WordPress5.4.2セキュリティ修正リリース   5.2.7も自動適用

 2020/6/10にWordPress5.4.2がリリースされた。これにはセキュリティ修正が含まれている。 修正 https://core.trac.wordpress.org/query?milestone=5.4.2&group=component&col=id&col=summary&col=milestone&col=owner&col=type&col=status&col=priority&order=priority

 このリリースにはセキュリティ修正のほかに強化も含んでいる。5.4系を使っているなら上げるほうがよいだろう。 5.2系は 5.2.7でとりあえずよいのか…。 5.2.6、5.2.7の修正内容は見えない感じです。

パッチはリリースしているのに、修正内容が分からないのはいまいちです..

WordPress5.4.1リリース  セキュリティ修正を含む が … 5.2.6も自動適用された

 2020/4/29にWordPress5.4.1がリリースされました。これには7件のセキュリティ修正が含まれています。ただ相変わらず修正内容に関する情報公開がぬるい。修正のほかに強化項目も含まれているので何用のリリースなのか分かりにくい。

■5.4.1での修正内容は

 情報公開で、分かりにくいポイントはいくつかあるが、ぱっと見どれがセキュリティ修正かわからない。NVD、JVNには4/30時点では、まだ情報公開されていないようです。修正内容のほとんどはバグ作り込みが、WP5.4となっています。そして2件の修正対象のバグ作り込みバージョンは5.3となっています。 これはREST APIに関するものです。 この修正では、5.2以前のものはなさそうなので、 5.2系を使っているところは様子見でよさそう。

 REST APIの件がセキュリティ修正かどうかが気になる。 #49648はプロパティのアトリビュートが取れない問題、#49645も同様にREST APIを使ったシーンで情報が取れない問題だ。これは、セキュリティかどうかに関係なくアップデートしておいたほうがよさそうです。 アップデートするとなると気になるのは、5.4や5.4.1で強化された項目の残バグの状況です。 

■残留バグ、つぎの修正の予定は?

すでに5.4.2を作業中のようです。これも強化を含む修正で、5.1で作り込んだバグの修正も含みそうです。 

■それで、どうする?

5.4.1については、 5.3系には適用するのでよいでしょう。 5.2以前は5.4.2が出るのを待つので良いでしょう。5.2は5.2.6が自動適用されました。
それからNVDなどの情報もチェックしましょう。

■追記:5.2.6の内容は?

5.4.1の修正内容ではなく、5.4.2で作業中のテーマの更新を先行して出したようです。WordPressの修正一覧ではマイルストーン、バージョンともに5.2.6はまだ登録されていません。 修正内容もチェックしておきましょう。

WordPress5.4がそろそろリリースされそう。 セキュリティ修正は?

 2019/12/13にWordPress5.3.1 セキュリティパッチがリリースされてから、セキュリティ修正はまだないが、5.4でどうなるかちょっとみてみた。 修正内容の管理も5.4もできている。

■5.4での修正内容は

 今時点で5.4がリリースされるような状況ではない感じがする。 最悪5.4はスキップして、5.5か という感じさえする。というのは、#49685 など、マイルストーンを5.5としている。修正できたら5.4にセットしなおすのかもしれないが。。。

それから、5.3以前の作り込みバグの修正はなさそうです。いずれも5.4での問題の修正とされている。

■4/2追記:

5.4リリースされていました。
結構クローズされていない状態でリリースされているようだ。 修正内容の項目数は、先日みたときより4倍くらいに増えている。まだまだ修正中という感じですね。となると、5.4.1のリリースもすぐかもしれない。 それから、5.4での強化のいろづけが簡単にできるようになるのはよさそう。。。 でも、大きめの残バグがあるので、5.4へのバージョンアップは修正パッチが出てからにしよう。

・脆弱性

2020年もプラグインがらみの脆弱性が多数報告されている。 プラグインのほうもチェックしておかないと。。。

セキュリティパッチでないのに短期間でWordPress5.3.2がリリース。 5.2系のパッチは?

 WordPress5.3.2が12/18にリリースされた。 5.2.6はリリースされているかは自動適用されていないので不明。5.3.2での修正内容からは5.3.1で作りこまれた致命的なバグとわかります。これが短期間でのリリースの理由でしょう。ないことです。1件のバグ(#48145)は煮え切らない解析の結果、5.3での修正(#45821)の影響で発生していると判断して、修正を行っている。意外にPHP側に問題があり、その問題回避をしているのかもしれない。 いずれにしても、5.3.2は5.3以降に発生した問題の修正なので、これらの対処のために5.2.6がリリースされることはなさそう。  それから、 分かりにくいが5.2.5が登録されていた。  
 そのほか5.3.2リリースでは、5.3系のアップデートはこれで終わりで次は5.4とされている。なので、5.3系へのアップデートは様子見とします。
 ただ、5.3.1に上がってしまっている環境については、5.3.2にアップデートすることとします。

■それより、プラグインのパッチは?

 プラグインについては、当てられるものはパッチ適用する。

WordPress5.3.1 セキュリティパッチが出たけど、5.2.5が適用された。

 WordPress5.3.1 セキュリティパッチが12/13にリリースされた。 同時に、5.2.5もリリースされたようだ。5.2.5についてはセキュリティパッチのページには掲載されていない。5.2.5が適用されたことは期待値どおりだが、5.2.5のことが情報公開されていない点がいまいちだ。修正内容の管理も5.3.1は情報があるが、5.2.5の情報がない。相変わらず管理が不十分な感じはぬぐえない。

■で、パッチ適用はどうする?

 手動でのパッチ適用は、5.3.1しかできないようだ。これは5.3.に誘導する策略なのかと違ってしまうが、、、。 まずは、テストサイトで5.3.1の検証を行う。そこで、問題が無ければ、ほかの本番系サイトにも適用していく流れにするしかなさそうだ。…..  困ったものだ。

WordPress5.3はとりあえず様子見

 WordPress5.3が11/12にリリースされたので、別に構築したWordPress検証サイトで動作確認しています。

■更新する際に留意しておきたい点

 WordPress5.3へコンテンツの更新を行った後に、DBの更新が行われる。DB構成が更新されていそうです。どこが更新されたのかは、ぱっと見ではわかりません。
 → 更新でトラブルが発生した場合、書き戻しするにはDBの書き戻しも必要となる。更新&検証の際には、切り戻し時間にDB書き戻し時間も考慮しておく必要がある。当然だが、更新直前にDBデータのバックアップを行う時間も考慮しておく必要がある。

■WordPress5.3での変更点の確認

 エディタ機能が強化された。  メニューに「ブロックのグループ化 」が追加されています。 
 全体的にはあまり大きな強化や変更はない。急いで更新したいというものはない。また、更新に関して、問題も特に問題はなかった。そのため、とりあえず5.3の適用は保留し、今後提供されると推測されるセキュリティパッチがで提供されたタイミングで更新することにする。

WordPress5.2.4セキュリティパッチ

5.2.4セキュリティパッチが適用されてました。動作的には問題ないようなので、パッチ検証環境以外にも適用します。

 このほかに、5.3 Release Candidate が出ています。特にほしい機能があるわけではないので、取り換えず様子見です。

 そして、以前に旧版へセキュリティパッチの話を書きましたが、5.1.3が同時にリリースされていました。パッチリリースのところには情報公開されないのですね。ちょっと不親切な感じがします。

サイト移行後のエラー確認と効率的な対処方法について


10/2にDNS切り替えて サイト移行が完了していますが、残問題の対処を行いました。
・「tv.xmlが生成できず番組情報が未提供」
→元データ自体が提供さてない状態のため、ダミーのtv.xmlを配置し、404エラーを回避済み。
・「WordPress内でリンク切れが検出されている」
→問題ページを確認し、修正。リンク切れが解消したことを確認済み。
・「外部サイトに古いリンクが残っていることが原因で発生している思われる404エラー」
→移行元のサイト上で動作しているコンテンツから参照されている可能性があるため、移行元のサイトのコンテンツを削除した。調査に必要なものはパスを変更するなどしてアクセスできないように対処した。また、問題のURLにアクセスしてくるのがクローラーであるため、リンク元のURLがリファラーで確認することができない。クローラー自体が古いサイトのコンテンツをキャッシュしていることも考えられるので、クローラー自体から問題URLにアクセスしないようにrobots.txtにクローラーがアクセスしないように設定を追加した。
 これにより、通常のブラウザでアクセスして404エラーが出た場合は、リファラーからリンク元のページが分かるはずです。


DNS切り替え作業を完了「新サーバでの運用中」


先週(2019年9月18日)から始めたサイト移行作業ですが、10/2 22:15ころDNS切り替え作業を完了しました。 いちおう、「移行完了宣言」 です。
 アクセス制限個所はすべて解除しています。
切り替え確認において、合計6件の問題を検出しました。今回の移行が原因のもの3件、既存の問題1件、追加調査が必要だが既存の問題と思われるもの2件です。リンチチェックツールを使用したことと、xserverでは、アクセスログとエラーログが参照可能であること、sshが利用可能でしたので、効率的に問題調査ができました。
今回の移行が原因のものの内訳は次の通りでした。
・使用中の画像ファイルを不要ファイルに振り分けていたため、画像ファイルを移行しておらず、404エラーとなっていた。
・cron設定が未移行のため、必要なファイルが更新されていなかったため、表示される情報が古い情報のままであった。。
・1つのメールアドレスの転送設定で、1byte文字で入力するべきところを1文字だけ2byte文字であった。このためメールが転送されず、消失する状態になっていた。

既存の問題は、定期実行処理を実装していないためtv.xmlが生成できず番組情報が未提供あることと、など一部ファイルがないものです。
追加調査が必要なものはWordPress内でリンク切れが検出されていることと、外部サイトに古いリンクが残っていることが原因で発生している思われる404エラーの2つです。
 ほかに継続的に不具合が発生している場合はコメントをお願います。

以下は、移行に関する状況と今後のスケジュールです。

2週間ほど、様子見した後、移行前の環境の情報が不要と判断で来たら、旧サーバの解約を行います。

DNS切り替え作業を行いました。現在、新サーバでの運用中です


先週(2019年9月18日)から始めたサイト移行作業ですが、10/2 22:15ころDNS切り替え作業を行いました。順次新サーバIPに切り替わっている状況です。
 トップURLなどをアクセス制限をしています。確認完了したところからアクセス制限解除していきます。また、切り替え時に一部アクセスできないところがありました。問題個所は随時修正を行います。
 移行完了後の「移行完了宣言」はまだ出せる状況ではありません。最長1週間くらいを予定しています。移行完了後に不具合が継続していた場合はコメントをお願います。

以下は、移行に関する状況と今後のスケジュールです。

・基本機能確認
– メール、設定 9/25一部実施済み; 暫定9/28完了、 正式 10/15完了予定
– Web 設定 9/25一部本番実施済み 正式 10/10完了予定

・WordPressコンテンツの移行
   仮 9/22実施済み 正式 10/10完了予定
・DBデータ移行
   仮 9/22実施済み 正式 10/10完了予定
・WordPress以外のWeb,DBは9/25移行実施済み。
・DNS設定切り替え、10/2 22:15実施。