WordPressの脆弱性のまとめ:2020年12月、パート2

公開: 2020-12-23

新しいWordPressプラグインとテーマの脆弱性は、12月の後半に公開されました。 この投稿では、最近のWordPressプラグイン、テーマ、コアの脆弱性と、脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明します。

WordPressの脆弱性のまとめは、WordPressコア、WordPressプラグイン、WordPressテーマの3つのカテゴリに分類されます。

12月、パート2レポート

    WordPressのコアの脆弱性

    今月、新しいWordPressコアの脆弱性は公開されていません。

    WordPressコアの最新バージョンは現在5.6です。 WordPressセキュリティのベストプラクティスとして、最新バージョンのWordPressコアを実行していることを確認してください。

    WordPressプラグインの脆弱性

    1. DiveBook

    1.1.4より前のバージョンのDiveBookには、不適切な承認チェック、認証されていないSQLインジェクション、および認証されていない反映されたXSSの脆弱性があります。

    セキュリティ修正がリリースされるまでプラグインを削除します。

    2.ページレイヤー

    1.3.5より前のPagelayerバージョンには、複数の反映されたクロスサイトスクリプティングの脆弱性があります。

    この脆弱性にはパッチが適用されているため、バージョン1.3.5に更新する必要があります。

    3.アルティメットカテゴリーエクスクルーダー

    1.2より前のUltimateCategory Excluderバージョンには、クロスサイトリクエストフォージェリの脆弱性があります。

    この脆弱性にはパッチが適用されているため、バージョン1.2に更新する必要があります。

    4.ディレクトリプロ

    1.3.46より前のDirectoriesProバージョンには、Authenticated Reflected Cross-SiteScriptingの脆弱性があります。

    この脆弱性にはパッチが適用されているため、バージョン1.3.46に更新する必要があります。

    5.トータルアップキープ

    1.14.10未満のTotalUpkeepバージョンには、機密データの開示と認証されていないバックアップダウンロードの脆弱性があります。

    この脆弱性にはパッチが適用されているため、バージョン1.14.10に更新する必要があります。

    6.Reduxフレームワーク

    4.1.21より前のReduxFrameworkバージョンには、CSRF Nonce ValidationBypassの脆弱性があります。

    この脆弱性にはパッチが適用されているため、バージョン4.1.21に更新する必要があります。

    7.お問い合わせフォーム7

    5.3.2より前のContactForm 7バージョンには、無制限のファイルアップロードの脆弱性があります。

    この脆弱性にはパッチが適用されているため、バージョン5.3.2に更新する必要があります。

    8.シンプルなソーシャルメディア共有ボタン

    3.2.1より前のSimpleSocial Media Share Buttonsバージョンには、認証されていないリフレクトクロスサイトスクリプティングの脆弱性があります。

    この脆弱性にはパッチが適用されているため、バージョン3.2.1に更新する必要があります。

    9. Envira Gallery Lite

    1.8.3.3より前のEnviraGallery Liteバージョンには、Authenticated Stored Cross-SiteScriptingの脆弱性があります。

    この脆弱性にはパッチが適用されているため、バージョン1.8.3.3に更新する必要があります。

    10.リロードされたログイン試行を制限する

    ログイン試行の制限2.16.0より前のリロードされたバージョンには、認証された反映されたクロスサイトスクリプティングとログインレート制限バイパスの脆弱性があります。

    この脆弱性にはパッチが適用されているため、バージョン2.16.0に更新する必要があります。

    WordPressテーマの脆弱性

    1. ListingPro

    2.6.1より前のListingProバージョンには、認証されていない任意のプラグインのインストール/アクティブ化/非アクティブ化および認証されていない機密データ開示の脆弱性があります。

    この脆弱性にはパッチが適用されているため、バージョン2.6.1に更新する必要があります。

    12月のセキュリティのヒント:サポートにユニバーサルユーザーが必要な理由

    Webサイトで新しいユーザーを作成するときはいつでも、ハッカーが悪用する可能性のある別のエントリポイントを追加しています。 ただし、サポートを求めている場合や独立した請負業者を雇った後など、Webサイトの外部からの支援が必要になる場合があります。 あなたはあなたのウェブサイトに一時的な管理者アクセスを追加するための安全で安全な方法を必要としています。

    あなたのウェブサイトへの外部アクセスの許可:あなたの典型的な悪い選択肢

    通常、Webサイトへの外部アクセスを提供するための2つのオプションがあります…。 そしてどちらも素晴らしいです。

    1.管理者ユーザーの資格情報を共有する

    最初で最悪のオプションは、WordPress管理者ユーザーのユーザー名とパスワードを共有することです。

    管理者の資格情報を共有することがひどい考えである理由

    • セキュリティの低下–ユーザーの資格情報を共有する場合、資格情報を使用しているユーザーがログインできるようにするには、2要素認証を無効にする必要があります。 Googleはブログで、2要素認証または2段階認証を使用すると、自動化されたボット攻撃を100%阻止できることを共有しました。 二要素認証を無効にすると、たとえ短期間であっても、Webサイトのセキュリティが大幅に低下します。
    • 不便–資格情報を共有するには、パスワードを変更する必要があります。 パスワードの変更を忘れた場合、必要なときにいつでもWebサイトに管理者アクセスできる人が1人以上います。

    2.サポート技術者用に別のユーザーを作成する

    サポートスペシャリスト用に新しい管理者ユーザーを作成することは、管理者の資格情報を共有するよりも優れていますが、それでも優れたものではありません。

    サポート技術のユーザーを作成するのがひどい理由

    • 脆弱性の増加–新しい管理者ユーザーを作成すると、悪用される可能性のある別のエントリポイントが追加されます。 パスワードポリシーが設定されていない場合、サポート技術者は弱いパスワードを選択する可能性があり、WordPressログインが攻撃に対してより脆弱になります。
    • 不便–外部の支援が必要なときにいつでも新しいユーザーを設定するプロセスを実行するのは時間がかかります。 新しいユーザーを作成し、ユーザーがWebサイトにアクセスする必要がなくなったらユーザーを削除することを忘れないでください。 未使用のユーザーをWebサイトから削除することは、WordPressのセキュリティのベストプラクティスです。

    あなたのウェブサイトへの外部アクセスの許可:より良い方法

    iThemes Security Proの権限昇格機能を使用すると、ユーザーに追加の機能を一時的に付与できます。

    権限昇格により、外部の開発者に提供したり、Webサイトへの一時的なアクセスを必要とする技術者をサポートしたりできるユニバーサルユーザーを簡単かつ安全に作成できます。

    権限昇格を使用すると、新しいユーザーを作成してSupportという名前を付け、サブスクライバーユーザーの役割を与えることができます。 次回Webサイトへの一時的なアクセスを提供する必要がある場合は、サポートユーザーをサブスクライバーから管理者に増やすことができます。 投稿の後半でこれを行う方法について説明しますが、最初に、特権昇格がWebサイトへのアクセスを許可するためのより良い方法である理由について説明しましょう。

    特権昇格が優れている理由

    • 簡単–Webサイトへのアクセスを許可する必要があるたびに新しいユーザーを作成する必要はありません。
    • 自動–特権の昇格は24時間のみ続きます。 24時間経過すると、ユーザーはすべての追加権限を自動的に失います。 ユーザーを削除したり、パスワードを変更したりすることを覚えておく必要はありません。
    • セキュリティを犠牲にすることはありません–このユニバーサルサポートユーザーに、2要素の電子メール方式を使用してログインするように要求できます。つまり、他の管理者ユーザーと同じレベルのセキュリティがあります。 実際のユーザーロールはサブスクライバーであるため、Webサイトに残すリスクはありません。

    iThemes SecurityProで権限昇格を使用する方法

    開始するには、セキュリティ設定のメインページで特権昇格を有効にします。

    新しいユーザーを作成し、Supportという名前を付けて、サブスクライバーユーザーの役割を与えることができます。 次回Webサイトへの一時的なアクセスを提供する必要がある場合は、サポートユーザーのプロファイルページに移動します。

    電子メールアドレスを更新して、外部のサポート担当者が新しいパスワードを要求できるようにします。 次に、一時的な特権昇格の設定が表示されるまで下にスクロールします。 [一時的な役割設定]トグルをクリックし、[管理者]を選択します。 これで、ユーザーは次の24時間は管理者アクセス権を持つことになります。

    24時間も必要ない場合は、ユーザープロファイルページから特権の昇格を取り消すことができます。 24時間以上必要な場合は、[日数]フィールドで必要な正確な日数を設定できます。

    それがどのように機能するかを見る

    WordPressセキュリティプラグインはあなたのウェブサイトを保護するのに役立ちます

    WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。

    iThemes SecurityProを入手する