WordPressの脆弱性のまとめ:2019年9月、パート1

公開: 2019-09-18

9月の前半にいくつかの新しいWordPressプラグインとテーマの脆弱性が公開されたため、お知らせします。 この投稿では、最近のWordPressプラグインとテーマの脆弱性、およびWebサイトで脆弱なプラグインまたはテーマの1つを実行している場合の対処方法について説明します。

WordPressの脆弱性のまとめを4つの異なるカテゴリに分類します。

  • 1.WordPressコア
  • 2.WordPressプラグイン
  • 3.WordPressテーマ
  • 4.Web全体からの違反

* WordPressエコシステム外の脆弱性にも注意することが不可欠であるため、Web全体からの違反を含めます。 サーバーソフトウェアを悪用すると、機密データが公開される可能性があります。 データベースの侵害により、サイト上のユーザーの資格情報が公開され、攻撃者がサイトにアクセスする可能性があります。

WordPressのコアの脆弱性

WordPressバージョン5.2.3は、いくつかの潜在的なセキュリティの脆弱性にパッチを当てるために、2019年9月4日にリリースされました。 これはWordPress5.2.3リリース投稿からの抜粋です。

WordPress5.2.3のセキュリティ修正

  • 2つの問題を見つけて開示するためのRIPSTechnologiesのSimonScannellへの小道具。 1つ目は、寄稿者による投稿プレビューで見つかったクロスサイトスクリプティング(XSS)の脆弱性です。 2つ目は、保存されたコメントのクロスサイトスクリプティングの脆弱性です。
  • URLの検証とサニタイズがオープンリダイレクトにつながる可能性がある問題を開示するためのTimCoenへの小道具。
  • メディアのアップロード中に反映されたクロスサイトスクリプティングを開示するためのAnshulJainへの小道具。
  • ショートコードプレビューでクロスサイトスクリプティング(XSS)の脆弱性を開示した、フォーティネットのFortiGuardLabsのZhouyuanYangへの小道具。
  • 反映されたクロスサイトスクリプティングがダッシュボードで見つかるケースを見つけて開示するためのコアセキュリティチームのIanDunnへの小道具。
  • クロスサイトスクリプティング(XSS)攻撃につながる可能性のあるURLサニタイズの問題を開示してくれた、NCCGroupのSoroushDalili(@irsdl)への小道具。
  • 上記の変更に加えて、古いバージョンのWordPressでjQueryも更新しています。 この変更は5.2.1で追加され、現在は古いバージョンに反映されています。

WordPressプラグインの脆弱性

9月にいくつかの新しいWordPressプラグインの脆弱性が発見されました。 プラグインを更新するか、完全にアンインストールするには、以下の推奨アクションに従ってください。

1.10Webによるフォトギャラリー

10Webロゴによるフォトギャラリー

プラグインの10Webバージョン1.5.34以下のフォトギャラリーは、SQLインジェクションおよびクロスサイトスクリプティング攻撃に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン1.5.35に更新する必要があります。

2. Advanced Access Manager

Advanced Acess Managerバージョン5.9.8.1以下には、任意のファイルアクセスおよびダウンロードの脆弱性が含まれています。

あなたがすべきこと

この脆弱性にはパッチが適用されており、バージョン5.9.9に更新する必要があります。

3.イベントチケット

イベントチケットのロゴ

イベントチケットバージョン4.10.7.1以下は、CSVインジェクションに対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されており、バージョン4.10.7.2に更新する必要があります。

4.検索除外

検索除外ロゴ

Search Excludeバージョン1.2.2以下は、任意の設定変更に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン1.2.4に更新する必要があります。

5.LifterLMS

LifterLMSバージョン3.34.5以下は、認証されていないオプションのインポートの脆弱性に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン1.2.4に更新する必要があります。

6.コンテンツのアップグレード

コンテンツアップグレードバージョン2.0.4以下は、クロスサイトスクリプティングの脆弱性に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン2.0.5に更新する必要があります。

7.Qwizcards

Qwizロゴ

Qwizcardsバージョン3.36以下は、認証されていないリフレクトクロスサイトスクリプティング攻撃に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン3.37に更新する必要があります。

8.チェックリスト

チェックリストバージョン1.1.5以下は、認証されていないリフレクトクロスサイトスクリプティング攻撃に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン1.1.9に更新する必要があります。

9.WooCommerceのSpryng支払い

WooCommerceロゴのSpryng支払い

WooCommerceバージョン1.6.7以下のSpryngPaymentsは、クロスサイトスクリプティング攻撃に対して脆弱です。

あなたがすべきこと

パッチ付きのアップデートがリリースされるまで、プラグインを削除します。

10.ポートレート-Archiv.comフォトストア

Portrait-Archiv.comPhotostoreロゴ

Portrait-Archiv.com Photostoreバージョン5.0.4以下は、クロスサイトスクリプティング攻撃に対して脆弱です。

あなたがすべきこと

パッチ付きのアップデートがリリースされるまで、プラグインを削除します。

11.WooCommerceのECPayロジスティクス

WooCommerceのECPayロジスティクス

WooCommerceバージョン1.2.181030以下のECPayLogisticsは、クロスサイトスクリプティング攻撃に対して脆弱です。

あなたがすべきこと

パッチ付きのアップデートがリリースされるまで、プラグインを削除します。

12.Ellipsisヒューマンプレゼンステクノロジー

Ellipsis Human Presence Technologyバージョン2.0.8以下は、認証されていないリフレクトクロスサイトスクリプティング攻撃に対して脆弱です。

あなたがすべきこと

パッチ付きのアップデートがリリースされるまで、プラグインを削除します。

13. SlickQuiz

SlickQuizロゴ

SlickQuizバージョン1.6.7以下は、クロスサイトスクリプティングおよびSQLインジェクション攻撃に対して脆弱です。

あなたがすべきこと

パッチ付きのアップデートがリリースされるまで、プラグインを削除します。

WordPressテーマ

2019年8月の後半には、WordPressテーマの脆弱性は公開されていません。

WordPressのテーマとプラグインの脆弱性について積極的になる方法

古いソフトウェアを実行することが、WordPressサイトがハッキングされる最大の理由です。 WordPressサイトのセキュリティにとって、更新ルーチンがあることは非常に重要です。 更新を実行するには、少なくとも週に1回はサイトにログインする必要があります。

自動更新が役立ちます

自動更新は、あまり頻繁に変更されないWordPressWebサイトに最適です。 注意が不足していると、これらのサイトは無視され、攻撃に対して脆弱になることがよくあります。 推奨されるセキュリティ設定があっても、サイトで脆弱なソフトウェアを実行すると、攻撃者がサイトへのエントリポイントを与える可能性があります。

iThemes Security Proプラグインのバージョン管理機能を使用すると、WordPressの自動更新を有効にして、最新のセキュリティパッチを確実に入手できます。 これらの設定は、新しいバージョンに自動的に更新したり、サイトのソフトウェアが古くなったときにユーザーのセキュリティを強化したりするオプションでサイトを保護するのに役立ちます。

バージョン管理の更新オプション
  • WordPressアップデート–最新のWordPressリリースを自動的にインストールします。
  • プラグインの自動更新–最新のプラグインの更新を自動的にインストールします。 このサイトを毎日積極的に保守し、更新がリリースされた直後に手動でインストールしない限り、これを有効にする必要があります。
  • テーマの自動更新–最新のテーマの更新を自動的にインストールします。 テーマにファイルのカスタマイズがない限り、これを有効にする必要があります。
  • プラグインとテーマの更新をきめ細かく制御–手動で更新するか、リリースが安定するまで更新を遅らせたいプラグイン/テーマがある場合があります。 各プラグインまたはテーマを割り当てて、すぐに更新する(有効にする)か、まったく自動的に更新しない(無効にする)か、指定した日数の遅延で更新する(遅延)ようにする機会として、カスタムを選択できます。

重大な問題の強化と警告
  • 古いソフトウェアを実行しているときにサイトを強化する–利用可能なアップデートが1か月間インストールされていない場合、サイトに保護を自動的に追加します。 iThemes Securityプラグインは、アップデートが1か月間インストールされていない場合、より厳密なセキュリティを自動的に有効にします。 まず、2要素が有効になっていないすべてのユーザーに、再度ログインする前に自分の電子メールアドレスに送信されたログインコードを提供するように強制します。次に、WPファイルエディターを無効にします(プラグインまたはテーマコードの編集をブロックします)。 、XML-RPC pingbackを実行し、XML-RPC要求ごとに複数の認証試行をブロックします(どちらも、XML-RPCを完全にオフにすることなく、攻撃に対して強力にします)。
  • 他の古いWordPressサイトをスキャンする–これにより、ホスティングアカウントに他の古いWordPressインストールがないかチェックされます。 脆弱性のある単一の古いWordPressサイトでは、攻撃者が同じホスティングアカウント上の他のすべてのサイトを侵害する可能性があります。
  • 電子メール通知の送信–介入が必要な問題については、管理者レベルのユーザーに電子メールが送信されます。

Web全体からの違反

1.ジャック・ドーシーのTwitterアカウントがハッキングされた

Twitterロゴ

TwitterのCEOであるジャックドーシーは、SIMスワップ攻撃の犠牲者でした。 SIMスワップとは、攻撃者が携帯電話プロバイダーと協力して、電話を別の電話に移植することです。 あなたの電話番号を乗っ取った後、悪意のある攻撃者はあなたのSMS二要素コードを受け取ることができます。

Chuckling SquadハッカーグループがDorseyの携帯電話番号を管理した後、 Cloudhopperを使用してツイートを送信できるようになりました。 Cloudhopperは、人々がテキストメッセージを介してツイートしやすくするために、以前にTwitterに買収された会社です。

2.phpMyAdminの脆弱性

phpMyAdminロゴ

PHPバージョン4.9.0.1は、新しいクロスサイトリクエストフォージェリ攻撃に対して脆弱であり、ゼロデイ攻撃です。 この脆弱性により、攻撃者はphpMyAdminユーザーに対してCSRF攻撃をトリガーし、セットアップページでサーバーを削除することができます。

セキュリティパッチがリリースされたら、必ずphpMyAdminを更新してください。

WordPressセキュリティプラグインはあなたのウェブサイトを保護するのに役立ちます

WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための30以上の方法を提供します。 WordPressの2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。

WordPressのセキュリティを向上させるための簡単なヒントを入手してください。 新しい電子ブックをダウンロードする: WordPressセキュリティポケットガイド
ダウンロード中

iThemes SecurityProを入手する