WordPressの脆弱性レポート:2021年5月、パート1
公開: 2021-05-05脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 このレポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性と、脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明します。
各脆弱性の重大度は、低、中、高、または重大です。 脆弱性の責任ある開示と報告は、WordPressコミュニティを安全に保つための不可欠な部分です。 この投稿を友達と共有して、WordPressをより安全に伝え、すべての人にとってより安全なものにしてください。
WordPressのコアの脆弱性
WordPress 5.7.1は2021年4月15日にリリースされました。このセキュリティおよびメンテナンスリリースには、2つのセキュリティ修正に加えて26のバグ修正が含まれています。 これはWordPressコアのセキュリティリリースであるため、サイトをすぐに更新することをお勧めします。
WordPressプラグインの脆弱性
1.AcyMailing

脆弱性:オープンリダイレクト
バージョンでパッチが適用されました:7.5.0
重大度:中
2.WPを与える

脆弱性:認証済みの保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:2.10.4
重大度:中
3.ダウンロードマネージャー

脆弱性:CSRFを介したプラグイン設定の変更
バージョンでパッチが適用されました:3.1.22
重大度:中
脆弱性:アセットマネージャーの不正使用
バージョンでパッチが適用されました:3.1.23
重大度:高
脆弱性:RCEへの認証済みPHP4ファイルのアップロード
バージョンでパッチが適用されました:3.1.19
重大度:重大
4. CleanTalkによるスパム保護、スパム対策、ファイアウォール

脆弱性:認証されていないブラインドSQLインジェクション
バージョンでパッチが適用されました:5.153.4
重大度:高
5.WPカスタマーレビュー

脆弱性:認証済みの保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:3.5.6
重大度:中

WordPressテーマの脆弱性
1.後藤
脆弱性:認証されていないブラインドSQLインジェクション
バージョンでパッチが適用されました:2.1
重大度:重大
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:2.1
重大度:高
責任ある開示に関する注記
ハッカーに攻撃のエクスプロイトを与える場合、なぜ脆弱性が開示されるのか疑問に思われるかもしれません。 そうですね、セキュリティ研究者が脆弱性を見つけてソフトウェア開発者に非公開で報告することは非常に一般的です。
責任ある開示により、研究者の最初のレポートは、ソフトウェアを所有する会社の開発者に非公開で作成されますが、パッチが利用可能になったら完全な詳細が公開されることに同意します。 重大なセキュリティの脆弱性については、より多くの人にパッチを適用する時間を与えるために、脆弱性の開示がわずかに遅れる場合があります。
セキュリティ研究者は、ソフトウェア開発者がレポートに応答するか、パッチを提供する期限を提供する場合があります。 この期限に間に合わない場合、研究者は、パッチを発行するように開発者に圧力をかける脆弱性を公開する可能性があります。
脆弱性を公開し、ゼロデイ脆弱性(パッチがなく、実際に悪用されているタイプの脆弱性)を導入しているように見えると、逆効果に見える可能性があります。 しかし、それは、研究者が開発者に脆弱性にパッチを当てるように圧力をかけなければならない唯一の手段です。
ハッカーが脆弱性を発見した場合、彼らはエクスプロイトを静かに使用してエンドユーザー(これはあなたです)に損害を与える可能性がありますが、ソフトウェア開発者は脆弱性にパッチを適用しないままにしておくことに満足しています。 GoogleのProjectZeroには、脆弱性の開示に関して同様のガイドラインがあります。 脆弱性にパッチが適用されているかどうかに関係なく、90日後に脆弱性の完全な詳細を公開します。
脆弱なプラグインやテーマからWordPressウェブサイトを保護する方法
iThemes SecurityProプラグインのSiteScannerは、WordPress Webサイトを、すべてのソフトウェアハッキングの最大の原因である既知の脆弱性を持つ古いプラグインやテーマから保護および保護するもう1つの方法です。 サイトスキャナーは、既知の脆弱性についてサイトをチェックし、パッチが利用可能な場合は自動的に適用します。
チェックされた3種類のWordPressの脆弱性
- WordPressの脆弱性
- プラグインの脆弱性
- テーマの脆弱性
新規インストールでサイトスキャンを有効にするには、iThemes Security Pro設定に移動し、サイトスキャン設定モジュールの[有効にする]ボタンをクリックします。

手動のサイトスキャンをトリガーするには、セキュリティ設定の右側のサイドバーにあるサイトスキャンウィジェットの[今すぐスキャン]ボタンをクリックします。

サイトスキャンの結果がウィジェットに表示されます。

サイトスキャンで脆弱性が検出された場合は、脆弱性のリンクをクリックして詳細ページを表示します。

サイトスキャンの脆弱性ページで、脆弱性に対して利用可能な修正があるかどうかを確認します。 利用可能なパッチがある場合は、[プラグインの更新]ボタンをクリックして、Webサイトに修正を適用できます。
パッチが利用可能になってから、修正を反映するようにiThemes Security VulnerabilityDatabaseが更新されるまでに遅延が生じる可能性があります。 この場合、通知をミュートして、脆弱性に関連するアラートをこれ以上受信しないようにすることができます。
WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。
iThemes SecurityProを入手する
Michaelは毎週、WordPressの脆弱性レポートをまとめて、サイトを安全に保つのに役立てています。 iThemesのプロダクトマネージャーとして、彼は私たちがiThemes製品ラインナップを改善し続けるのを手伝ってくれます。 彼は巨大なオタクであり、新旧のすべての技術について学ぶのが大好きです。 マイケルが妻と娘と一緒に遊んだり、仕事をしていないときに音楽を読んだり聞いたりしているのを見つけることができます。
