WordPressの脆弱性のまとめ:2020年12月、パート1
公開: 2020-12-09新しいWordPressプラグインとテーマの脆弱性は、12月の前半に公開されました。 この投稿では、最近のWordPressプラグイン、テーマ、コアの脆弱性と、脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明します。
WordPressの脆弱性のまとめは、WordPressコア、WordPressプラグイン、WordPressテーマの3つのカテゴリに分類されます。
WordPressのコアの脆弱性
今月、新しいWordPressコアの脆弱性は公開されていません。
しかし、WordPressコアの新しいメジャーバージョンが昨日リリースされたばかりです。 WordPress 5.6にはいくつかの新機能と改善点が含まれているため、必ず更新してください。
WordPressプラグインの脆弱性
1. WPJobBoard
5.7.0より前のバージョンのWPJobBoardには、認証されていないSQLインジェクション、反映されたXSS、およびXFSの脆弱性があります。
2. WPGoogleマッププラグイン
4.1.4より前のバージョンのWPGoogle Map Pluginには、Authenticated SQLInjectionの脆弱性があります。
3. BuddyPress
6.4.0未満のBuddyPressバージョン機能チェックの脆弱性の欠如。
4.イベントマネージャー
5.9.8より前のEventsManagerバージョンには、クロスサイトスクリプティングとSQLインジェクションの脆弱性があります。
5.エイジゲート
2.13.5より前のAgeGateバージョンには、認証されていないOpenRedirectの脆弱性があります。
6.カント
Cantoのすべてのバージョンには、認証されていないブラインドSSRFの脆弱性があります。
7.プロファイルビルダー
3.3.3より前のバージョンのProfileBuilderには、Authenticated Blind SQLInjectionの脆弱性があります。
8.有料会員プロ
2.5.1より前の有料メンバーシップProバージョンには、認証済みクロスサイトスクリプティングの脆弱性があります。
9.ポートフォリオ投稿をテーマ化する
1.1.6未満のThemifyPortfolio Postバージョンは、認証済みの保存されたクロスサイトスクリプティングの脆弱性です。
10.簡単なWPSMTP
1.4.3より前のEasyWP SMTPバージョンには、デバッグログ開示の脆弱性があります。
WordPressテーマの脆弱性
1.Wibar
1.2.1より前のバージョンのWibarには、Authenticated Stored Cross-SiteScriptingの脆弱性があります。
12月のセキュリティのヒント:サポートにユニバーサルユーザーが必要な理由
Webサイトで新しいユーザーを作成するときはいつでも、ハッカーが悪用する可能性のある別のエントリポイントを追加しています。 ただし、サポートを求めている場合や独立した請負業者を雇った後など、Webサイトの外部からの支援が必要になる場合があります。 あなたはあなたのウェブサイトに一時的な管理者アクセスを追加するための安全で安全な方法を必要としています。
あなたのウェブサイトへの外部アクセスの許可:あなたの典型的な悪い選択肢
通常、Webサイトへの外部アクセスを提供するための2つのオプションがあります…。 そしてどちらも素晴らしいです。
1.管理者ユーザーの資格情報を共有する
最初で最悪のオプションは、WordPress管理者ユーザーのユーザー名とパスワードを共有することです。
管理者の資格情報を共有することがひどい考えである理由
- セキュリティの低下–ユーザーの資格情報を共有する場合、資格情報を使用しているユーザーがログインできるようにするには、2要素認証を無効にする必要があります。 Googleはブログで、2要素認証または2段階認証を使用すると、自動化されたボット攻撃を100%阻止できることを共有しました。 二要素認証を無効にすると、たとえ短期間であっても、Webサイトのセキュリティが大幅に低下します。
- 不便–資格情報を共有するには、パスワードを変更する必要があります。 パスワードの変更を忘れた場合、必要なときにいつでもWebサイトに管理者アクセスできる人が1人以上います。
2.サポート技術者用に別のユーザーを作成する
サポートスペシャリスト用に新しい管理者ユーザーを作成することは、管理者の資格情報を共有するよりも優れていますが、それでも優れたものではありません。
サポート技術のユーザーを作成するのがひどい理由
- 脆弱性の増加–新しい管理者ユーザーを作成すると、悪用される可能性のある別のエントリポイントが追加されます。 パスワードポリシーが設定されていない場合、サポート技術者は弱いパスワードを選択する可能性があり、WordPressログインが攻撃に対してより脆弱になります。
- 不便–外部の支援が必要なときにいつでも新しいユーザーを設定するプロセスを実行するのは時間がかかります。 新しいユーザーを作成し、ユーザーがWebサイトにアクセスする必要がなくなったらユーザーを削除することを忘れないでください。 未使用のユーザーをWebサイトから削除することは、WordPressのセキュリティのベストプラクティスです。
あなたのウェブサイトへの外部アクセスの許可:より良い方法
iThemes Security Proの権限昇格機能を使用すると、ユーザーに追加の機能を一時的に付与できます。
権限昇格により、外部の開発者に提供したり、Webサイトへの一時的なアクセスを必要とする技術者をサポートしたりできるユニバーサルユーザーを簡単かつ安全に作成できます。
権限昇格を使用すると、新しいユーザーを作成してSupportという名前を付け、サブスクライバーユーザーの役割を与えることができます。 次回Webサイトへの一時的なアクセスを提供する必要がある場合は、サポートユーザーをサブスクライバーから管理者に増やすことができます。 投稿の後半でこれを行う方法について説明しますが、最初に、特権昇格がWebサイトへのアクセスを許可するためのより良い方法である理由について説明しましょう。
特権昇格が優れている理由
- 簡単–Webサイトへのアクセスを許可する必要があるたびに新しいユーザーを作成する必要はありません。
- 自動–特権の昇格は24時間のみ続きます。 24時間経過すると、ユーザーはすべての追加権限を自動的に失います。 ユーザーを削除したり、パスワードを変更したりすることを覚えておく必要はありません。
- セキュリティを犠牲にすることはありません–このユニバーサルサポートユーザーに、2要素の電子メール方式を使用してログインするように要求できます。つまり、他の管理者ユーザーと同じレベルのセキュリティがあります。 実際のユーザーロールはサブスクライバーであるため、Webサイトに残すリスクはありません。
iThemes SecurityProで権限昇格を使用する方法
開始するには、セキュリティ設定のメインページで特権昇格を有効にします。
新しいユーザーを作成し、Supportという名前を付けて、サブスクライバーユーザーの役割を与えることができます。 次回Webサイトへの一時的なアクセスを提供する必要がある場合は、サポートユーザーのプロファイルページに移動します。
電子メールアドレスを更新して、外部のサポート担当者が新しいパスワードを要求できるようにします。 次に、一時的な特権昇格の設定が表示されるまで下にスクロールします。 [一時的な役割の設定]トグルをクリックし、[管理者]を選択します。 これで、ユーザーは次の24時間は管理者アクセス権を持つことになります。
24時間も必要ない場合は、ユーザープロファイルページから特権の昇格を取り消すことができます。 24時間以上必要な場合は、[日数]フィールドで必要な正確な日数を設定できます。
それがどのように機能するかを見る
WordPressセキュリティプラグインはあなたのウェブサイトを保護するのに役立ちます
WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。
iThemes SecurityProを入手する
Michaelは毎週、WordPressの脆弱性レポートをまとめて、サイトを安全に保つのに役立てています。 iThemesのプロダクトマネージャーとして、彼は私たちがiThemes製品ラインナップを改善し続けるのを手伝ってくれます。 彼は巨大なオタクであり、新旧のすべての技術について学ぶのが大好きです。 マイケルが妻と娘と一緒に遊んだり、仕事をしていないときに音楽を読んだり聞いたりしているのを見つけることができます。
