WordPressの脆弱性レポート：2021年5月、パート4

脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 WPScanを利用した毎週のWordPress脆弱性レポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明しています。

各脆弱性の重大度は、低、中、高、または重大です。 脆弱性の責任ある開示と報告は、WordPressコミュニティを安全に保つための不可欠な部分です。 この投稿を友達と共有して、WordPressをより安全に伝え、すべての人にとってより安全なものにしてください。

WordPressのコアの脆弱性

今月はWordPress5.7.2のセキュリティリリースがあり、3.7から5.7までのWordPressバージョンに影響するセキュリティ問題が1つあります。 まだ5.7に更新していない場合は、3.7以降のすべてのWordPressバージョンも更新され、PHPMailerのセキュリティ問題でのオブジェクト注入が修正されています。

1. WordPress5.7.2セキュリティリリース

脆弱性：PHPMailerでのオブジェクト注入
バージョンでパッチが適用されました：5.7.2
重大度スコア：中

WordPressプラグインの脆弱性

1.CartFlowsによるファネルビルダー

プラグイン： CartFlowsによるファネルビルダー
脆弱性：認証済みの保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました：1.6.13
重大度：中

この脆弱性にはパッチが適用されているため、バージョン1.6.13以降に更新する必要があります。

2.スムーズなスクロールページアップ/ダウンボタン

プラグイン：スムーズスクロールページアップ/ダウンボタン
脆弱性：認証済みの保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました：1.4
重大度スコア：中

この脆弱性にはパッチが適用されているため、バージョン1.4以降に更新する必要があります。

3.インスタント画像WordPressプラグイン

プラグイン： Instant ImagesWordPressプラグイン
脆弱性：認証済みの保存されたクロスサイトスクリプティングとXFS
バージョンでパッチが適用されました：4.4.0.1
重大度スコア：中

この脆弱性にはパッチが適用されているため、バージョン4.4.0.1以降に更新する必要があります。

4.CM登録プロ

プラグイン： CM Registration Pro
脆弱性：PHPオブジェクトの注入
バージョンでパッチが適用されました：3.2.1
重大度スコア：中

この脆弱性にはパッチが適用されているため、バージョン3.2.1以降に更新する必要があります。

5.WPの祈り

プラグイン： WP祈り
脆弱性：認証済みの保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました：1.6.2
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン1.6.2+に更新する必要があります。

6.WP統計

プラグイン： WP統計
脆弱性：認証されていないSQLインジェクション
バージョンでパッチが適用されました：13.0.8
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン13.0.8以降に更新する必要があります。

7. FlightLog

プラグイン： FlightLog
脆弱性：認証されたSQLインジェクション
バージョンでパッチが適用されました：既知の修正はありません
重大度スコア：高

この脆弱性にはパッチが適用されていません。 パッチがリリースされるまで、プラグインをアンインストールして削除します。

8.ビデオ埋め込み

プラグイン： FlightLog
脆弱性：認証されたSQLインジェクション
バージョンでパッチが適用されました：既知の修正はありません
重大度スコア：高

この脆弱性にはパッチが適用されていません。 パッチがリリースされるまで、プラグインをアンインストールして削除します。

WordPressテーマの脆弱性

1.自動車修理サービス

テーマ：自動車修理サービス
脆弱性：認証されていないリフレクトクロスサイトスクリプティングとXFS
バージョンでパッチが適用されました：4.0
重大度スコア：高

責任ある開示に関する注記

ハッカーに攻撃のエクスプロイトを与える場合、なぜ脆弱性が開示されるのか疑問に思われるかもしれません。 そうですね、セキュリティ研究者が脆弱性を見つけてソフトウェア開発者に非公開で報告することは非常に一般的です。

責任ある開示により、研究者の最初のレポートは、ソフトウェアを所有する会社の開発者に非公開で作成されますが、パッチが利用可能になったら完全な詳細が公開されることに同意します。 重大なセキュリティの脆弱性については、より多くの人にパッチを適用する時間を与えるために、脆弱性の開示がわずかに遅れる場合があります。

セキュリティ研究者は、ソフトウェア開発者がレポートに応答するか、パッチを提供する期限を提供する場合があります。 この期限に間に合わない場合、研究者は、パッチを発行するように開発者に圧力をかける脆弱性を公開する可能性があります。

脆弱性を公開し、ゼロデイ脆弱性（パッチがなく、実際に悪用されているタイプの脆弱性）を導入しているように見えると、逆効果に見える可能性があります。 しかし、それは、研究者が開発者に脆弱性にパッチを当てるように圧力をかけなければならない唯一の手段です。

ハッカーが脆弱性を発見した場合、彼らはエクスプロイトを静かに使用してエンドユーザー（これはあなたです）に損害を与える可能性がありますが、ソフトウェア開発者は脆弱性にパッチを適用しないままにしておくことに満足しています。 GoogleのProjectZeroには、脆弱性の開示に関して同様のガイドラインがあります。 脆弱性にパッチが適用されているかどうかに関係なく、90日後に脆弱性の完全な詳細を公開します。

脆弱なプラグインやテーマからWordPressウェブサイトを保護する方法

iThemes SecurityProプラグインのSiteScannerは、WordPress Webサイトを、すべてのソフトウェアハッキングの最大の原因である古いプラグインや既知の脆弱性を持つテーマから保護および保護するための優れた方法です。

サイトスキャナーは、既知の脆弱性についてサイトをチェックし、パッチが利用可能な場合は自動的に適用します。

iThemes SecurityProによってチェックされた3種類のWordPressの脆弱性

1. WordPressの脆弱性
2. プラグインの脆弱性
3. テーマの脆弱性

新規インストールでサイトスキャンを有効にするには、iThemes Security Pro設定に移動し、サイトスキャン設定モジュールの[有効にする]ボタンをクリックします。

手動のサイトスキャンをトリガーするには、セキュリティ設定の右側のサイドバーにあるサイトスキャンウィジェットの[今すぐスキャン]ボタンをクリックします。

サイトスキャンの結果がウィジェットに表示されます。

サイトスキャンで脆弱性が検出された場合は、脆弱性のリンクをクリックして詳細ページを表示します。

サイトスキャンの脆弱性ページで、脆弱性に対して利用可能な修正があるかどうかを確認します。 利用可能なパッチがある場合は、[プラグインの更新]ボタンをクリックして、Webサイトに修正を適用できます。

パッチが利用可能になってから、修正を反映するようにiThemes Security VulnerabilityDatabaseが更新されるまでに遅延が生じる可能性があります。 この場合、通知をミュートして、脆弱性に関連するアラートをこれ以上受信しないようにすることができます。

WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。

iThemes SecurityProを入手する

2021年5月の過去のWordPress脆弱性レポートに追いつく

レポートを見逃しますか？ これが2021年5月のレポートです。

• 2021年5月パート3
• 2021年5月パート2
• 2021年5月パート1

マイケル・ムーア

Michaelは毎週、WordPressの脆弱性レポートをまとめて、サイトを安全に保つのに役立てています。 iThemesのプロダクトマネージャーとして、彼は私たちがiThemes製品ラインナップを改善し続けるのを手伝ってくれます。 彼は巨大なオタクであり、新旧のすべての技術について学ぶのが大好きです。 マイケルが妻と娘と一緒に遊んだり、仕事をしていないときに音楽を読んだり聞いたりしているのを見つけることができます。