WordPressの脆弱性レポート:2021年7月、パート3

公開: 2021-07-21

脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 WPScanを利用した毎週のWordPress脆弱性レポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明しています。

脆弱性の責任ある開示と報告は、WordPressコミュニティを安全に保つための不可欠な部分です。 これまでで最大のWordPress脆弱性レポートの1つとして、この投稿を友達と共有して、WordPressを広め、すべての人にとってより安全にするのに役立ててください。

7月、パート3レポート
    毎週のWordPressSecurity News&Updatesニュースレターにサインアップしてください
    今すぐ購読

    WordPressのコアの脆弱性

    今月、新しいWordPressコアの脆弱性は公開されていません。

    WordPressプラグインの脆弱性

    1.Woocommerce

    プラグイン: WooCommerce3.3から5.5
    脆弱性:認証されたSQLインジェクション
    バージョンでパッチが適用されました:5.5.1

    この脆弱性にはパッチが適用されているため、バージョン5.5.1に更新する必要があります。

    2.Woocommerceブロック

    プラグイン: WooCommerce Blocks 2.5〜5.5
    脆弱性:認証されていないSQLインジェクション
    バージョンでパッチが適用されました:5.5.1

    この脆弱性にはパッチが適用されているため、バージョン5.5.1に更新する必要があります。

    3.高度なメニューマネージャー

    プラグイン: Advanced Menu Manager
    脆弱性:不正なメニューの作成/削除
    バージョンでパッチが適用されました既知の修正はありません–プラグインは閉じられました

    プラグイン: Advanced Menu Manager
    脆弱性:CSRFを介した不正なメニューCEdition
    バージョンでパッチが適用されました既知の修正はありません–プラグインは閉じられました

    パッチがリリースされるまで、プラグインをアンインストールして削除します。

    4.年齢確認

    脆弱性レポートWR年齢確認

    プラグイン: Wr年齢検証
    脆弱性:反映されたクロスサイトスクリプティング(XSS)
    バージョンでパッチが適用されました:2.0.0

    この脆弱性にはパッチが適用されているため、バージョン2.0.0に更新する必要があります。

    5.マーモセットビューア

    プラグイン: Marmoset Viewer
    脆弱性:反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました:1.9.3

    この脆弱性にはパッチが適用されているため、バージョン1.9.3に更新する必要があります。

    6. WOWRestro

    プラグイン: WOWRestro
    脆弱性:CSRFバイパス
    バージョンでパッチが適用されました:1.1

    この脆弱性にはパッチが適用されているため、バージョン1.1に更新する必要があります。

    7.ページビュー数

    プラグイン:ページビューカウント
    脆弱性:Contributor + Stored Cross-Site Scripting(XSS)
    バージョンでパッチが適用されました:2.4.9

    この脆弱性にはパッチが適用されているため、バージョン2.4.9に更新する必要があります。

    8.フロントエンドファイルマネージャー

    プラグイン:フロントエンドファイルマネージャー
    脆弱性:特権の昇格
    バージョンでパッチが適用されました:18.3

    プラグイン:フロントエンドファイルマネージャー
    脆弱性:認証されていないコンテンツインジェクションと保存されたXSS
    バージョンでパッチが適用されました:18.3

    プラグイン:フロントエンドファイルマネージャー
    脆弱性:認証された任意の設定が任意のファイルアップロードに変更されます
    バージョンでパッチが適用されました:18.3

    プラグイン:フロントエンドファイルマネージャー
    脆弱性:認証されていない任意の削除後
    バージョンでパッチが適用されました:18.3

    プラグイン:フロントエンドファイルマネージャー
    脆弱性:認証されていないポストメタ変更から任意のファイルのダウンロード
    バージョンでパッチが適用されました:18.3

    プラグイン:フロントエンドファイルマネージャー
    脆弱性:認証されていないHTMLインジェクション
    バージョンでパッチが適用されました:18.3

    この脆弱性にはパッチが適用されているため、バージョン18.3に更新する必要があります。

    9.在庫の出し入れ

    プラグイン:在庫の出し入れ
    脆弱性:認証されたSQLインジェクション
    バージョンでパッチが適用されました既知の修正はありません–プラグインは閉じられました
    重大度スコア

    プラグイン:在庫の出し入れ
    脆弱性:反映されたクロスサイトスクリプティング(XSS)
    バージョンでパッチが適用されました既知の修正はありません–プラグインは閉じられました
    重大度スコア

    パッチがリリースされるまで、プラグインをアンインストールして削除します。

    10.サイドメニューライト–粘着性のある固定ボタンを追加します

    プラグイン:サイドメニューライト
    脆弱性:認証されたSQLインジェクション
    バージョンでパッチが適用されました:2.2.1

    この脆弱性にはパッチが適用されているため、バージョン2.2.1に更新する必要があります。

    11. ProfilePress

    プラグイン: ProfilePress
    脆弱性:認証されていないクロスサイトスクリプティング(XSS)
    バージョンでパッチが適用されました:3.1.11

    この脆弱性にはパッチが適用されているため、バージョン3.1.11に更新する必要があります。

    12. WPGoogleマップ

    プラグイン: WPグーグルマップ
    脆弱性:認証済みの保存されたクロスサイトスクリプティング(XSS)
    バージョンでパッチが適用されました:1.7.7

    この脆弱性にはパッチが適用されているため、バージョン1.7.7に更新する必要があります。

    13. GoogleMaps用の10WebMap Builder

    プラグイン: Googleマップ用の10Webマップビルダー
    脆弱性:認証済みの保存済みXSS
    バージョンでパッチが適用されました:1.0.70

    この脆弱性にはパッチが適用されているため、バージョン1.0.70に更新する必要があります。

    14.ビデオ投稿ウェブカメラレコーダー

    プラグイン:ビデオ投稿ウェブカメラレコーダー
    脆弱性:Authenticated Reflected XSS
    バージョンでパッチが適用されました:3.2.4

    この脆弱性にはパッチが適用されているため、バージョン3.2.4に更新する必要があります。

    15.WPFront通知バー

    プラグイン: WPFront通知バー
    脆弱性:認証済みの保存済みXSS
    バージョンでパッチが適用されました:2.0.0.07176

    この脆弱性にはパッチが適用されているため、バージョン2.0.0.07176に更新する必要があります。

    16.WordPressの人気のある投稿

    プラグイン: WordPressの人気のある投稿
    脆弱性:認証されたコードインジェクション
    バージョンでパッチが適用されました:5.3.3

    この脆弱性にはパッチが適用されているため、バージョン5.3.3に更新する必要があります。

    17.10Webによるフォームメーカー

    プラグイン: 10Webによるフォームメーカー
    脆弱性:認証済みの保存済みXSS
    バージョンでパッチが適用されました:1.13.60

    この脆弱性にはパッチが適用されているため、バージョン1.13.60に更新する必要があります。

    18.アクティビティログ

    プラグイン:アクティビティログ
    脆弱性:認証されたSQLインジェクション
    バージョンでパッチが適用されました:2.7.0

    この脆弱性にはパッチが適用されているため、バージョン2.7.0に更新する必要があります。

    19.現在の本

    プラグイン:現在の本
    脆弱性:認証済みの保存されたクロスサイトスクリプティング(XSS)
    バージョンでパッチが適用されました既知の修正はありません–プラグインは閉じられました

    パッチがリリースされるまで、プラグインをアンインストールして削除します。

    20.WooCommerceのECPayロジスティクス

    プラグイン: WooCommerceのECPayロジスティクス
    脆弱性:認証されていないReflected XSS
    バージョンでパッチが適用されました:1.3.1910240

    この脆弱性にはパッチが適用されているため、バージョン1.3.1910240に更新する必要があります。

    21.イベントエスプレッソコア

    プラグイン: Event Espresso Core
    脆弱性:反映されたクロスサイトスクリプティング(XSS)
    バージョンでパッチが適用されました:4.10.7.p

    この脆弱性にはパッチが適用されているため、バージョン4.10.7.pに更新する必要があります。

    WordPressテーマの脆弱性

    1. Newsmag

    プラグイン: Newsmag
    脆弱性:認証されていないリフレクトクロスサイトスクリプティング(XSS)
    バージョンでパッチが適用されました:5.0
    重大度スコア

    この脆弱性にはパッチが適用されているため、バージョン5.0に更新する必要があります。

    責任ある開示に関する注記

    ハッカーに攻撃のエクスプロイトを与える場合、なぜ脆弱性が開示されるのか疑問に思われるかもしれません。 そうですね、セキュリティ研究者が脆弱性を見つけてソフトウェア開発者に非公開で報告することは非常に一般的です。

    責任ある開示により、研究者の最初のレポートは、ソフトウェアを所有する会社の開発者に非公開で作成されますが、パッチが利用可能になったら完全な詳細が公開されることに同意します。 重大なセキュリティの脆弱性については、より多くの人にパッチを適用する時間を与えるために、脆弱性の開示がわずかに遅れる場合があります。

    セキュリティ研究者は、ソフトウェア開発者がレポートに応答するか、パッチを提供する期限を提供する場合があります。 この期限に間に合わない場合、研究者は、パッチを発行するように開発者に圧力をかける脆弱性を公開する可能性があります。

    脆弱性を公開し、ゼロデイ脆弱性(パッチがなく、実際に悪用されているタイプの脆弱性)を導入しているように見えると、逆効果に見える可能性があります。 しかし、それは、研究者が開発者に脆弱性にパッチを当てるように圧力をかけなければならない唯一の手段です。

    ハッカーが脆弱性を発見した場合、彼らはエクスプロイトを静かに使用してエンドユーザー(これはあなたです)に損害を与える可能性がありますが、ソフトウェア開発者は脆弱性にパッチを適用しないままにしておくことに満足しています。 GoogleのProjectZeroには、脆弱性の開示に関して同様のガイドラインがあります。 脆弱性にパッチが適用されているかどうかに関係なく、90日後に脆弱性の完全な詳細を公開します。

    脆弱なプラグインやテーマからWordPressウェブサイトを保護する方法

    このレポートからわかるように、多くの新しいWordPressプラグインとテーマの脆弱性が毎週公開されています。 報告されたすべての脆弱性の開示を把握するのは難しい場合があるため、iThemes Security Proプラグインを使用すると、既知の脆弱性を持つテーマ、プラグイン、またはWordPressコアバージョンがサイトで実行されていないことを簡単に確認できます。

    1. iThemes SecurityProサイトスキャナーをオンにします

    iThemes SecurityProプラグインのSiteScannerは、WordPressサイトがハッキングされる最大の理由をスキャンします。古いプラグインと既知の脆弱性を持つテーマです。 サイトスキャナーは、既知の脆弱性についてサイトをチェックし、パッチが利用可能な場合は自動的に適用します。

    新規インストールでサイトスキャンを有効にするには、プラグイン内の[機能]メニューの[サイトチェック]タブに移動し、トグルをクリックしてサイトスキャンを有効にします

    手動のサイトスキャンをトリガーするには、サイトスキャンセキュリティダッシュボードカードの[今すぐスキャン]ボタンをクリックします。

    サイトスキャンで脆弱性が検出された場合は、脆弱性のリンクをクリックして詳細ページを表示します。

    サイトスキャンの脆弱性ページで、脆弱性に対して利用可能な修正があるかどうかを確認します。 利用可能なパッチがある場合は、[プラグイン更新]ボタンをクリックして、Webサイトに修正を適用できます。

    2.脆弱性が修正された場合は、バージョン管理をオンにして自動更新します

    iThemes Security Proのバージョン管理機能は、サイトスキャンと統合されており、古いソフトウェアが十分に迅速に更新されていない場合にサイトを保護します。 Webサイトで脆弱なソフトウェアを実行している場合、最も強力なセキュリティ対策でさえ失敗します。 これらの設定は、既知の脆弱性が存在し、パッチが利用可能な場合に新しいバージョンに自動的に更新するオプションでサイトを保護するのに役立ちます。

    iThemes Security Proの[設定]ページから、[機能]画面に移動します。 [サイトチェック]タブをクリックします。 ここから、トグルを使用してバージョン管理を有効にします。 設定ギアを使用すると、iThemes Security ProでWordPressの更新、プラグイン、テーマ、追加の保護を処理する方法など、さらに多くの設定を構成できます。

    [脆弱性が修正された場合は自動更新]ボックスを選択して、サイトスキャナーによって検出された脆弱性が修正された場合にiThemes SecurityProがプラグインまたはテーマを自動的に更新するようにしてください。

    iThemes SecurityProバージョン管理

    3. iThemes SecurityProがサイトに既知の脆弱性を発見したときに電子メールアラートを受け取る

    Site Scan Schedulingを有効にしたら、プラグインの通知センター設定に移動します。 この画面で、[サイトスキャン結果]セクションまでスクロールします。

    ボックスをクリックして通知メールを有効にし、 [設定を保存]ボタンをクリックします

    これで、スケジュールされたサイトスキャン中に、iThemes SecurityProが既知の脆弱性を発見した場合に電子メールが送信されます。 メールは次のようになります。

    サイトスキャン結果
    重要:現在のバージョンにセキュリティ修正が含まれていることを確認するまで、脆弱性通知をミュートしないでください。そうしないと、脆弱性がサイトに影響を与えません。

    iThemes Security Proを入手して、今夜は少し楽に休憩

    WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。

    • プラグインとテーマの脆弱性のためのサイトスキャナー
    • リアルタイムのウェブサイトセキュリティダッシュボード
    • ファイル変更の検出
    • WordPressのセキュリティログ
    • 信頼できるデバイス
    • reCAPTCHA
    • ブルートフォースプロテクション
    • 二要素認証
    • マジックログインリンク
    • 特権の昇格
    • 侵害されたパスワードのチェックと拒否

    iThemes SecurityProを入手する

    ワードプレスの脆弱性レポート