最新WordPressの守りは固い？ Ver 6.4～6.6までのセキュリティアップデートまとめ

こんにちは！合同会社エーデルハーツの代表、矢部です。埼玉県川越市を拠点に、WordPressサイトのセキュリティ対策やカスタマイズに取り組んでいます。

このWordPressセキュリティシリーズ、前回（第2回）はバージョン6.0から6.3までのセキュリティ関連の進化を見てきました。今回はその続きとして、比較的新しいバージョンであるWordPress 6.4から6.6まで（概ね2023年後半～2024年末にリリース）に焦点を当て、どのようなセキュリティアップデートや改善が行われてきたかを確認していきましょう。最新のWordPressがどのように安全性を高めているかを知ることは、安心してサイトを運営する上で重要です。

WordPress 6.4 (2023年11月リリース) のセキュリティ動向

バージョン6.4では、新しいデフォルトテーマ「Twenty Twenty-Four」の導入や、待望の「フォントライブラリ」機能（当時はプレビュー段階）、ブロックエディタの機能強化（ブロックフックなど）が行われました。

このバージョンのライフサイクル中には、複数のマイナーアップデート（6.4.1, 6.4.2, 6.4.3など）がリリースされ、いくつかの重要な脆弱性に対処しました。注目すべき点としては、以下のようなものが挙げられます。

特定の条件下でのリモートコード実行（RCE）に繋がる可能性のある問題の修正（深刻度は限定的とされたケース）。
ファイルアップロード処理におけるPHPオブジェクトインジェクションの脆弱性への対処（PHARファイル経由）。
複数のクロスサイトスクリプティング（XSS）脆弱性の修正（ユーザー表示名に含まれるHTMLや、ブロックエディタ内部など）。
プラグイン有効化時の権限昇格に繋がる可能性のある問題の修正。

これらの修正は、WordPressコア自体の堅牢性を高め、複数の脆弱性を組み合わせた（連鎖させた）攻撃を防ぐための継続的な取り組み（Hardening）の一環と言えます。

WordPress 6.5 (2024年4月リリース) のセキュリティ動向

バージョン6.5では、「フォントライブラリ」が正式に導入され、サイト全体でフォント管理が容易になりました。また、開発者向けの機能として「Interactivity API」や「Block Bindings API」、プラグイン開発を支援する「プラグイン依存関係」機能などが追加され、モダンな画像フォーマットであるAVIF形式のサポートも始まりました。

6.5系統のマイナーアップデート（6.5.1, 6.5.2 など）では、それまでに発見された以下のような典型的な脆弱性クラスに対する修正が行われました。

テンプレートやブロック処理におけるクロスサイトスクリプティング（XSS）。
潜在的なクロスサイトリクエストフォージェリ（CSRF）の問題に対する保護強化。
コアAPIにおけるデータ露出やアクセス制御に関する軽微な問題の修正。

新しいAPIや機能が追加される一方で、それらに関連して発生しうる新たなセキュリティリスクにも注意が払われ、迅速にパッチが提供される体制が維持されています。PHPの最新バージョンへの対応強化も継続されました。

WordPress 6.6 (2024年12月リリース) のセキュリティ動向

バージョン6.6は、サイトエディターにおける「データビュー」機能の改善、テーマのスタイルバリエーション機能の強化、同期パターンでのオーバーライド機能、そして待望の「グリッドレイアウト」サポートなど、主にユーザー体験と制作ワークフローの向上に焦点が当てられました。

一見するとセキュリティに直接関連する大きな機能追加は見られないかもしれませんが、このようなリリースにおいても、水面下でのセキュリティ強化や、新たに追加された機能における潜在的な問題点の修正は継続して行われます。6.6系統のマイナーアップデート（6.6.1など）では、以下のような修正が含まれることが一般的です。