マイナーアップデートWordPress 4.9.1がリリースされた。事前の予告通り、いくつかのセキュリティパッチを含んでいるので、自動アップデートをオフにしている人は急いでアップデートを。
今回のアップデートではマルチベクトル型攻撃に対する潜在的な脆弱性を塞いだ。マルチベクトル型攻撃の詳細について筆者は知らないのだが、DDos攻撃を複数の手段で行うことらしい。その他、テーマカスタマイザーのバグなども修正されている。
余談:バグや脆弱性のスマートな報告
ところで、このような脆弱性を発見した場合にはマナーがあることをみなさんご存知だろうか。
WordPressのコアに関する脆弱性はHackerOneページへ、プラグインの脆弱性についてはこちらに記載されているメールで送信することになっている。くれぐれも、攻撃の再現方法をブログなどに書かないようにするのがマナーだ。
また、コアのバグ報告はTracにイシューとして立て、プラグインの場合はサポートフォーラムやGithubなどに報告しよう。こちらもブログに書いてもよいのだが、そのブログを開発者本人が目にするとは限らないので、あまり意味がない。
どちらにも共通するのは、公開の場でまずい情報を漏らすのは危険だし、マナー違反だということだ。
他人のミスや失敗を見つけると声高に指弾したくなるのはわかるが、それをやってしまうのは少し大人気ない。スカートのファスナーを開けっぱなしにして歩いている素敵な女性がいたとしよう。そのとき「おい、みんな見ろよ! こいつパンツ見えてるぜ!」と大声で叫ぶ人と、「お嬢さん、男性でいうところの社会の窓が開いてますよ」と耳打ちする人、どちらが良識的な大人かわかるだろう。
わからなかったら、WordPress.org日本語のサポートフォーラムやSlackで聞いてみよう。