WordPressの脆弱性レポート：2021年5月、パート3

脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 WPScanを利用した毎週のWordPress脆弱性レポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明しています。

各脆弱性の重大度は、低、中、高、または重大です。 脆弱性の責任ある開示と報告は、WordPressコミュニティを安全に保つための不可欠な部分です。 この投稿を友達と共有して、WordPressをより安全に伝え、すべての人にとってより安全なものにしてください。

WordPressのコアの脆弱性

今週、WordPress 5.7.2のセキュリティリリースがあり、3.7から5.7までのWordPressバージョンに影響するセキュリティ問題が1つありました。 まだ5.7に更新していない場合は、3.7以降のすべてのWordPressバージョンも更新され、PHPMailerのセキュリティ問題でのオブジェクト注入が修正されています。

1. WordPress5.7.2セキュリティリリース

脆弱性：PHPMailerでのオブジェクト注入
バージョンでパッチが適用されました：5.7.2
重大度スコア：中

WordPressプラグインの脆弱性

1.フォトギャラリー

プラグイン：フォトギャラリー
脆弱性：ギャラリータイトルを介した認証済みの保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました：1.5.67
重大度：中

この脆弱性にはパッチが適用されているため、バージョン1.5.67以降に更新する必要があります。

2.ウィークリースケジュール

プラグイン：ウィークリースケジュール
脆弱性：認証済みの保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました：3.4.3
重大度スコア：中

この脆弱性にはパッチが適用されているため、バージョン3.4.3以降に更新する必要があります。

3.外部メディア

プラグイン：外部メディア
脆弱性：認証された任意のファイルのアップロード
バージョンでパッチが適用されました：1.0.34
重大度スコア：クリティカル

この脆弱性にはパッチが適用されているため、バージョン1.0.34以降に更新する必要があります。

4.WPスーパーキャッシュ

プラグイン： WPスーパーキャッシュ
脆弱性：認証されたリモートコード実行
バージョンでパッチが適用されました：1.7.3
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン1.7.3以降に更新する必要があります。

5.WordPressのデータベースバックアップ

プラグイン： WordPressのデータベースバックアップ
脆弱性：認証された永続的なクロスサイトスクリプティング
バージョンでパッチが適用されました：2.4
重大度スコア：中

この脆弱性にはパッチが適用されているため、バージョン2.4以降に更新する必要があります。

WordPressテーマの脆弱性

1.中程度

テーマ：ミディアム
脆弱性：認証されていないリフレクトクロスサイトスクリプティング
バージョンでパッチが適用されました：既知の修正はありません
重大度スコア：中

2.Listeo

テーマ： Listeo
脆弱性：複数のXSSおよびXFSの脆弱性
バージョンでパッチが適用されました：1.6.11
重大度スコア：中

脆弱性：複数の認証済みIDORの脆弱性
バージョンでパッチが適用されました：1.6.11
SeverityScore ：中

3.ベロ

テーマ： Listeo
脆弱性：認証されたXSSおよびXFS
バージョンでパッチが適用されました：1.6.0
重大度スコア：中

脆弱性：認証されていないリフレクトXSSおよびXFS
バージョンでパッチが適用されました：1.6.0
SeverityScore ：中

脆弱性：認証されていないブラインドSQLインジェクション
バージョンでパッチが適用されました：1.6.0
SeverityScore ：クリティカル

責任ある開示に関する注記

ハッカーに攻撃のエクスプロイトを与える場合、なぜ脆弱性が開示されるのか疑問に思われるかもしれません。 そうですね、セキュリティ研究者が脆弱性を見つけてソフトウェア開発者に非公開で報告することは非常に一般的です。

責任ある開示により、研究者の最初のレポートは、ソフトウェアを所有する会社の開発者に非公開で作成されますが、パッチが利用可能になったら完全な詳細が公開されることに同意します。 重大なセキュリティの脆弱性については、より多くの人にパッチを適用する時間を与えるために、脆弱性の開示がわずかに遅れる場合があります。

セキュリティ研究者は、ソフトウェア開発者がレポートに応答するか、パッチを提供する期限を提供する場合があります。 この期限に間に合わない場合、研究者は、パッチを発行するように開発者に圧力をかける脆弱性を公開する可能性があります。

脆弱性を公開し、ゼロデイ脆弱性（パッチがなく、実際に悪用されているタイプの脆弱性）を導入しているように見えると、逆効果に見える可能性があります。 しかし、それは、研究者が開発者に脆弱性にパッチを当てるように圧力をかけなければならない唯一の手段です。

ハッカーが脆弱性を発見した場合、彼らはエクスプロイトを静かに使用してエンドユーザー（これはあなたです）に損害を与える可能性がありますが、ソフトウェア開発者は脆弱性にパッチを適用しないままにしておくことに満足しています。 GoogleのProjectZeroには、脆弱性の開示に関して同様のガイドラインがあります。 脆弱性にパッチが適用されているかどうかに関係なく、90日後に脆弱性の完全な詳細を公開します。

脆弱なプラグインやテーマからWordPressウェブサイトを保護する方法

iThemes SecurityProプラグインのSiteScannerは、WordPress Webサイトを、すべてのソフトウェアハッキングの最大の原因である既知の脆弱性を持つ古いプラグインやテーマから保護および保護するもう1つの方法です。 サイトスキャナーは、既知の脆弱性についてサイトをチェックし、パッチが利用可能な場合は自動的に適用します。

チェックされた3種類のWordPressの脆弱性

1. WordPressの脆弱性
2. プラグインの脆弱性
3. テーマの脆弱性

新規インストールでサイトスキャンを有効にするには、iThemes Security Pro設定に移動し、サイトスキャン設定モジュールの[有効にする]ボタンをクリックします。

手動のサイトスキャンをトリガーするには、セキュリティ設定の右側のサイドバーにあるサイトスキャンウィジェットの[今すぐスキャン]ボタンをクリックします。

サイトスキャンの結果がウィジェットに表示されます。

サイトスキャンで脆弱性が検出された場合は、脆弱性のリンクをクリックして詳細ページを表示します。

サイトスキャンの脆弱性ページで、脆弱性に対して利用可能な修正があるかどうかを確認します。 利用可能なパッチがある場合は、[プラグインの更新]ボタンをクリックして、Webサイトに修正を適用できます。

パッチが利用可能になってから、修正を反映するようにiThemes Security VulnerabilityDatabaseが更新されるまでに遅延が生じる可能性があります。 この場合、通知をミュートして、脆弱性に関連するアラートをこれ以上受信しないようにすることができます。

WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。

iThemes SecurityProを入手する

マイケル・ムーア

Michaelは毎週、WordPressの脆弱性レポートをまとめて、サイトを安全に保つのに役立てています。 iThemesのプロダクトマネージャーとして、彼は私たちがiThemes製品ラインナップを改善し続けるのを手伝ってくれます。 彼は巨大なオタクであり、新旧のすべての技術について学ぶのが大好きです。 マイケルが妻と娘と一緒に遊んだり、仕事をしていないときに音楽を読んだり聞いたりしているのを見つけることができます。