WordPress コンテンツ管理システムにバージョン3.7 が登場した。利用者に安定性とセキュリティを提供している。WordPress アップデートのインパクトは大きい。このプラットフォームが、世界7,200万もの Web サイトで利用されているためだ。

WordPress 3.7「カウント ベイシー」リリース ― 自動アップデート機能を導入
カウントベイシー氏
WordPress 創設者の Matt Mullenweg 氏は、WordPress 3.7 を伝説のジャズピアニストにちなみ「Count Basie(カウント ベイシー)」と名付けた。Mullenweg 氏は、これまでも WordPress にジャズミュージシャンの名前を付けている。例えば、WordPress 3.6 は「Oscar Peterson(オスカー ピーターソン)」にちなみ「Oscar」と名付けられていたし、WordPress 3.5 は「Elvin Jones(エルビン ジョーンズ)」にちなみ「Elvin」と呼ばれていた。

ジャズはイージーゴーイングなスタイルを持つ音楽。WordPress 3.7 アップデートも、イージーゴーイングなものに進化した。WordPress 3.7 では、バックグラウンドアップデートが導入された。

これまでの WordPress では、利用者は手動でアップデートをインストールする必要があった。このため、多くのサイトが旧バージョンの WordPress を利用し続け、攻撃者のターゲットとなっていた。だが、WordPress 3.7 で導入されたバックグラウンドアップデートにより、WordPress のインストールは自動化されたのだ。

自動アップデートテクノロジーは、すでにクライアントソフトウェアでは浸透しつつあり、Google の Chrome、Mozilla の Firefox などで採用されている。

だが、WordPress のような、サーバーサイドソフトウェアに自動アップデートを導入することは、リスクも伴う。例えば、WordPress をアップデートすることで、プラグインが動作しなくなったり、サイトが稼働している下層技術に影響を与えたりする可能性がある。CORE Security のセキュリティコンサルタント Matt Bergin 氏は eWeek に対し、自動アップデートのもつ潜在的な危険性を指摘する。

「自動アップデートを許可することで、プロダクション環境を破壊してしまう可能性がある」

だが、WordPress 開発者は、自動アップデートシステムは安定しており、プロダクション環境を破壊することはないと自信を見せている。

「すでに WrodPress 3.7 を稼働させているサイトでは、11万を超えるアップデートを試みたが、一度もクリティカルな問題は発生しなかった。いくつもの検証ステップにより、アップデートは、信頼できるものとなっている」

それでも自動アップデートの導入を恐れる管理者に向けては、WordPress は「Background Update Tester」も用意している。これを利用すれば、サイト管理者は、バックグラウンドアップデートが問題なく機能するか、テストすることができる。WordPress サイトの管理者はまた、バックグラウンドのアップデートを利用不可に設定することも可能だ。

パスワード

自動バックグラウンドアップデートが WordPress 3.7 での唯一のセキュリティ拡張というわけではない。Web サイトを攻撃する最も簡単な方法は、弱いパスワードを利用することだ。WordPress 3.7 は、弱いパスワードに対する対策も講じた。システムは、利用者が攻撃者が推測し易いパスワードを設定しようとすると、警告を発するようになっている。

たとえば、「1234」といったパスワードを設定しようとした場合、システムは利用者に対し、パスワードが安全でないことを警告する。

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。