WordPressの脆弱性レポート:2021年5月、パート1

公開: 2021-05-05

脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 このレポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性と、脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明します。

各脆弱性の重大度は、、または重大です。 脆弱性の責任ある開示と報告は、WordPressコミュニティを安全に保つための不可欠な部分です。 この投稿を友達と共有して、WordPressをより安全に伝え、すべての人にとってより安全なものにしてください。

5月、パート1レポート

    WordPressのコアの脆弱性

    2021年5月の時点で、新しいWordPressコアの脆弱性は開示されていません。

    WordPress 5.7.1は2021年4月15日にリリースされました。このセキュリティおよびメンテナンスリリースには、2つのセキュリティ修正に加えて26のバグ修正が含まれています。 これはWordPressコアのセキュリティリリースであるため、サイトをすぐに更新することをお勧めします。

    WordPressプラグインの脆弱性

    1.AcyMailing

    脆弱性:オープンリダイレクト
    バージョンでパッチが適用されました:7.5.0
    重大度

    この脆弱性にはパッチが適用されているため、バージョン7.5.0以降に更新する必要があります。

    2.WPを与える

    脆弱性:認証済みの保存されたクロスサイトスクリプティング
    バージョンでパッチが適用されました:2.10.4
    重大度

    この脆弱性にはパッチが適用されているため、バージョン2.10.4以降に更新する必要があります。

    3.ダウンロードマネージャー

    WordPressダウンロードマネージャーのロゴ

    脆弱性:CSRFを介したプラグイン設定の変更
    バージョンでパッチが適用されました:3.1.22
    重大度

    脆弱性:アセットマネージャーの不正使用
    バージョンでパッチが適用されました:3.1.23
    重大度

    脆弱性:RCEへの認証済みPHP4ファイルのアップロード
    バージョンでパッチが適用されました:3.1.19
    重大度重大

    この脆弱性にはパッチが適用されているため、バージョン3.1.23以降に更新する必要があります。

    4. CleanTalkによるスパム保護、スパム対策、ファイアウォール

    脆弱性:認証されていないブラインドSQLインジェクション
    バージョンでパッチが適用されました:5.153.4
    重大度

    この脆弱性にはパッチが適用されているため、バージョン5.153.4以降に更新する必要があります。

    5.WPカスタマーレビュー

    脆弱性:認証済みの保存されたクロスサイトスクリプティング
    バージョンでパッチが適用されました:3.5.6
    重大度

    この脆弱性にはパッチが適用されているため、バージョン3.5.6以降に更新する必要があります。

    WordPressテーマの脆弱性

    1.後藤

    脆弱性:認証されていないブラインドSQLインジェクション
    バージョンでパッチが適用されました:2.1
    重大度重大

    脆弱性:反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました:2.1
    重大度

    この脆弱性にはパッチが適用されているため、バージョン2.1以降に更新する必要があります。

    責任ある開示に関する注記

    ハッカーに攻撃のエクスプロイトを与える場合、なぜ脆弱性が開示されるのか疑問に思われるかもしれません。 そうですね、セキュリティ研究者が脆弱性を見つけてソフトウェア開発者に非公開で報告することは非常に一般的です。

    責任ある開示により、研究者の最初のレポートは、ソフトウェアを所有する会社の開発者に非公開で作成されますが、パッチが利用可能になったら完全な詳細が公開されることに同意します。 重大なセキュリティの脆弱性については、より多くの人にパッチを適用する時間を与えるために、脆弱性の開示がわずかに遅れる場合があります。

    セキュリティ研究者は、ソフトウェア開発者がレポートに応答するか、パッチを提供する期限を提供する場合があります。 この期限に間に合わない場合、研究者は、パッチを発行するように開発者に圧力をかける脆弱性を公開する可能性があります。

    脆弱性を公開し、ゼロデイ脆弱性(パッチがなく、実際に悪用されているタイプの脆弱性)を導入しているように見えると、逆効果に見える可能性があります。 しかし、それは、研究者が開発者に脆弱性にパッチを当てるように圧力をかけなければならない唯一の手段です。

    ハッカーが脆弱性を発見した場合、彼らはエクスプロイトを静かに使用してエンドユーザー(これはあなたです)に損害を与える可能性がありますが、ソフトウェア開発者は脆弱性にパッチを適用しないままにしておくことに満足しています。 GoogleのProjectZeroには、脆弱性の開示に関して同様のガイドラインがあります。 脆弱性にパッチが適用されているかどうかに関係なく、90日後に脆弱性の完全な詳細を公開します。

    脆弱なプラグインやテーマからWordPressウェブサイトを保護する方法

    iThemes SecurityProプラグインのSiteScannerは、WordPress Webサイトを、すべてのソフトウェアハッキングの最大の原因である既知の脆弱性を持つ古いプラグインやテーマから保護および保護するもう1つの方法です。 サイトスキャナーは、既知の脆弱性についてサイトをチェックし、パッチが利用可能な場合は自動的に適用します。

    チェックされた3種類のWordPressの脆弱性

    1. WordPressの脆弱性
    2. プラグインの脆弱性
    3. テーマの脆弱性

    新規インストールでサイトスキャンを有効にするには、iThemes Security Pro設定に移動し、サイトスキャン設定モジュールの[有効にする]ボタンをクリックします。

    手動のサイトスキャンをトリガーするには、セキュリティ設定の右側のサイドバーにあるサイトスキャンウィジェットの[今すぐスキャン]ボタンをクリックします。

    サイトスキャンの結果がウィジェットに表示されます。

    サイトスキャンで脆弱性が検出された場合は、脆弱性のリンクをクリックして詳細ページを表示します。

    サイトスキャンの脆弱性ページで、脆弱性に対して利用可能な修正があるかどうかを確認します。 利用可能なパッチがある場合は、[プラグイン更新]ボタンをクリックして、Webサイトに修正を適用できます。

    パッチが利用可能になってから、修正を反映するようにiThemes Security VulnerabilityDatabaseが更新されるまでに遅延が生じる可能性があります。 この場合、通知をミュートして、脆弱性に関連するアラートをこれ以上受信しないようにすることができます。

    重要:現在のバージョンにセキュリティ修正が含まれていることを確認するまで、脆弱性通知をミュートしないでください。そうしないと、脆弱性がサイトに影響を与えません。

    WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。

    iThemes SecurityProを入手する

    WordPressの脆弱性レポート