WordPressの脆弱性のまとめ:2019年10月、パート1

公開: 2019-10-26

10月の前半にいくつかの新しいWordPressプラグインとテーマの脆弱性が公開されたため、お知らせします。 この投稿では、最近のWordPressプラグインとテーマの脆弱性、およびWebサイトで脆弱なプラグインまたはテーマの1つを実行している場合の対処方法について説明します。

WordPressの脆弱性のまとめを4つの異なるカテゴリに分類します。

  • 1.WordPressコア
  • 2.WordPressプラグイン
  • 3.WordPressテーマ
  • 4.ウェブ全体からの違反

* WordPressエコシステム外の脆弱性にも注意することが不可欠であるため、Web全体からの違反を含めます。 サーバーソフトウェアを悪用すると、機密データが公開される可能性があります。 データベースの侵害により、サイト上のユーザーの資格情報が公開され、攻撃者がサイトにアクセスする可能性があります。

WordPressコアセキュリティアップデート

WordPress 5.2.3以下には、いくつかの脆弱性があります。

  • クロスサイトスクリプティング
  • 認証されていない投稿
  • Javascriptインジェクションにつながるクロスサイトスクリプティング
  • JSONキャッシュポイズニング
  • サーバー側のリクエストの偽造
  • 管理者でのリファラー検証。

あなたがすべきこと

脆弱性にパッチが適用されているため、バージョン5.2.4に更新する必要があります。

WordPressプラグインの脆弱性

今年の10月に、いくつかの新しいWordPressプラグインの脆弱性が発見されました。 プラグインを更新するか、完全にアンインストールするには、以下の推奨アクションに従ってください。

1.オールインワンWPセキュリティとファイアウォール

オールインワンセキュリティロゴ

オールインワンWPセキュリティ&ファイアウォールバージョン4.4.1以下には、「非表示」のログインページを公開するオープンリダイレクトがあります。

WordPressログインを保護するために「非表示」ログインに依然依存している場合は、メソッドを更新するときが来ました。 WordPressログインセキュリティの5つの簡単なルールを確認してください。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン4.4.2に更新する必要があります。

2.ポップアップメーカー

ポップアップメーカーのロゴ

Popup Makerバージョン1.8.12以下には、認証が壊れているという脆弱性があります。

あなたがすべきこと

この脆弱性にはパッチが適用されており、バージョン1.8.13に更新する必要があります。

3. iThemes Sync

iThemesSyncロゴ

iThemes Syncバージョン2.0.17以下には、不十分なセキュアキー検証の脆弱性があります。 この脆弱性はWordPressサイトの完全な侵害につながる可能性があるため、サイトがバージョン2.0.18を実行していることを確認してください

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン2.0.18に更新する必要があります。

4.ダッシュボードからプラグインとテーマをダウンロードします

ダッシュボードのロゴからプラグインとテーマをダウンロードする

ダッシュボードバージョン1.5.0以下からプラグインとテーマをダウンロードすると、認証されていない保存されたXSS攻撃に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン1.6.0に更新する必要があります。

5. wpDataTables

wpDataTablesロゴ

wpDataTablesバージョン2.0.7以下は、クロスサイトスクリプティングおよびSQLインジェクション攻撃に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されており、バージョン2.0.8に更新する必要があります。

6.ララのグーグルアナリティクス

ララのGoogleAnalyticsロゴ

LaraのGoogleAnalytics 2.0.4以下は、Authenticated Stored Cross-SiteScripting攻撃に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン2.0.5に更新する必要があります。

7.ユーザーをCSVにエクスポートする

ユーザーをCSVロゴにエクスポート

ユーザーをCSVバージョン1.3以下にエクスポートすると、不正なCSVアクセスの脆弱性が発生します。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン1.4に更新する必要があります。

8.SoundPressプラグイン

SoundPressプラグインのロゴ

SoundPressプラグインバージョン2.2.0以下は、クロスサイトスクリプティング攻撃に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン1.4に更新する必要があります。

WordPressテーマ

2019年10月上半期には、テーマの脆弱性は公開されていません。

WordPressのテーマとプラグインの脆弱性について積極的になる方法

古いソフトウェアを実行することが、WordPressサイトがハッキングされる最大の理由です。 WordPressサイトのセキュリティにとって、更新ルーチンがあることは非常に重要です。 更新を実行するには、少なくとも週に1回はサイトにログインする必要があります。

自動更新が役立ちます

自動更新は、あまり頻繁に変更されないWordPressWebサイトに最適です。 注意が不足していると、これらのサイトは無視され、攻撃に対して脆弱になることがよくあります。 推奨されるセキュリティ設定があっても、サイトで脆弱なソフトウェアを実行すると、攻撃者がサイトへのエントリポイントを与える可能性があります。

iThemes Security Proプラグインのバージョン管理機能を使用すると、WordPressの自動更新を有効にして、最新のセキュリティパッチを確実に入手できます。 これらの設定は、新しいバージョンに自動的に更新したり、サイトのソフトウェアが古くなったときにユーザーのセキュリティを強化したりするオプションでサイトを保護するのに役立ちます。

バージョン管理の更新オプション
  • WordPressアップデート–最新のWordPressリリースを自動的にインストールします。
  • プラグインの自動更新–最新のプラグインの更新を自動的にインストールします。 このサイトを毎日積極的に保守し、更新がリリースされた直後に手動でインストールしない限り、これを有効にする必要があります。
  • テーマの自動更新–最新のテーマの更新を自動的にインストールします。 テーマにファイルのカスタマイズがない限り、これを有効にする必要があります。
  • プラグインとテーマの更新をきめ細かく制御–手動で更新するか、リリースが安定するまで更新を遅らせたいプラグイン/テーマがある場合があります。 各プラグインまたはテーマを割り当てて、すぐに更新する(有効にする)か、まったく自動的に更新しない(無効にする)か、指定した日数の遅延で更新する(遅延)ようにする機会として、カスタムを選択できます。

重大な問題の強化と警告
  • 古いソフトウェアを実行しているときにサイトを強化する–利用可能なアップデートが1か月間インストールされていない場合、サイトに保護を自動的に追加します。 iThemes Securityプラグインは、アップデートが1か月間インストールされていない場合、より厳密なセキュリティを自動的に有効にします。 まず、2要素が有効になっていないすべてのユーザーに、再度ログインする前に自分の電子メールアドレスに送信されたログインコードを提供するように強制します。次に、WPファイルエディターを無効にします(プラグインまたはテーマコードの編集をブロックします)。 、XML-RPC pingback、およびXML-RPC要求ごとの複数の認証試行をブロックします(どちらも、XML-RPCを完全にオフにすることなく、攻撃に対してより強力にします)。
  • 他の古いWordPressサイトをスキャンする–これにより、ホスティングアカウントに他の古いWordPressインストールがないかチェックされます。 脆弱性のある単一の古いWordPressサイトでは、攻撃者が同じホスティングアカウント上の他のすべてのサイトを侵害する可能性があります。
  • 電子メール通知の送信–介入が必要な問題については、管理者レベルのユーザーに電子メールが送信されます。

Web全体からの違反

1.Gifを使用してDrupalを攻撃するハッカー

セキュリティ調査会社のAkamiは、.gifファイル内に悪意のあるコードを埋め込む攻撃の増加に気づきました。 幸いなことに、Drupalは1年以上前にこの脆弱性にパッチを適用しました。 悪いニュースは、メンテナンスが不十分なサイトがまだ更新されていないことです。

悪意のある攻撃が成功する最大の理由は、古いソフトウェアが原因です。 1年前の更新によってサイトが危険にさらされている男/ギャルにならないでください。 サイトを更新する

2.信号の脆弱性により、ハッカーはAndroidマイクを聞くことができます

シグナルロゴ

Google Project Zeroは最近、メッセージングアプリSignalの脆弱性を公開しました。 この脆弱性は、Signalアプリを使用して誰かの電話に電話をかけるときに使用される可能性があります。 通話中、ハッカーはターゲットの電話が鳴っている間にミュートボタンを押す必要があります。 ミュートボタンを押すと、ターゲットのデバイスが強制的に呼び出しに応答し、攻撃者がマークを盗聴できるようになります。

Google Project Zeroからバグの通知を受けた後、Signalはすぐにパッチをリリースしました。 このエクスプロイトでは、攻撃者がアプリ内のコードを削除して変更する必要がありました。 ありがたいことに、この難しさのために、このエクスプロイトが実際に使用されているという報告はありません。

2019年10月、パート1WordPressの脆弱性の概要

タイプ
脆弱性
修理

  • クロスサイトスクリプティング
  • 認証されていない投稿
  • Javascriptインジェクションにつながるクロスサイトスクリプティング
  • JSONキャッシュポイズニング
  • サーバー側のリクエストの偽造
  • 管理者でのリファラー検証。
脆弱性にパッチが適用されているため、バージョン5.2.4に更新する必要があります。
プラグイン

オールインワンWPセキュリティ&ファイアウォールバージョン4.4.1以下には、「非表示」のログインページを公開するオープンリダイレクトがあります。

この脆弱性にはパッチが適用されているため、バージョン4.4.2に更新する必要があります。

Popup Makerバージョン1.8.12以下には、認証が壊れているという脆弱性があります。

脆弱性にパッチが適用されているため、バージョン1.8.13に更新する必要があります

iThemes Syncバージョン2.0.17以下には、不十分なセキュアキー検証の脆弱性があります。 この脆弱性はWordPressサイトの完全な侵害につながる可能性があるため、サイトがバージョン2.0.18を実行していることを確認してください

この脆弱性にはパッチが適用されているため、バージョン2.0.18に更新する必要があります。

ダッシュボードバージョン1.5.0以下からプラグインとテーマをダウンロードすると、認証されていない保存されたXSS攻撃に対して脆弱です。

この脆弱性にはパッチが適用されているため、バージョン1.6.0に更新する必要があります。

wpDataTablesバージョン2.0.7以下は、クロスサイトスクリプティングおよびSQLインジェクション攻撃に対して脆弱です。

この脆弱性にはパッチが適用されており、バージョン2.0.8に更新する必要があります。

LaraのGoogleAnalytics 2.0.4以下は、Authenticated Stored Cross-SiteScripting攻撃に対して脆弱です。

この脆弱性にはパッチが適用されているため、バージョン2.0.5に更新する必要があります。

ユーザーをCSVバージョン1.3以下にエクスポートすると、不正なCSVアクセスの脆弱性が発生します。

この脆弱性にはパッチが適用されているため、バージョン1.4に更新する必要があります。

テーマ
2019年10月上半期には、テーマの脆弱性は公開されていません。
2019年10月上半期には、テーマの脆弱性は公開されていません。

WordPressセキュリティプラグインはあなたのウェブサイトを保護するのに役立ちます

WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための30以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。

WordPressのセキュリティの詳細については、10の重要なヒントをご覧ください。 今すぐ電子ブックをダウンロードする: WordPressセキュリティのガイド
ダウンロード中

iThemesセキュリティを取得する