WordPressセキュリティチームは9月7日(米国時間)、「Dropping security updates for WordPress versions 3.7 through 4.0 – Making WordPress Secure」において、2022年12月1日をもってWordPressバージョン3.7から4.0系までのバージョンのサポートを終了すると伝えた。これにより、相当数のWordPressがセキュリティアップデートを受け取れなくなることから警戒が必要だ。

  • Dropping security updates for WordPress versions 3.7 through 4.0 – Making WordPress Secure

    Dropping security updates for WordPress versions 3.7 through 4.0 – Making WordPress Secure

2022年12月1日以降、WordPress 3.7系から4.0系までを使っているユーザーのダッシュボードには、すでにサポートが終了していること、最新バージョンのWordPressにアップグレードするように求めるメッセージが表示されるようになる。

WordPressは基本的に最新バージョンがセキュリティアップデートの対象とされている。しかし、これまでセキュリティチームは慣例的に古いバージョンに対してセキュリティアップデートのバックポートを行ってきた。これらセキュリティアップデートは自動アップデートを通じて古いバージョンのWordPressに対しても適用されることが期待されていた。

今回対象外となることが通知されたバージョン(3.7系から4.0系)のシェアはWordPress全体の1%未満とされており、セキュリティチームがバックポートに労力をかけることが難しくなっていると説明している。

WordPress内でのシェアは1%未満でも、WordPressはインターネット全体の43%で使われており、2位のCMSの10倍以上のシェアを持っている。WordPressバージョン3.7系から4.0系のシェアは少なくない数であり、これらがセキュリティアップデートの対象から外れることになるため注意が必要。

該当するバージョンを使用している場合、セキュリティアップデートの提供が終了するまでに最新バージョンなどへ移行することが望まれる(参考「Webサイト向けCMS、WordPressの圧倒的なシェア変わらず | TECH+(テックプラス)」)。