WordPressの脆弱性のまとめ：2020年11月、パート1

公開: 2021-03-10

11月の前半に、かなりの数の新しいWordPressプラグインとテーマの脆弱性が公開されました。この投稿では、最近のWordPressプラグイン、テーマ、コアの脆弱性と、脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明します。

WordPressの脆弱性のまとめは、WordPressコア、WordPressプラグイン、WordPressテーマの3つのカテゴリに分類されます。

11月、パート1レポート

WordPressのコアの脆弱性

WordPress 5.5.2は10月29日にリリースされ、10のWordPressコアセキュリティ修正が含まれていました。

これは、WordPress5.5.2リリースの投稿に記載されているセキュリティ修正のリストです。

強化された逆シリアル化要求。
マルチサイトネットワーク上の無効化されたサイトからのスパム埋め込みを無効にするための修正。
グローバル変数からXSSにつながる可能性のあるセキュリティの問題を修正しました。
XML-RPCでの特権昇格の問題を修正しました。
XML-RPCを介した投稿コメントに関する権限昇格に関する問題を修正しました。
DoS攻撃がRCEにつながる可能性があるセキュリティの問題を修正しました。
XSSをポストスラッグに保存するメソッドを削除しました。
任意のファイル削除につながる可能性のある保護されたメタをバイパスするメソッドを削除しました。
CSRFにつながる可能性のあるメソッドを削除しました。

脆弱性にパッチが適用されているため、WordPressをバージョン5.5.2に更新してください。

WordPressプラグインの脆弱性

1. SW AjaxWooCommerce検索

1.2.8より前のSWAjax WooCommerce Searchバージョンには、認証されていないReflectedXSSおよびXFSの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン1.2.8に更新する必要があります。

2.AccessPressソーシャルアイコン

1.8.1より前のAccessPressSocial Iconsバージョンには、Authenticated SQLInjectionの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン1.8.1に更新する必要があります。

3. GDPRCCPAコンプライアンスサポート

2.4より前のGDPRCCPAコンプライアンスサポートバージョンには、認証されていないPHPオブジェクトインジェクションの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン2.4に更新する必要があります。

4.拡張現実

拡張現実のすべてのバージョンには、RCEの脆弱性につながる認証されていないPHPファイルのアップロードがあります。

セキュリティ修正がリリースされるまでプラグインを削除します。

5.ウェルカートeコマース

1.9.36より前のWelcarte-Commerceバージョンには、Authenticated PHP ObjectInjectionの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン1.9.36に更新する必要があります。

6. WooCommerce

4.6.2より前のバージョンのWooCommerceには、ゲストアカウント作成の脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン4.6.2に更新する必要があります。

7.WooCommerceブロック

3.7.1より前のバージョンのWooCommerceBlocksには、ゲストアカウント作成の脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン3.7.1に更新する必要があります。

8.WooCommerce用の放棄されたカートライト

5.8.3より前のバージョンのWooCommerce用の放棄されたCartLiteには、認証されていないSQLインジェクションの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン5.8.3に更新する必要があります。

9.WPアクティビティログ

4.1.5より前のバージョンのWPアクティビティログには、外部データベースモジュールにSQLインジェクションの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン4.1.5に更新する必要があります。

10.アルティメットメンバー

2.1.12より前のUltimateMemberバージョンには、ユーザーロール、プロファイルの更新、およびユーザーメタの脆弱性を介した認証されていない特権の昇格があります。

この脆弱性にはパッチが適用されているため、バージョン2.1.12に更新する必要があります。

11.究極のレビュー

2.1.33より前のUltimateReviewsバージョンには、認証されていないPHPオブジェクトインジェクションの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン2.1.33に更新する必要があります。

WordPressテーマの脆弱性

1. GreenMart

2.4.3より前のバージョンのGreenMartには、反映されたクロスサイトスクリプティングの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン2.4.3に更新する必要があります。

11月のセキュリティのヒント：WordPressセキュリティログが必要な理由

ロギングは、WordPressのセキュリティ戦略の重要な部分です。ロギングとモニタリングが不十分な場合、セキュリティ違反の検出が遅れる可能性があります。ほとんどの違反調査によると、違反を検出するまでの時間は200日を超えています。その時間の長さにより、攻撃者は他のシステムを侵害したり、より多くのデータを変更、盗んだり、破壊したりすることができます。 Insufficient LoggingがOWASPのWebアプリケーションセキュリティリスクのトップ10にランクインしたのは、これらの理由によるものです。

ほとんどの違反調査によると、違反を検出するまでの時間は200日を超えています。

WordPressのセキュリティログには、全体的なセキュリティ戦略にいくつかの利点があります。

悪意のある行動を特定して阻止します。
違反を警告できるアクティビティを見つけます。
与えられたダメージの量を評価します。
ハッキングされたサイトの修復を支援します。

サイトがハッキングされた場合は、迅速な調査と復旧に役立つ最善の情報が必要になります。

WordPressセキュリティログとは何ですか？

iThemes Security ProのWordPressセキュリティログは、Webサイトで発生する重要なセキュリティイベントを追跡します。これらのイベントは、セキュリティ違反が発生したかどうか、またはいつ発生したかを示すために監視することが重要です。

Webサイトのセキュリティログは、セキュリティ戦略の重要な部分です。これらのレコードにある情報は、悪意のある攻撃者をロックアウトし、サイトの不要な変更を強調し、攻撃が成功したエントリポイントを特定してパッチを適用するために使用できます。

あなたのウェブサイトにWordPressセキュリティログを追加する方法

Webサイトにセキュリティログを追加する最も簡単な方法は、iThemes SecurityProなどのプラグインを使用することです。 iThemes Security Proがインストールされてアクティブ化されるとすぐに、Webサイトで発生した重要なセキュリティアクティビティの監視と記録が開始されます。

次に、iThemes Security Proは、ログのデータをリアルタイムのWordPressセキュリティダッシュボードに変換するため、サイトで発生しているすべてのセキュリティアクティビティをより正確に把握できます。

WordPressのセキュリティログに関する投稿を確認して、監視する必要のあるセキュリティイベントとその記録方法を確認してください。

それがどのように機能するかを見る

WordPressセキュリティプラグインはあなたのウェブサイトを保護するのに役立ちます

WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。

iThemes SecurityProを入手する

マイケル・ムーア

Michaelは毎週、WordPressの脆弱性レポートをまとめて、サイトを安全に保つのに役立てています。 iThemesのプロダクトマネージャーとして、彼は私たちがiThemes製品ラインナップを改善し続けるのを手伝ってくれます。彼は巨大なオタクであり、新旧のすべての技術について学ぶのが大好きです。マイケルが妻と娘と一緒に遊んだり、仕事をしていないときに音楽を読んだり聞いたりしているのを見つけることができます。