WordPress の EOSL(end of service life) についての公式見解のまとめ。
#前提(バージョン付与ルールについて)
WordPress では、メジャーリリースは、
4.0 --> 4.1 --> 4.2 ... 4.4
という感じでバージョンが付与されており、脆弱性対応等をマイナーリリースとして、各メジャーリリースの中で、
4.0 --> 4.0.1 --> 4.0.2...
4.1 --> 4.1.1 --> 4.1.2...
4.2 --> 4.2.1 --> 4.2.2...
という具合にバージョン番号を付与している事を理解しておく。
結論
- Wordpress は「公式」には最新版以外は安全ではないし、サポートもされない。
- EOSL もしくは EOL という言い方をするなら最新版が出た時点でそれ以前のバージョンは EOL。
- ただし、将来の保証は無いものの、実際にはセキュリティーアップデートは (メジャーリリースの)3.7 以降であれば今後もバックポートされそう。
OSS なので、免責として言っている側面が多いのではと想像され、実際には 3.7 以降であれば今(2015-12-10)のところセキュリティーアップデートをあてていれば使い続けても問題なさそう。
急ぎはしないけれども何かのついでに最新版にしといた方が安全、くらいの認識で良いのではないかと思われる。
公式サイトを漁って出てくる公式の見解
「None of these are safe to use, except the latest in the 4.4 series, which is actively maintained」
以下適当な和訳
4.4 (最新版)以外は安全ではない。
「We have been backporting the occasional security patches for
WordPress 3.7 and up, however these are unofficial and are not
guaranteed to be continued in the future.
The only official release of WordPress is always the latest version.
All previous releases are unsupported and no patches are guaranteed
for them. When a new version is released, all older versions can be
considered EOL.
Always update to the latest version of WordPress.」
以下適当な和訳
セキュリティーパッチは (メジャーリリースの)3.7 以降向けに現状バックポートしているけれども、非公式なものであり、将来に於いてこれを保証するものではない。
公式な Wordpress のリリースは最新版のみであり、それ以前のバージョンはサポートしないし、パッチの提供も保証はしない。新バージョンがリリースされた時点でそれ以前のバージョンはEOL(end of life)とみなして良い。
その他の情報
上記の公式返答通り、保証しないとは言うものの、古いメジャーリリースのセキュリティーアップデートも行われており、
実際に、上記の記事どおり、3.7 系まではセキュリティーアップデートがリリースされている事が確認出来る。なんというツンデレ。
2013年8月1日にリリースされた 3.6 系はもうセキュリティーアップデートがリリースされていないようだが、これはセキュリティリリースに対してのメジャーな仕様変更が 3.7 系から入ったため、それ以降のバージョンについては最新版でのセキュリティリリースがバックポートされているのだろうと想像。(すみません、想像です。)
以上。