WordPressの脆弱性レポート:2021年9月、パート3
公開: 2021-09-15脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 WPScanを利用した毎週のWordPress脆弱性レポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明しています。
各脆弱性の重大度は、低、中、高、または重大です。 脆弱性の責任ある開示と報告は、WordPressコミュニティを安全に保つための不可欠な部分です。
これまでで最大のWordPress脆弱性レポートの1つとして、この投稿を友達と共有して、WordPressを広め、すべての人にとってより安全にするのに役立ててください。
WordPressのコアの脆弱性
いくつかのWordPressコアセキュリティ問題が開示され、修正されました。 WordPress 5.8.1は、セキュリティとメンテナンスのリリースとしてリリースされました。 ベストプラクティスとして、常に最新バージョンのWordPressコアを実行してください!
1. WordPress 5.4〜5.8
脆弱性:RESTAPIを介したデータ公開
バージョンでパッチが適用されました:5.8.1
重大度スコア:中
脆弱性:ブロックエディターで認証されたXSS
バージョンでパッチが適用されました:5.8.1
重大度スコア:中
脆弱性:Lodashライブラリの更新
バージョンでパッチが適用されました:5.8.1
重大度スコア:中
WordPressプラグインの脆弱性
このセクションでは、最新のWordPressプラグインの脆弱性が公開されています。 各プラグインのリストには、脆弱性の種類、パッチが適用されている場合のバージョン番号、および重大度の評価が含まれています。
1.Pinterest自動
プラグイン: Pinterest自動
脆弱性:認証されていない任意のオプションの更新
バージョンでパッチが適用されました:4.14.4
重大度スコア:クリティカル
2.WordPress自動
プラグイン: WordPress自動
脆弱性:認証されていない任意のオプションの更新
バージョンでパッチが適用されました:3.53.3
重大度スコア:クリティカル
3. ELEX WooCommerceGoogleショッピング
プラグイン: ELEX WooCommerceGoogleショッピング
脆弱性:反映されたクロスサイトスクリプティング(XSS)
バージョンでパッチが適用されました:1.2.4
重大度スコア:高
4.ユーザー登録
プラグイン:ユーザー登録
脆弱性:低特権のクロスサイトスクリプティング
バージョンでパッチが適用されました:2.0.2
重大度スコア:中
5. uListing
プラグイン: uListing
脆弱性:CSRFを介した任意のブログオプションの更新
バージョンでパッチが適用されました:2.0.9
重大度スコア:高
6.予約時間の予約
プラグイン:予約時間の予約
脆弱性:認証済みの保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:1.3.16
重大度スコア:低
プラグイン:予約時間の予約
脆弱性:認証済みの保存済みXSS
バージョンでパッチが適用されました:1.3.17
重大度スコア:低
7. UsersWP
プラグイン: UsersWP
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:1.2.2.29
重大度スコア:中
8.PublishPress編集カレンダー
プラグイン: PublishPress編集カレンダー
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:3.5.1
重大度スコア:高
9.より良い検索と置換
プラグイン:より良い検索と置換
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:1.2.9
重大度スコア:高
10.CMツールチップ用語集
プラグイン: CMツールチップ用語集
脆弱性:Contributor +保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:3.9.21
重大度スコア:中
11.WooCommerce用のビットコイン/ AltCoinペイメントゲートウェイ
プラグイン: WooCommerce用のビットコイン/アルトコイン支払いゲートウェイ
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:1.6.1
重大度スコア:高
12.モダンイベントカレンダーライト
プラグイン: Modern Events Calendar Lite
脆弱性:Admin +に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:5.22.2
重大度スコア:低
13.私のチャットボット
テーマ:私のチャットボット
脆弱性:反映されたクロスサイトスクリプティング(XSS)
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:高
14.ページが重複しています
プラグイン:重複ページ
脆弱性:Admin +に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:4.4.3
重大度スコア:中
15.天候の影響
プラグイン:天気効果
脆弱性:Admin +に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:1.3.6
重大度スコア:低
プラグイン:天気効果
脆弱性:保存されたクロスサイトスクリプティングに対するCSRF
バージョンでパッチが適用されました:1.3.4
重大度スコア:高
16.連鎖クイズ
プラグイン:連鎖クイズ
脆弱性:認証済みの保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:1.2.7.2
重大度スコア:低
17.WPアカデミックピープルリスト
プラグイン: WPアカデミックピープルリスト
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
18.こんにちわ! メンバーシップ
プラグイン:こんにちわ! メンバーシップ
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
19.3Dカバーカルーセル
プラグイン: 3Dカバーカルーセル
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
20.Googleのその他の情報
プラグイン: Googleのその他の機能
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
21.simpleSAMLphp認証
プラグイン: simpleSAMLphp認証
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
22.カスタムメニュープラグイン
プラグイン:カスタムメニュープラグイン
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
23.Twitterフレンズウィジェット
プラグイン: Twitterフレンズウィジェット
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
24. RentPress
プラグイン: RentPress
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
25.SPレンタルマネージャー
プラグイン: SPレンタルマネージャー
脆弱性:認証されていないSQLインジェクション
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:高
26.ユーザーアクティベーションメール
プラグイン:ユーザーアクティベーションメール
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
27. WPGoogleマップ
プラグイン: WPグーグルマップ
脆弱性:複数のAdmin +に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:8.1.13
重大度スコア:低
28. GeoDirectory
プラグイン: GeoDirectory
脆弱性:認証済み(admin +)の保存されたクロスサイトスクリプティング(XSS)
バージョンでパッチが適用されました:2.1.1.3
重大度スコア:中
29. TranslatePress
プラグイン: TranslatePress
脆弱性:認証済みの保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:2.0.9
重大度スコア:低
30.投稿タイトルカウンター
プラグイン:投稿タイトルカウンター
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
31.YouTubeビデオインサーター
プラグイン: YouTubeビデオインサーター
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
32.通知
プラグイン:通知
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
33. DJ EmailPublish
プラグイン: DJ EmailPublish
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
34.さらに別のbol.comプラグイン
プラグイン:さらに別のbol.comプラグイン
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
35.WP-T-Wap
プラグイン: WP-T-Wap
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
36.ページ上のSEO + Whatsappチャットボタン
プラグイン:ページ上のSEO + Whatsappチャットボタン
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
37.WPスクリペット
プラグイン: WP Scrippets
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
38.WPデザインマップと場所
プラグイン: WPデザインマップと場所
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
39.ワイズエージェントキャプチャフォーム
プラグイン:ワイズエージェントキャプチャフォーム
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
40.コメントの編集XT
プラグイン:コメントの編集XT
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
41. RSVPMaker Excel
プラグイン: RSVPMaker Excel
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
42.ボーダーローディングバー
プラグイン:ボーダーローディングバー
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
43.シンプルなマットサムネイル
プラグイン:シンプルなマットサムネイル
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
44. WordPress Simple Shop
プラグイン: WordPress Simple Shop
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
45.カテゴリごとのWooCommerceペイメントゲートウェイ
プラグイン:カテゴリごとのWooCommerceペイメントゲートウェイ
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
46.カスタムWebサイトデータ
プラグイン:カスタムウェブサイトデータ
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
47.事前検索
プラグイン:事前検索
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
48.WooCommerceのためのMoneybirdの統合
プラグイン: WooCommerce用のMoneybirdの統合
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
49.スパイダ分析
プラグイン: Spideranalyse
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
50.OSDサブスクライブ
プラグイン: OSDサブスクライブ
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
51. FeedifyWebプッシュ通知
プラグイン: FeedifyWebプッシュ通知
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
52.ドロップダウンとスクロール可能なテキスト
プラグイン:ドロップダウンとスクロール可能なテキスト
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
53.GNU-Mailman統合
プラグイン: GNU-Mailman統合
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
54.バグライブラリ
プラグイン:バグライブラリ
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
55. SMS OVH
プラグイン: SMS OVH
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
56. MoolaMojo
プラグイン: MoolaMojo
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
57. WordPressInviteBoxプラグイン
プラグイン: WordPressInviteBoxプラグイン
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
58.wp-publications
プラグイン: wp-publications
脆弱性:ローカルファイルインクルード
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:高
59.MotoPressによる時刻表とイベントスケジュール
プラグイン: MotoPressによる時刻表とイベントスケジュール
脆弱性:Author +に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:2.3.19
重大度スコア:中
60.コメントリンクの削除およびその他のコメントツール
プラグイン:コメントリンク削除およびその他のコメントツール
脆弱性:CSRFを介した任意のコメントの削除
バージョンでパッチが適用されました:2.1.6
重大度スコア:中
61.WPシンプル予約カレンダー
プラグイン: WP Simple Booking Calendar
脆弱性:認証されたSQLインジェクション
バージョンでパッチが適用されました:2.0.6
重大度スコア:中
62.不良ボットをブロックして停止する
プラグイン:不良ボットをブロックして停止する
脆弱性:認証されたSQLインジェクション
バージョンでパッチが適用されました:6.60
重大度スコア:中
63.有料会員サブスクリプション
プラグイン:有料会員サブスクリプション
脆弱性:認証されたSQLインジェクション
バージョンでパッチが適用されました:2.4.2
重大度スコア:中
64.簡単なアコーディオン
プラグイン: Easy Accordion
脆弱性:Admin +に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:2.0.22
重大度スコア:低
WordPressテーマの脆弱性
1.包み込む
テーマ:包み込む
脆弱性:反映されたクロスサイトスクリプティング(XSS)
バージョンでパッチが適用されました:4.8.4
重大度スコア:中
責任ある開示に関する注記
ハッカーに攻撃のエクスプロイトを与える場合、なぜ脆弱性が開示されるのか疑問に思われるかもしれません。 そうですね、セキュリティ研究者が脆弱性を見つけてソフトウェア開発者に非公開で報告することは非常に一般的です。
責任ある開示により、研究者の最初のレポートは、ソフトウェアを所有する会社の開発者に非公開で作成されますが、パッチが利用可能になったら完全な詳細が公開されることに同意します。 重大なセキュリティの脆弱性については、より多くの人にパッチを適用する時間を与えるために、脆弱性の開示がわずかに遅れる場合があります。
セキュリティ研究者は、ソフトウェア開発者がレポートに応答するか、パッチを提供する期限を提供する場合があります。 この期限に間に合わない場合、研究者は、パッチを発行するように開発者に圧力をかける脆弱性を公開する可能性があります。
脆弱性を公開し、ゼロデイ脆弱性(パッチがなく、実際に悪用されているタイプの脆弱性)を導入しているように見えると、逆効果に見える可能性があります。 しかし、それは、研究者が開発者に脆弱性にパッチを当てるように圧力をかけなければならない唯一の手段です。
ハッカーが脆弱性を発見した場合、彼らはエクスプロイトを静かに使用してエンドユーザー(これはあなたです)に損害を与える可能性がありますが、ソフトウェア開発者は脆弱性にパッチを適用しないままにしておくことに満足しています。 GoogleのProjectZeroには、脆弱性の開示に関して同様のガイドラインがあります。 脆弱性にパッチが適用されているかどうかに関係なく、90日後に脆弱性の完全な詳細を公開します。
脆弱なプラグインやテーマからWordPressウェブサイトを保護する方法
このレポートからわかるように、多くの新しいWordPressプラグインとテーマの脆弱性が毎週公開されています。 報告されたすべての脆弱性の開示を把握するのは難しい場合があるため、iThemes Security Proプラグインを使用すると、既知の脆弱性を持つテーマ、プラグイン、またはWordPressコアバージョンがサイトで実行されていないことを簡単に確認できます。
1. iThemes SecurityProサイトスキャナーをオンにします
iThemes SecurityProプラグインのSiteScannerは、WordPressサイトがハッキングされる最大の理由をスキャンします。古いプラグインと既知の脆弱性を持つテーマです。 サイトスキャナーは、既知の脆弱性についてサイトをチェックし、パッチが利用可能な場合は自動的に適用します。
新規インストールでサイトスキャンを有効にするには、プラグイン内の[機能]メニューの[サイトチェック]タブに移動し、トグルをクリックしてサイトスキャンを有効にします。
手動のサイトスキャンをトリガーするには、サイトスキャンセキュリティダッシュボードカードの[今すぐスキャン]ボタンをクリックします。
サイトスキャンで脆弱性が検出された場合は、脆弱性のリンクをクリックして詳細ページを表示します。
サイトスキャンの脆弱性ページで、脆弱性に対して利用可能な修正があるかどうかを確認します。 利用可能なパッチがある場合は、[プラグインの更新]ボタンをクリックして、Webサイトに修正を適用できます。
2.脆弱性が修正された場合は、バージョン管理をオンにして自動更新します
iThemes Security Proのバージョン管理機能は、サイトスキャンと統合されており、古いソフトウェアが十分に迅速に更新されていない場合にサイトを保護します。 Webサイトで脆弱なソフトウェアを実行している場合、最も強力なセキュリティ対策でさえ失敗します。 これらの設定は、既知の脆弱性が存在し、パッチが利用可能な場合に新しいバージョンに自動的に更新するオプションでサイトを保護するのに役立ちます。
iThemes Security Proの[設定]ページから、[機能]画面に移動します。 [サイトチェック]タブをクリックします。 ここから、トグルを使用してバージョン管理を有効にします。 設定ギアを使用すると、iThemes Security ProでWordPressの更新、プラグイン、テーマ、追加の保護を処理する方法など、さらに多くの設定を構成できます。
[脆弱性が修正された場合は自動更新]ボックスを選択して、サイトスキャナーによって検出された脆弱性が修正された場合にiThemes SecurityProがプラグインまたはテーマを自動的に更新するようにしてください。
3. iThemes SecurityProがサイトに既知の脆弱性を発見したときに電子メールアラートを受け取る
Site Scan Schedulingを有効にしたら、プラグインの通知センター設定に移動します。 この画面で、[サイトスキャン結果]セクションまでスクロールします。
ボックスをクリックして通知メールを有効にし、 [設定を保存]ボタンをクリックします。
これで、スケジュールされたサイトスキャン中に、iThemes SecurityProが既知の脆弱性を発見した場合に電子メールが送信されます。 メールは次のようになります。
iThemes Security Proを入手して、今夜は少し楽に休憩
WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。
iThemes SecurityProを入手する
Michaelは毎週、WordPressの脆弱性レポートをまとめて、サイトを安全に保つのに役立てています。 iThemesのプロダクトマネージャーとして、彼は私たちがiThemes製品ラインナップを改善し続けるのを手伝ってくれます。 彼は巨大なオタクであり、新旧のすべての技術について学ぶのが大好きです。 マイケルが妻と娘と一緒に遊んだり、仕事をしていないときに音楽を読んだり聞いたりしているのを見つけることができます。
