WordPress チケット #30465 は 10 年前にオープンされました – 2025 年はついに解決される年になるでしょうか?
公開: 2025-01-032014 年 11 月に遡ると、Sergej Mueller という名前の WordPress 開発者は、当然の懸念のように思われる問題を提起しました。ユーザーは、使用しているプラグインが公式リポジトリから削除されたかどうかを知る方法がありませんでした。たとえセキュリティ上の理由で削除されたとしてもです。彼のチケット (正式には #30465) は比較的すぐにクローズされましたが、解決策はありませんでした。セルゲイジさんは、それがほぼ10 年後に再開されるとはほとんど知りませんでした。
そして、2025 年の初めに、私はそれに関する最新情報を書いています。
なぜ?
理由はいくつかあります。
まず、これは最近、正確には昨年 10 月に発生したいくつかのプラグインのセキュリティ イベントと非常に関連しています。それについてはすぐにお話します。そして第 2 に、問題を解決しようとする意志と勢いが本格的に高まっています。チケットに関する最後のアクティビティは 1 か月も前ではありませんでした。
ということで、セルゲイの忍耐がついに間もなく報われそうな気がします…
まずはチケットの発展を遡ってみましょう。次に、ここ数週間で何が起こっているかに移ります。
「解決しない」から WCEU 2023 のステージに立つまで 🙅♂️
チケットが最初にオープンされたとき、いくつかの反応がありましたが、WordPress の主任開発者である Andrew Nacin によってすぐに閉鎖されました。彼はそれを閉じて「修正しない」とマークし、プラグインの削除はセキュリティの問題だけでなく、さまざまな理由で行われたと説明しました。
その後、コメントが飛び交ったが、その後は、この問題を蒸し返そうとする誰かの年に一度のコメント(場合によってはそれ以下のこともある)に落ち着いた。
そして2023 年 3 月に、興味深いことが起こりました。 WordPress コミュニティでは有名な人物である Joost de Valk が、チケットを正式に再開しました。彼の主張は、WordPress にはプラグインが維持されているかどうかをユーザーに伝える責任があるというものでした。
同氏はまた、WordPress.org はすでにこの情報をプラットフォーム自体に表示していたが、それは 60 日間の待機期間を経た後であったことも指摘した。彼の提案は、ユーザーが実際にプラグインを管理する WordPress バックエンドにも同じ透明性をもたらすことでした。
それがスレッド全体に新たな熱意の波を引き起こしました。このチケットは非常に人気が高まり、Patchstack の CEO 兼共同創設者である Oliver Sild 氏もWCEU 2023 のスピーチで言及しました。
彼はそのことに言及しただけでなく、プレゼンテーションに追加したカスタム QR コードを使用してスレッドにコメントを残すよう WCEU 出席者に奨励しました。彼はまた、翌年パッチスタックが主催するコンテストの遅延アリウープとしてもこのプラグを使用しました。
Patchstack の 2024 年 10 月のイベント 🪲
2024 年 10 月、Patchstack はサイバー セキュリティ月間の一環としてバグ報奨金イベントを開始しました。オリバーが WCEU のスピーチでチケット #30465 について言及したのがアリウープだとしたら、このイベントの結果はスラムダンクとなるでしょう。
このイベントに参加したセキュリティ研究者は、最終的に 1 か月で 1,571 件もの有効なセキュリティ脆弱性レポートを発見しました。これらは単なる小さな問題ではなく、次のような問題について話しています。
- 攻撃者が悪意のあるファイルをアップロードする可能性があるケースは 73 件。
- 67 データベース全体を侵害する可能性がある SQL インジェクションの脆弱性。
- 攻撃者が権限を昇格させる 58 の方法。
- 17 件のリモートコード実行の脆弱性 (すごい!)
その余波により、1,000近くのプラグインが一時的に閉鎖されました。そして、Patchstack がこれらの問題についてプラグイン開発者に連絡を取ろうとしたところ、ほぼ 74% がまったく連絡が取れませんでした。連絡フォームが壊れているか、メールが返送されているか、ドメインの有効期限が切れているかのいずれかです。
問題は、これらの脆弱なプラグインの多くが 6 ~ 11 年間リポジトリに放置されていたことです。中には 17 年前まで遡るものもあります。そして、はい、これらのプラグインに依存するライブ Web サイトがまだ存在します。
言うまでもなく、これらすべてのデータにより、オリバーはスレッド内でチケット #30465 を完了に向けて前進させることができました。彼はそれを喜んで利用し、このイベントについて議論した公式 Patchstack ブログ投稿が公開される 2 週間前に詳細の一部を投稿しました。
議論から行動へ 🛠️
オリバーがコメントを追加した時点では、スレッド上のアクティビティはすでに雪だるま式に増えていたため、その個々の影響を評価するのは困難です。しかし、それが拡大する火に油を注いだと考えるのは不合理ではありません。特に他のユーザー (少なくとも 1 人は Patchstack の従業員) が彼のコメントを公然と支持しています。
これに応えて、WordPress の主任開発者 Dion Hulse (@dd32) はいくつかの点で反対意見を述べましたが、待望の機能を実装する実験的なプラグインを作成することで大幅に前進しました。
実装は非常にシンプルです。プラグインが WordPress.org リポジトリで閉じられると、ユーザーには明確かつ慎重な通知が表示されます。パニックを引き起こす危険警告はなく、プラグインのステータスに関する単純な情報だけが表示されます。
誰かがセルゲイを見つけて、 「ママ、成功したよ!」と伝えてください。
まあ…ほぼ。
まだ WordPress コアの一部ではありませんが、ゴールラインに近づいていると感じています。
可能であることがわかったので、次のステップは最終的な実装を決定することです。その後、WordPress コアに統合できます。
次は何でしょうか? 🎯
この記事の執筆時点では、この機能は WordPress 6.8 に含めることが検討されています (Dion Hulse 氏による) が、まだクリアすべきハードルがいくつかあります。これらには次のものが含まれます。
- 通知のタイミングを最終決定します (60 日間の期間を延長する可能性について議論されています)。
- 閉鎖理由文書の標準化。
- ユーザーの認識と開発者のサポート負担のバランスをとる。
- 正確な場所を決定します (プラグインの例のスクリーンショットに示されているように、サイトの健全性画面とプラグイン上で直接)。
全体像 🌐
WordPress チケット #30465 の進化は、WordPress のセキュリティが過去 10 年間でどのように変化したかについて興味深いことを教えてくれます。エコシステムが成長し、セキュリティ上の課題が増大するにつれて、かつては特殊なケースとして無視されていたことが、ますます重要になっています。
ここに到達するまでに 10 年かかりましたが、実験的なプラグインは、セキュリティ意識とユーザー エクスペリエンスのバランスをとったソリューションに最終的に近づいていることを示唆しています。何百万もの WordPress インストールが脆弱なプラグインの影響を受ける可能性があるため、この機能はすぐには実現できません。
開発を追跡したい場合は、GitHub の実験的なプラグインをチェックするか、チケット #30465 に注目してください。これは、10 年にわたる会話が目に見える成果に変わるのを目撃できる稀な瞬間の 1 つかもしれません。 💡
この機能についてどう思いますか? WordPress ユーザーとして、プラグインが閉鎖されたことを知らされると役立つと思いますか?コメントでお知らせください。それではまた会いましょう。