WordPressの脆弱性のまとめ:2020年4月、パート1

公開: 2020-08-18

新しいWordPressプラグインとテーマの脆弱性は、4月の前半に公開されたため、お知らせします。 この投稿では、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行している場合の対処方法について説明します。

WordPressの脆弱性のまとめは、次の4つのカテゴリに分類されます。

  1. WordPressコア
  2. WordPressプラグイン
  3. WordPressのテーマ

WordPressのコアの脆弱性

2020年にはWordPressの脆弱性は明らかにされていません。

WordPressプラグインの脆弱性

今月、これまでにいくつかの新しいWordPressプラグインの脆弱性が発見されました。 プラグインを更新するか、完全にアンインストールするには、以下の推奨アクションに従ってください。

1. IDXBroker用のIMPress

バージョン2.6.2より前のIMPressfor IDX Brokerには、保護されていない「idx_update_recaptcha_key」脆弱性を介した認証済みの投稿の作成、変更/削除、および認証済みの保存されたクロスサイトスクリプティング(XSS)があります。

脆弱性にパッチが適用されているため、バージョン2.6.2に更新する必要があります。

2.WordPressのCMポップアップバナー

1.4.11より前のWordPressバージョンのCMポップアップバナーには、Authenticated StoredXSSの脆弱性があります。

この脆弱性にはパッチが適用されており、バージョン1.4.11に更新する必要があります。

3.ランク数学

1.0.4.1より前のランク数学バージョンには、リダイレクト作成と特権昇格の脆弱性があります。

脆弱性にパッチが適用されているため、バージョン1.4.1に更新する必要があります。

4.LifterLMS

3.37.15より前のLifterLMSバージョンには、任意のファイル書き込みの脆弱性があります。

この脆弱性にはパッチが適用されており、バージョン3.37.15に更新する必要があります。

5.Elementorページビルダー

2.9.6より前のElementorPage Builderバージョンには、Authenticated Safe Mode PrivilegeEscalationの脆弱性があります。

この脆弱性にはパッチが適用されており、バージョン2.9.6に更新する必要があります。

6. LearnDash

3.1.6より前のLearnDashバージョンには、認証されていないSQLインジェクションの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン3.1.6に更新する必要があります。

7.Auth0でログインします

4.0.0より前のバージョンのAuth0によるログインには、複数の脆弱性があります。

この脆弱性にはパッチが適用されており、バージョン4.0.0に更新する必要があります。

8. WordPressWP-詳細-検索

WordPress WP-Advanced-3.3.6より前のバージョンの検索には、認証されていないSQLインジェクションの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン3.3.6に更新する必要があります。

9.お問い合わせフォーム7デイトピッカー

Contact Form 7 Datepickerのすべてのバージョンには、Authenticated Stored Cross-SiteScriptingの脆弱性があります。

プラグインを削除します。レビュー待ちのWordPress.orgプラグインリポジトリで閉じられています。

10.アート-写真-ギャラリー

Art-Picture-Galleryのすべてのバージョンには、認証されていない任意のファイルアップロードの脆弱性があります。

プラグインを削除します。レビュー待ちのWordPress.orgプラグインリポジトリで閉じられています。

11.WPの最終更新情報

1.6.6より前のWP最終更新情報バージョンには、Authenticated StoredXSSの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン1.6.6に更新する必要があります。

12.WPリードプラスX

WP Lead Plus Xのすべてのバージョンには、クロスサイトリクエストフォージェリの脆弱性があります。

パッチがリリースされるまでプラグインを削除します。

13.グーテンベルクの究極のアドオン

1.14.8より前のバージョンのGutenberg用のUltimateAddonsには、Authenticated SettingsChangeの脆弱性があります。

この脆弱性にはパッチが適用されており、バージョン1.14.8に更新する必要があります。

14.WooCommerceのKlarnaチェックアウト

2.0.10より前のバージョンのWooCommerceのKlarnaCheckoutには、Authenticated Arbitrary Pluginの非アクティブ化、アクティブ化、およびインストールの脆弱性があります。

15.ティッケラ–WordPressイベントチケット

Tickera – 3.4.6.9より前のWordPressイベントチケットバージョンには、認証されていない機密データの公開の脆弱性があります。

この脆弱性にはパッチが適用されており、バージョン3.4.6.9に更新する必要があります。

16.レスポンシブ投票

Responsive Pollのすべてのバージョンで、AJAX呼び出しで認証が壊れて機能チェックが欠落しています。

プラグインを削除します。レビュー待ちのWordPress.orgプラグインリポジトリで閉じられています。

17.メディアライブラリアシスタント

2.82より前のバージョンのMediaLibrary Assistantには、認証済みの保存されたクロスサイトスクリプティングと認証されていない限定的なローカルファイルインクルードの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン2.82に更新する必要があります。

WordPressテーマ

2020年4月に公開されたテーマの脆弱性はありません。

WordPressのテーマとプラグインの脆弱性について積極的になる方法

古いソフトウェアを実行することが、WordPressサイトがハッキングされる最大の理由です。 WordPressサイトのセキュリティにとって、更新ルーチンがあることは非常に重要です。 更新を実行するには、少なくとも週に1回はサイトにログインする必要があります。

自動更新が役立ちます

自動更新は、あまり頻繁に変更されないWordPressWebサイトに最適です。 注意が不足していると、これらのサイトは無視され、攻撃に対して脆弱になることがよくあります。 推奨されるセキュリティ設定があっても、サイトで脆弱なソフトウェアを実行すると、攻撃者がサイトへのエントリポイントを与える可能性があります。

iThemes Security Proプラグインのバージョン管理機能を使用すると、WordPressの自動更新を有効にして、最新のセキュリティパッチを確実に入手できます。 これらの設定は、新しいバージョンに自動的に更新したり、サイトのソフトウェアが古くなったときにユーザーのセキュリティを強化したりするオプションでサイトを保護するのに役立ちます。

バージョン管理の更新オプション
  • WordPressアップデート–最新のWordPressリリースを自動的にインストールします。
  • プラグインの自動更新–最新のプラグインの更新を自動的にインストールします。 このサイトを毎日積極的に保守し、更新がリリースされた直後に手動でインストールしない限り、これを有効にする必要があります。
  • テーマの自動更新–最新のテーマの更新を自動的にインストールします。 テーマにファイルのカスタマイズがない限り、これを有効にする必要があります。
  • プラグインとテーマの更新をきめ細かく制御–手動で更新するか、リリースが安定するまで更新を遅らせたいプラグイン/テーマがある場合があります。 各プラグインまたはテーマを割り当てて、すぐに更新する(有効にする)か、まったく自動的に更新しない(無効にする)か、指定した日数の遅延で更新する(遅延)ようにする機会として、カスタムを選択できます。
重大な問題の強化と警告
  • 古いソフトウェアを実行しているときにサイトを強化する–利用可能なアップデートが1か月間インストールされていない場合、サイトに保護を自動的に追加します。 iThemes Securityプラグインは、アップデートが1か月間インストールされていない場合、より厳密なセキュリティを自動的に有効にします。 まず、2要素が有効になっていないすべてのユーザーに、再度ログインする前に自分の電子メールアドレスに送信されたログインコードを提供するように強制します。次に、WPファイルエディターを無効にします(プラグインまたはテーマコードの編集をブロックします)。 、XML-RPC pingback、およびXML-RPC要求ごとの複数の認証試行をブロックします(どちらも、XML-RPCを完全にオフにすることなく、攻撃に対してより強力にします)。
  • 他の古いWordPressサイトをスキャンする–これにより、ホスティングアカウントに他の古いWordPressインストールがないかチェックされます。 脆弱性のある単一の古いWordPressサイトでは、攻撃者が同じホスティングアカウント上の他のすべてのサイトを侵害する可能性があります。
  • 電子メール通知の送信–介入が必要な問題については、管理者レベルのユーザーに電子メールが送信されます。

複数のWPサイトを管理していますか? iThemes Syncダッシュボードからプラグイン、テーマ、コアを一度に更新

iThemes Syncは、複数のWordPressサイトの管理に役立つ中央ダッシュボードです。 同期ダッシュボードから、すべてのサイトで利用可能な更新を表示し、プラグイン、テーマ、およびWordPressコアをワンクリックで更新できます。 新しいバージョンのアップデートが利用可能になったときに、毎日電子メール通知を受け取ることもできます。

30日間無料で同期をお試しください詳細

WordPressセキュリティプラグインはあなたのウェブサイトを保護するのに役立ちます

WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための30以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。

WordPressのセキュリティの詳細については、10の重要なヒントをご覧ください。 今すぐ電子ブックをダウンロードする: WordPressセキュリティのガイド
ダウンロード中