サポート » 使い方全般 » WordPress の過去バージョンのセキュリティメンテナンスリリースについて

  • 解決済 kimipooh

    (@kimipooh)


    https://wpdocs.osdn.jp/WordPress_%E3%83%90%E3%83%BC%E3%82%B8%E3%83%A7%E3%83%B3%E4%B8%80%E8%A6%A7

    をみると、WordPress 3.7以降で、2017年1月26日にそれぞれのバージョンの最新版が出ています。
    https://wordpress.org/download/release-archive/
    からもダウンロード可能です。

    さてそこで質問したいのは、WordPress 最新版(現時点では 4.7.2)以外で、サポートされているバージョンというのはあるのでしょうか。つまりセキュリティフィックスがどのバージョンまで対応されているかという質問です。

    https://wordpress.org/download/release-archive/

    を見ると、最新版以外は安全ではないと書かれています。
    が、https://wordpress.org/support/topic/wordpress-4-6-2-update-release-date/ にあるように、
    たとえば、WordPress 4.7.1 のセキュリティフィックスは、4.6.2を出すことで 4.6系でもフィックスしてるよっていうモデレーターの回答もあるので、実際にどうなのかなという質問です。

13件の返信を表示中 - 1 - 13件目 (全13件中)
  • CG

    (@du-bist-der-lenz)

    今手元で見ているのが 4.2.12 です。更新通知には 4.1 系もあったように記憶しています。

    そうなんですね。。。3.7以降は、バージョンが更新されているような感じなのです。

    問題は WordPressの脆弱性がでるたびに最新版へアップデートを・・と関係者に通知するのですが、その際に最新版といってもそれぞれのバージョンでセキュリティメンテナンスリリースがされているなら、最低限メンテナンスリリースはアップデートしておけといって問題がないのか、、という判断ができる材料がないということなのです…

    これでしょうか。

    https://codex.wordpress.org/WordPress_Versions

    3.7系以降はJanuary 26, 2017のリリースがあるので、メンテナンスリリースがあるようです。
    3.6系以前では新しいバージョンが出たら古いバージョンのメンテナンスが終了している感じですね。

    あああ、@kimipoohさんが書いてることそのままですね。
    失礼しました。

    しかし、日本語サイトにはあるその注釈が、英語サイトになない様子ですね。

    • この返信は7 ヶ月、 2 週間前に  munyagu さんが編集しました。

    いえいえ、回答ありがとうございます。

    そうメンテナンスリリースは出ているようにみえるんですけど、それってどこまで対応しているの、大丈夫?ってことなのです。
    他方、すでにURL出していますが
    https://wordpress.org/download/release-archive/
    にある
    None of these are safe to use, except the latest in the 4.7 series, which is actively maintained.

    をみると、積極的にメンテナンスされている 4.7シリーズを除いて、これらはどれも安全でないよっていってるんですよね。
    となると一応メンテナンスリリースしてるけれど、安全じゃないと、、つまり一応出してはいるけど、非推奨で 4.7へのアップグレードが望ましいってこと?どうなの?って疑問があるのです。

    • この返信は7 ヶ月、 2 週間前に  kimipooh さんが編集しました。

    ちゃんと考えたことなかったですけど、(最新メジャーバージョンじゃないバージョンのマイナーアップデートは、)

    > 一応メンテナンスリリースしてるけれど、安全じゃないと、、つまり一応出してはいるけど、非推奨で 4.7へのアップグレードが望ましいってこと

    という事であっている気がしますね。

    というのは、たとえば、4.0系だと、今日現在4.0.15までマイナーアップデートが伸びていますが、これには4.1, 4.2 ~ 4.7 のバージョンアップデートの差分は含まれていないはずですよね。(含まれていたらマイナーアップデートじゃなくなってしまう)
    ということは、メジャーアップデートに含まれていたセキュリティフィックスについてはマイナーアップデートだけをし続けているサイトには反映され無さそうだということですもんね。

    おお〜回答ありがとうございます!

    そこで次のWordPress.org フォーラムモデレータの James さんが、下記で回答された内容がひっかかるのです。
    https://wordpress.org/support/topic/wordpress-4-6-2-update-release-date/
    にて、
    It was released today and includes all of the security fixes from 4.7.1 backported to the 4.6 branch: https://codex.wordpress.org/Version_4.6.2
    なこといってるんですよね。つまり、 4.7.1でのすべてのセキュリティフィックスは、4.6.2に含まれてリリースされてますぜ〜って。。。

    これがホントならどこまで対応してるの?ってまたややこしいことに….

    • この返信は7 ヶ月、 2 週間前に  kimipooh さんが編集しました。

    でも、4.7 に含まれていたかもしれないセキュリティに関連するフィックスは含まれていないと思います。

    こんにちは、

    ワードプレスの使用実態は

    https://wordpress.org/about/stats/

    ワードプレスの自動更新との兼ね合いで、マイナーアップデートは自動更新できるため、最新版で見つかったバグのフォローを下位バージョンでも行っている。
    というだけで、バージョン毎に別々に開発しているという事ではないと思います。

    関連するかどうかわかりませんが、メジャーアップデートの時には デフォルトテーマもアップデートしますが、

    twentytwelve

    
    <hgroup>
    			<h1 class="site-title"><a href="<?php echo esc_url( home_url( '/' ) ); ?>" title="<?php echo esc_attr( get_bloginfo( 'name', 'display' ) ); ?>" rel="home"><?php bloginfo( 'name' ); ?></a></h1>
    			<h2 class="site-description"><?php bloginfo( 'description' ); ?></h2>
    </hgroup>
    

    必要最低限度のアップデートはすると思いますが、廃止要素は、維持されたままです。

    こういった事と似ている感じがします。

    • この返信は7 ヶ月、 2 週間前に  nobita さんが編集しました。
    CG

    (@du-bist-der-lenz)

    4.7 のセキュリティ対策版をたたき台に、それまでのバージョンの設計のなかで、取り込むことに出来る範疇のセキュリティアップデートだと解釈しています。

    熊本地震後の、各家庭の対応が同一に語れないように、業者もこういうのがあるとグループパターンを提示はしない。
    最も最善なのは、解体して地盤を検査、改善して耐震基準の適用内になるならば、再度建築するのが良いというだけです。
    熊本地震の家屋の被害は、地震の影響は少ないと判断して、耐震基準を8、つまり、推奨から2割間引いて認めていたことにあります。

    WordPressの各バージョンのセキュリティアップデートは、自動更新の機能ができたことの派生義務というところでしょう。

    Du bist der Lenz さんのご指摘の通りかなぁと思います。

    Releasing Minor Versions


    ===
    In the case of a purely security release, all patches should be created well ahead of time. Different patches may be necessary for trunk and stable branches. Currently, we make an effort to back port patches to all versions of WordPress that support autoupdates (3.7+). However, back porting patches is not always possible and those versions of WordPress are not officially supported as a result.
    ===
    を見つけました。 自動更新を実装した WordPress 3.7以降のすべてのバージョンについて、可能な限りセキュリティリリースをするよう務めるけれど、すべてをフィックスできるわけではないし、公式にサポートしてないよ〜

    ってことですよね。。。

    CG

    (@du-bist-der-lenz)

    自動更新も勝手に上位バージョンにしてしまうと、プラグインやPHP絡みで不便があるというところでしょう。それだけ多彩なWordPressユーザーが増えたと見ていいでしょう。
    自動更新はそれで、必要性を迫られた機能ですから、WordPress全体の保全を目的とするなら作業繁多は当然になります。このフォーラムの行方も同じ覚悟が必要ね。

    • この返信は7 ヶ月、 2 週間前に  CG さんが編集しました。理由: タイポ修正

    皆様、いろいろとご意見・ご回答ありがとうございました。

    いろいろな理由でメジャーバージョンアップができないケースがあるので、過去バージョンでもフィックスを頑張っておられるのだと思います。私自身は、管理する WordPress管理者へどう通知するのか。。という点での質問なので、最新版だけが推奨〜ってことになりますが、WordPress 3.7以降というかなり前のバージョンもセキュリティフィックスを頑張っておられるのには脱帽します。

    というわけで私の疑問は解決しましたので、解決済みにいたします。

13件の返信を表示中 - 1 - 13件目 (全13件中)
  • トピック「WordPress の過去バージョンのセキュリティメンテナンスリリースについて」には新たに返信することはできません。