皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭で書いたGoogleの『Titan Security Key』とは物理的なセキュリティキーのことで、同社がこれを発表する前にはYubiCoという会社が『Yubikey』という名前で既に販売しており、Googleも過去においてはこれを推奨していました。

では、これらの物理セキュリティキーとはいったいどのようなものなのでしょうか？

GoogleのTitan Security Keyとは

今回Googleが発表した『Titan Security Key』などの物理セキュリティキーとは、二要素（二段階）認証などの多要素認証を通じてセキュリティを強化してくれるものです。

Googleは昨年、8万5000人以上いる従業員に対してこの物理セキュリティキーの認証を求めるようにし、結果的にハッキングされた者は誰もおらず、被害が完全になくなったとされています。

この『Titan Security Key』という物理セキュリティキーは2種類用意されており、1つはPCのUSBポートへ直接差し込むもの、もう1つはモバイルデバイスなどとBluetooth接続で認証を行うものです。

通常の認証においては認証サーバに一度パスワードを送る必要がありますが、この『Titan Security Key』は『FIDO』や『U2F』という認証規格をサポートしているため、『認証はキーの中』で済ませてしまいます。

そのため、『Titan Security Key』を持っていなけえばアカウントにログインできないことになり、パスワードを盗めてしまうオンライン認証よりも高いセキュリティが実現されます。

また、Googleのサービスに限らず、他のサービスなどでも利用可能です。

1つ当たりの価格は20～25ドル（約2500円前後）程度で入手できるようになるとされていますので、一度試してみるのも良いでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の昨日、WordPressの更新版であるWordPress4.9.5が公開されました。

今日はそのニュースをお伝えします。

WordPress4.9.5セキュリティ・メンテナンス

WordPressのブログでは、以下のように説明されています。

WordPress 4.9.5 がご利用いただけるようになりました。これは WordPress 3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンスリリースとなります。今すぐにサイトの更新を行うことを強くおすすめします。

バージョン 4.9.4 以前の WordPress は、3つのセキュリティ問題の影響を受けます。コアチームの継続的なセキュリティ強化の取り組みにより、4.9.5 では、次の修正が実装されました。

１．デフォルトで localhost を同じホストとして扱わない。
２．SSL が強制されている場合に、ログインページのリダイレクトに安全なリダイレクトを使用する。
３．ジェネレータータグでバージョン文字列が正しくエスケープされていることを確認する。

WordPress 4.9.5 では、その他25個のバグが修正されました。特筆すべきは、以下となります。

・キャプションショートコードで以前のスタイルが復元されました。
・タッチスクリーンデバイスでクロッピングがサポートされるようになりました。
・エラーメッセージなどの文字列がより明解となるよう更新されました。
・アップロード中の添付ファイルのプレースホルダーの位置が修正されました。
・REST API JavaScript クライアントのカスタムノンス機能が、コードベース全体で一貫したものとなりました。
・PHP 7.2 との互換性が向上しました。

注意したいのは、『WordPress4.9.3で嫌な不具合』でご紹介した通り、WordPress4.9.3において自動バックグラウンド更新をサポートするサイトが自動的に更新されないというバグ（不具合）があったため、手動で4.9.4にアップデートされていない場合は4.9.5に自動更新されることはないと思われますので、念のため管理画面で確認をしておくことをお勧めします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の昨日、WordPressの更新版であるWordPress4.9.1が公開されました。

今日はそのニュースをお伝えします。

WordPress3.7以降すべてのバージョンに影響

WordPressのニュースを見ると、以下のことが書かれています。

WordPress 4.9.1 is now available. This is a security and maintenance release for all versions since WordPress 3.7. We strongly encourage you to update your sites immediately.

（WordPress 4.9.1が利用可能になりました。これは、WordPress 3.7以降のすべてのバージョンのセキュリティおよびメンテナンスリリースです。すぐにサイトを更新することを強くお勧めします。）

WordPress versions 4.9 and earlier are affected by four security issues which could potentially be exploited as part of a multi-vector attack. As part of the core team’s ongoing commitment to security hardening, the following fixes have been implemented in 4.9.1:

（WordPress Ver.4.9以前は、マルチベクトル攻撃の一環として潜在的に悪用される可能性がある4つのセキュリティ問題の影響を受けます。セキュリティ強化に対するコアチームの継続的な取り組みの一環として、4.9.1に次の修正が実装されました。）

１．Use a properly generated hash for the newbloguser key instead of a determinate substring.

（確定された部分文字列の代わりに、正しく生成されたハッシュをnewbloguserキーに使用します。）

２．Add escaping to the language attributes used on html elements.

（html要素で使用される言語属性にエスケープを追加します。）

３．Ensure the attributes of enclosures are correctly escaped in RSS and Atom feeds.

（エンクロージャの属性がRSSフィードとAtomフィードで正しくエスケープされていることを確認してください。）

４．Remove the ability to upload JavaScript files for users who do not have the unfiltered_html capability.

（unfiltered_html機能を持たないユーザーのJavaScriptファイルをアップロードする機能を削除します。）

WordPressのデフォルトではメジャーアップデートは自動的には更新されません。

早めに今回のWordPress 4.9.1に更新をされることをお勧めします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の今日、WordPressの更新版であるWordPress4.8.3が公開されました。

今日はそのニュースをお伝えします。

WordPress4.8.2以前は影響を受ける

WordPressのニュースを見ると、以下のことが書かれています。

WordPress 4.8.3 is now available. This is a security release for all previous versions and we strongly encourage you to update your sites immediately.

（WordPress 4.8.3が利用可能になりました。 これは以前のすべてのバージョンのセキュリティリリースであり、すぐにサイトを更新することを強くお勧めします。）
WordPress versions 4.8.2 and earlier are affected by an issue where $wpdb->prepare() can create unexpected and unsafe queries leading to potential SQL injection (SQLi). WordPress core is not directly vulnerable to this issue, but we’ve added hardening to prevent plugins and themes from accidentally causing a vulnerability.

（WordPressのバージョン4.8.2以前では、$ wpdb-> prepare（）がSQLインジェクション（SQLi）の可能性がある予期しない安全でないクエリを作成できるという問題があります。 WordPressのコアはこの問題に直接的に脆弱ではありませんが、プラグインとテーマが誤って脆弱性を引き起こすのを防ぐため、強化を加えました。）

WordPressの更新を自動更新にしている場合は自動的にメンテナンスされますが、自動更新を停止している場合は早めに更新をされることをお勧めします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本においては昨日、WordPressの更新版WordPress4.8.2が公開されました。

今日はそのニュースをお伝えします。

WordPress4.8.1以前は影響を受ける

WordPressのニュースを見ると、以下のことが書かれています。

WordPress 4.8.2 is now available. This is a security release for all previous versions and we strongly encourage you to update your sites immediately.

（WordPress 4.8.2が利用可能になりました。これは以前のすべてのバージョンのセキュリティリリースであり、すぐにサイトを更新することを強くお勧めします。）

WordPress versions 4.8.1 and earlier are affected by these security issues.

（WordPressバージョン4.8.1およびそれ以前のバージョンは、次のセキュリティ問題の影響を受けます。）

これに続き、9つの影響内容が書かれており、SQLインジェクションの脆弱（ぜいじゃく）性と複数のクロスサイトスクリプティング（XSS）の脆弱性に対する修正が行われています。

これらの脆弱性が悪用された場合、Webサイトをリモート制御されてしまう可能性もあるとしているセキュリティ機関もあります。

WordPressの更新を自動更新にしている場合は自動的にメンテナンスされますが、自動更新を停止している場合はすぐに更新をされることをお勧めします。

また、自動更新にしている場合であっても管理画面にログインし、アップデートの確認だけはされた方が良いでしょう。