについて

  • 解決済 kozz

    (@kozz)


    セキュリティリリースがあった場合、バージョンのアップグレードを推奨していますが、
    運用上、事情があり、アップグレードが行えない場合、差分ファイルのみアップデートする対応など可能なのでしょうか?

    簡単にバージョンアップが行えないケースも多々あると思うのですが、皆様どのように対応してらっしゃるのでしょうか?

    よろしくお願いします。

10件の返信を表示中 - 1 - 10件目 (全10件中)
  • クライアントからそのような相談を受けた場合には、サーバー環境を変えるか、アップデートしやすくなる方法で運用できるように、全力で説得します。

    そもそもこまめにアップデートしていると、プラグインなど大きく影響を受けるということも最小限で済みます。なにもしないでいることは高いリスクを負っている・・・ということを説明しているいないでは、そもそもの対応が違いますから。

    こまめにセキュリティリリースがあるというのは、それだけ細かく対応してくれているということなので、決してネガティブではありません。

    トピック投稿者 kozz

    (@kozz)

    ご返答ありがとうございます。

    お伺いしたかったのが、例えば、3.5系で構築してセキュリティリリースが出た場合、
    リリースを見る限りですが(違っていたらすみません)、最新の3.6にアップデートしてください。という事で理解しているのですが、

    おっしゃるようにプラグインの動作検証等も必要になってくるかと思っておりまして、
    影響の範囲が大きいかと思っているのですが、そのような場合に、3.5系に対してのセキュリティパッチが通常、出されているのでしょうか?
    それとも基本的には上のバージョンにアップデートするという運用を皆さん取られているという事でしょうか?

    wordpressの公式のリリースと、みなさんの対応と分けてお伺いしたいと思っております。

    WordPressはパッチという形で出していないですよね。

    もし影響がどのようにでるのか・・・ということであれば、ローカルなりテストサーバー上でおなじものを(バージョンも含めて)作成し、一つ一つ確認してOKが出てから本番で行います。
    というかWordPressに限らずですが。

    おなじ人が作っているサイトでもまったくおなじWordPressというものはありえませんし、個々にインストールされているプラグインやテーマが違いますから、一般論として・・・としても、上記のように影響を確認してアップデートをするのが運用の基本だと思います。

    WordBenchなどの各地の勉強会でもみなさん同じようにアップデートを薦めるお話をされていますね。

    トピック投稿者 kozz

    (@kozz)

    >>WordPressはパッチという形で出していないですよね。

    なるほど。そういう事なんですね。

    という事は皆さん基本的にはバージョン自体を最新にアップデートしているという事で、尚且つ、旧バージョンにはパッチはリリースしない。という事なのですね?
    理解しました。

    その辺りの公式のリリースの形態自体も理解していなかった為、知りたかったのと旧バージョンの場合の皆さんの基本的な運用方法を知りたかった次第です。

    ありがとうございました。

    nekomimiTaicho さんの回答と、
    わたしの対応も同じです。

    WordPressでサイト作りをしているので、最優先はWordPressの安定を考えています。
    WordPressのバージョンアップで、機能しなくなるプラグインが心配だというのはわたしも同じです。
    しかし、それはある時点での拡張機能で
    誰もが組み込んでいる機能はWordPressに組み込まれる傾向にあります。
    そうなればその時点で、そのプラグインは不要になるわけですよね。

    テーマもセキュリティがフィックスされると、あそこが推奨できない、
    ここは変更しましょうといったチェックが有るわけで、
    使用しているテーマも、WordPressのバージョンアップ次第で
    サイト・リニューアルという形をとっています。

    記事の方もその時点で見なおして、表示が怪しいところは手直ししています。

    古いWordPressにアップデートを重ねるのもゴミが残るので、
    2年ぐらいをめどに、サーバーの見直しをしています。
    新しいサーバーがスペックが良くなるのは、他の物事と同じですね。

    当然、ショップサイトはローカルで新しいWordPress、プラグインとの相性を観た後。
    同じサイトを非常事態に備えて用意しています。

    トピック投稿者 kozz

    (@kozz)

    ご返答ありがとうございました。
    参考にさせていただきます。

    最後に素人質問で恐縮ですが、先日以下のような最新版へのアップデートリリースが出ているのですが、
    http://news.mynavi.jp/news/2013/08/03/024/index.html

    現状で、本家サイトにて3.5.2未満のバージョンがダウンロードできると思うのですが、
    これらについては、セキュリティパッチが適用されているバージョンである。
    と考えても良いのでしょうか?

    現在WordPress は開発版 3.7-alpha-25343 がダウンロードでき、
    2つのサイトを更新したところです。
    現在、わたしは3つのホスティングサーバー。
    自家製サーバー。
    二種類のローカル環境にワードプレスサイトをおいています。
    そのうち、性格の違う2つのホスティングサーバーに2つづつの開発版のワードプレスサイトを
    更新しています。

    サーバーが異なるのは、動作状況を見るため。
    2つづつサイトが有るのは、ひとつはひたすらカスタマイズを加えていつ壊れても良いサイトです。

    WordPressはオープンソースであるのはご存知でしょう。
    オープンソースなので、多くのレンタルサーバーでも無料で使用できます。
    ただし、それぞれレンタルサーバーで手が加えられている傾向はあります。

    先日のロリポップでのトラブルも、レンタルサーバーの『簡単インストール』がハッカーのターゲットになったわけです。
    自動的に作成されるアカウントとパスワードの規則性が狙われた形と言って良いでしょう。

    そのため、レンタルサーバーの簡単インストールを使わないで、WordPressを構築するのがたいていでしょう。

    オープンソースなので、全てのバージョンがダウンロード出来るようになっていると考えています。変更時点を遡るためにはとても大切なことではありませんか。
    また、サーバー条件など最新版は動作できないケースも有ります。
    大方のレンタルサーバーに、『簡単インストール』がありますが保証外と但し書きがあったりしますね。

    トピック投稿者 kozz

    (@kozz)

    ご返答ありがとうございます。

    >>オープンソースなので、全てのバージョンがダウンロード出来るようになっていると考えています。

    という事は最初に話が戻ってしまって申し訳ないのですが、
    現状、DLできる3.5.1未満は
    脆弱性が残ったままのバージョンという事なんですね。
    http://ja.wordpress.org/releases/#latest

    ありがとうございました。

    モデレーター Seisuke Kuraishi

    (@tenpura)

    英語版のリリースアーカイブには以下のようにはっきり書いてありますが、最新版以外の WordPress は安全ではありません。

    None of these are safe to use, except the latest in the 3.6 series, which is actively maintained.

    日本語トップページにも、以下記述を追加いたしましたのでよろしくお願いいたします。

    安全にご利用いただけるのは最新版のみです。過去バージョンはメンテナンスされておりませんのでご注意ください。

    トピック投稿者 kozz

    (@kozz)

    今回、質問させて頂いた経緯は、
    OSS、ベンダー製品に関わらず、プロダクトのポリシーにもよるかと思いますが、
    セキュリティパッチが、何世代か前にも適用されるというケースは多々あると
    思っていまして、WPの場合どういったポリシーなのかが不明だったため、
    質問させていただきました。

    これですっきりしました。

    ご対応ありがとうございました。

10件の返信を表示中 - 1 - 10件目 (全10件中)
  • トピック「セキュリティパッチについて」には新たに返信することはできません。