WordPress アップデート 6.2.1 によりサイトが壊れる

WordPress 6.2.1セキュリティアップデートは一部のWebサイトで裏目に出ており、開発者は修正を非常識だと呼んでいる

複数のセキュリティ修正を含む最近の WordPress セキュリティ アップデートも一部のサイトの機能停止を引き起こし、ある開発者は「これは混乱だ!!」と叫んでいます。

このアップデートにより、WordPress ブロック システムを使用するサイトで多数のプラグインが動作しなくなる原因となる重要な機能が削除されました。

影響を受けるプラグインは、フォームからスライダー、パンくずリストまで多岐にわたります。

更新: バージョン 6.2.1 を修正するために WordPress リリース 6.2.2

WordPress は金曜日遅く、バージョン 6.2.1 で導入されたセキュリティ パッチの欠陥に対処するアップデートをリリースしました。

発表では次のように述べられていました。

「WordPress 6.2.2 は、6.2.1 のリグレッションに対処し、6.2.1 で対処された脆弱性にさらにパッチを適用するための迅速な対応リリースです。」

以前のアップデートで導入されたショートコードのバグの影響を受けた WordPress 発行者は、最新バージョンへのアップデートを検討することをお勧めします。

自動バックグラウンド更新をサポートするサイトは、WordPress 6.2.1 アップデートがセキュリティ リリース (正式にはメンテナンスおよびセキュリティ リリースでした) であるため、自動的に受信しました。

WordPress の公式リリース発表によると、アップデートには 5 つのセキュリティ修正が含まれています。

この問題は、ブロック テーマのショートコードに影響を与える最初のセキュリティ修正によって発生し、問題を引き起こしています。

ショートコードは、お問い合わせフォームなどの機能を提供するコードの代用またはプレースホルダーとして機能する 1 行のコードです。

そのため、フォームが表示されるすべてのページに問い合わせフォームを設定する代わりに、問い合わせフォームを埋め込むショートコードと呼ばれる 1 行を挿入するだけで済みます。

残念ながら、ハッカーがユーザー生成コンテンツ (ブログのコメントなど) 内でショートコードを実行し、悪用につながる可能性があることが判明しました。

WordFence ではこの脆弱性について次のように説明されています。

「WordPress Core は、6.2 までのバージョンのブロック テーマでユーザーが作成したコンテンツ内のショートコードを処理します。

これにより、認証されていない攻撃者がコメントやその他のコンテンツの送信を通じてショートコードを実行し、通常はサブスクライバーまたは共同作成者レベルのアクセス許可を必要とする脆弱性を悪用できる可能性があります。」

WordFence は続けて、この脆弱性は別のより深刻な脆弱性を引き起こす可能性がある欠陥のようなものであると説明しています。

ショートコードの脆弱性に対する解決策は、WordPress ブロック テンプレートからショートコード機能を完全に削除することでした。

脆弱性修正に関する公式ドキュメントでは次のように説明されています。

「ブロック テンプレートからショートコードのサポートを削除します。」

誰かが WordPress ブロック テンプレートのショートコード サポートを復元する回避策を作成しました。

ただし、次の回避策によって脆弱性も復元されました。

「6.2.1 を使い続けたいが、テンプレートのショートコードのサポートを復元する必要がある場合は、この回避策を試すことができます。

…ただし、セキュリティ問題を修正するためにサポートが削除されたため、ショートコードのサポートを復元すると、セキュリティ問題が再び発生する可能性があることに注意してください。」

実際、ショートコードのサポートを無効にすると、一部のサイトが機能しなくなり、完全に動作しなくなりました。

そのため、より恒久的な解決策が見つかるまで回避策を追加することは、多くのユーザーにとって理にかなっていました。

WordPress 開発者は、WordPress のアップデートに対する不満を次のように報告しました。

ある人はこう書きました。

「…設計上ショートコードが削除されているなんて、私にとってはまったく正気の沙汰ではありません!! 私たちの代理店の FSE サイトはすべて、フィルター、検索、ACF、プラグインの統合など、すべてのテンプレートでショートコード ブロックを使用しています。これは混乱です!!

回避策は私にはうまくいかないようです。 以前のバージョンに戻して修正があることを願っています。」

別の人は次のように投稿しました。

「そうですね、グーテンベルクの嫌悪感はわかりませんが、少なくともフルサイトエディターで段階的に廃止していたショートコードのような一部のブロックを禁止すべきでした。

それはWP開発者の愚かなことでした。

あなたが別のことを伝えたり、新しいやり方に誘導したりしない限り、人々は古いやり方を使い続けるでしょう。

しかし、私が言ったように、例えば公式の PHP ブロックを介して橋を架けること、あるいは実際にユーザーや開発者の要望に耳を傾けることの方が良かったでしょう。」

影響を受けた注目すべきプラグインの 1 つは Rank Math でした。 ブロック テーマに存在するブレッドクラム機能は、6.2.1 アップデート後に機能しなくなります。

Rank Math サポート ページには、Rank Math プラグイン ユーザーからの修正リクエストが含まれていました。

Rank Math サポートでは、回避策の修正を追加することを推奨しました。 残念ながら、この回避策修正はショートコード機能を復元するだけでなく、脆弱性も復元します。

このアップデートにより、Smart Slider 3 プラグインの機能もブロックされました。

Smart Slider 3 プラグイン ページでサポート スレッドが開設されました。

「完全にあなたのせいというわけではありませんが、Automattic はブロック テンプレートからショートコードを引き出すことにしました。…「セキュリティ上の問題」を主張していますが、基本的に私が使用している 2 つのプラグイン (あなたのものも含めて) を無効にしています。

つまり、プラグインは FSE テンプレートで使用すると [smartslider3 slider="6″] と表示されるだけですが、FSE エディターでは正常に表示されます。

Automattic が知らせるべき混乱した人々があなたを非難し始める前に、知りたいかもしれないと思ったのです。 そのような機能を単に削除するべきではありません。それは、悪い昔の時代が再び繰り返されるようなものです。

また、フォーム/PHP コードをプラグインしてカテゴリ リストを検索ボックスに入れる方法も考えなければなりません。 うーん。」

Smart Slider 3 サポート チームは、回避策の修正を追加することを推奨しました。

この問題に関する WordPress.org サポート スレッドの他の人々も解決策を考え出しました。 あなたのサイトが影響を受ける場合は、ディスカッションを読むと役立つかもしれません。

WordPress v6.2.1 はテンプレートのショートコード ブロックを破壊します

Shutterstock/ViChizh による注目の画像