2015年に入ってから、Magento Inc.が頻繁にセキュリティパッチをリリースするため、管理画面上にはそのたびに警告が出ていると思います。
弊社では定期的な保守サポートサービスをご契約いただいているお客様や、サーバーをご契約のお客様に対し、セキュリティパッチの適用作業を無償でご提供いしておりますが、パッチ適用後のセキュリティ警告についてご質問を頂く機会が増えてきました。

このエントリでは、Magentoのセキュリティパッチとセキュリティ警告の関係性についてご説明したいと思います。

セキュリティ警告とは

セキュリティ警告

セキュリティ警告は、Magentoの「お知らせ」機能で提供されている情報通知の1区分です。
Magento Inc.はセキュリティ警告以外にもいくつかの情報通知を行ってきますが、これらはすべてRSSフィードの形で提供されます。
取得したRSSフィードの内容は、データベース上に格納され、既読もしくは削除されるまでの間、管理画面上に通知として掲載され続けます。

RSSフィードはいつ取りに行くのか

Magentoは管理者がログインするタイミングで定期的にmagento.comへRSSフィードの更新情報がないかをチェックしに行きます。
そのため、管理画面へのログイン処理が妙にもたつくタイミングが出てきます。
これはMagentoがRSSフィードを取得しに行っているためで、1日のうちで遅いタイミングが発生することがあります。

さらに、サードパーティ製のエクステンションの中には、自社製品の更新情報を通知するものもあり、これらのフィードも合わせて取りに行く場合があることに注意が必要です。

セキュリティパッチを適用しても警告が出続けるのはなぜか

基本的に、Magentoはシステム内部の仕組として、セキュリティパッチの適用状況を確認することができません。
セキュリティパッチを適用すると、「app/etc/applied.patches.list」というファイルができますが、これはあくまでも適用したパッチと変更を受けたファイルのリストが記録されているだけで、この情報を管理画面からは確認できません。

また、セキュリティ警告とセキュリティパッチの間には関連性がありません
セキュリティ警告は単にMagento公式からのお知らせを表示しているだけで、そのサイトにどこまでセキュリティパッチが適用されているかは知らないのです。
そのため、あらゆるサイトに対して公平に通知を行い、広く啓蒙を行っているにすぎないのです。
ですからパッチを適用したにも関わらず、セキュリティ警告が出続けたとしても、それは異常ではありません。
単に、セキュリティ警告を「既読」または「削除」していないために起きていることに過ぎません。

セキュリティ警告は削除してもよいのか

基本、削除しても構いませんし、残したいのであれば「既読」にしておいても構いません。
いずれにしても「未読」で放置すると警告が出続けます。