WordPressの脆弱性のまとめ:2020年3月、パート1
公開: 2020-11-22新しいWordPressプラグインとテーマの脆弱性は、3月の前半に公開されたため、お知らせします。 この投稿では、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行している場合の対処方法について説明します。
WordPressの脆弱性のまとめは、次の4つのカテゴリに分類されます。
- WordPressコア
- WordPressプラグイン
- WordPressのテーマ
WordPressのコアの脆弱性
朗報です! 2020年のこれまでのところ、WordPressのコアの脆弱性は明らかにされていません。
WordPressプラグインの脆弱性
今月、これまでにいくつかの新しいWordPressプラグインの脆弱性が発見されました。 プラグインを更新するか、完全にアンインストールするには、以下の推奨アクションに従ってください。
1.Supsysticによる価格表
Supsysticバージョン1.8.1以下の価格表には、複数の脆弱性があります。
2.WooCommerceの柔軟なチェックアウトフィールド
WooCommerceバージョン2.3.1以下のフレキシブルチェックアウトフィールドには、認証されていない設定の更新の脆弱性があります。 プラグインはwiledで積極的に悪用され、悪意のあるスクリプトをWooCommerceチェックアウトページに挿入していました。
3.ユーザーのエクスポート
エクスポート-ユーザーバージョン1.4.2以下は、CSVインジェクション攻撃に対して脆弱です。
4.ヒーローマップ
Hero Mapsバージョン2.2.1以下には、認証されていないリフレクトクロスサイトスクリプティングの脆弱性があります。
5.WooCommerceのCardGate支払い
WooCommerceバージョン3.1.15以下のCardGatePaymentsには、不正な支払いの乗っ取りと注文ステータスのなりすましの脆弱性があります。
6.非同期JavaScript
非同期JavaScriptバージョン2.19.07.14以下には、認証されていない保存されたクロスサイトスクリプティングの脆弱性があります。
7.Googleマップ用の10WebMap Builder
10Web Map Builder for Google Mapsバージョン1.0.63以下には、認証されていない保存されたクロスサイトスクリプティングの脆弱性があります。
8.モダンイベントカレンダーライト
最新のイベントCalendarLiteバージョン5.1.6以下には、保存されたクロスサイトスクリプティングの脆弱性があります。
9.予約カレンダー
アポイントメント予約カレンダーバージョン1.3.34以下には、Authenticated Stored Cross-SiteScriptingの脆弱性があります。
10.WPForms
WPFormsバージョン1.5.8.2以下には、認証済みクロスサイトスクリプティングの脆弱性があります。
11. WordPressWP-詳細-検索
WordPress WP-Advanced-Searchバージョン3.3.3以下には、認証されていないデータベースアクセスとリモートコード実行の脆弱性があります。
12.登録マジック
RegistrationMagicバージョン4.6.0.1以下には、複数のセキュリティの脆弱性があります。
13. Brizy –ページビルダー
Brizy – Page Builderバージョン1.0.113以下には、認証されていないサイト設定の更新の脆弱性があります。
14.カスタム検索可能なデータ入力システム
カスタム検索可能データ入力システムバージョン1.7.1以下には、認証されていないデータの変更と削除の脆弱性があります。 この脆弱性は積極的に悪用されています。
15.WPセキュリティ監査ログ
WPセキュリティ監査ログバージョン4.0.1以下はアクセス制御の脆弱性を破りました。
WordPressテーマ
2020年3月のテーマの脆弱性は公開されていません。
WordPressのテーマとプラグインの脆弱性について積極的になる方法
古いソフトウェアを実行することが、WordPressサイトがハッキングされる最大の理由です。 WordPressサイトのセキュリティにとって、更新ルーチンがあることは非常に重要です。 更新を実行するには、少なくとも週に1回はサイトにログインする必要があります。
自動更新が役立ちます
自動更新は、あまり頻繁に変更されないWordPressWebサイトに最適です。 注意が不足していると、これらのサイトは無視され、攻撃に対して脆弱になることがよくあります。 推奨されるセキュリティ設定があっても、サイトで脆弱なソフトウェアを実行すると、攻撃者がサイトへのエントリポイントを与える可能性があります。
iThemes Security Proプラグインのバージョン管理機能を使用すると、WordPressの自動更新を有効にして、最新のセキュリティパッチを確実に入手できます。 これらの設定は、新しいバージョンに自動的に更新したり、サイトのソフトウェアが古くなったときにユーザーのセキュリティを強化したりするオプションでサイトを保護するのに役立ちます。
バージョン管理の更新オプション
- WordPressアップデート–最新のWordPressリリースを自動的にインストールします。
- プラグインの自動更新–最新のプラグインの更新を自動的にインストールします。 このサイトを毎日積極的に保守し、更新がリリースされた直後に手動でインストールしない限り、これを有効にする必要があります。
- テーマの自動更新–最新のテーマの更新を自動的にインストールします。 テーマにファイルのカスタマイズがない限り、これを有効にする必要があります。
- プラグインとテーマの更新をきめ細かく制御–手動で更新するか、リリースが安定するまで更新を遅らせたいプラグイン/テーマがある場合があります。 各プラグインまたはテーマを割り当てて、すぐに更新する(有効にする)か、まったく自動的に更新しない(無効にする)か、指定した日数の遅延で更新する(遅延)ようにする機会として、カスタムを選択できます。
重大な問題の強化と警告
- 古いソフトウェアを実行しているときにサイトを強化する–利用可能なアップデートが1か月間インストールされていない場合、サイトに保護を自動的に追加します。 iThemes Securityプラグインは、アップデートが1か月間インストールされていない場合、より厳密なセキュリティを自動的に有効にします。 まず、2要素が有効になっていないすべてのユーザーに、再度ログインする前に自分の電子メールアドレスに送信されたログインコードを提供するように強制します。次に、WPファイルエディターを無効にします(プラグインまたはテーマコードの編集をブロックします)。 、XML-RPC pingback、およびXML-RPC要求ごとの複数の認証試行をブロックします(どちらも、XML-RPCを完全にオフにすることなく、攻撃に対してより強力にします)。
- 他の古いWordPressサイトをスキャンする–これにより、ホスティングアカウントに他の古いWordPressインストールがないかチェックされます。 脆弱性のある単一の古いWordPressサイトでは、攻撃者が同じホスティングアカウント上の他のすべてのサイトを侵害する可能性があります。
- 電子メール通知の送信–介入が必要な問題については、管理者レベルのユーザーに電子メールが送信されます。
複数のWPサイトを管理していますか? iThemes Syncダッシュボードからプラグイン、テーマ、コアを一度に更新
iThemes Syncは、複数のWordPressサイトの管理に役立つ中央ダッシュボードです。 同期ダッシュボードから、すべてのサイトで利用可能な更新を表示し、プラグイン、テーマ、およびWordPressコアをワンクリックで更新できます。 新しいバージョンのアップデートが利用可能になったときに、毎日電子メール通知を受け取ることもできます。
WordPressセキュリティプラグインはあなたのウェブサイトを保護するのに役立ちます
WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための30以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。
Michaelは毎週、WordPressの脆弱性レポートをまとめて、サイトを安全に保つのに役立てています。 iThemesのプロダクトマネージャーとして、彼は私たちがiThemes製品ラインナップを改善し続けるのを手伝ってくれます。 彼は巨大なオタクであり、新旧のすべての技術について学ぶのが大好きです。 マイケルが妻と娘と一緒に遊んだり、仕事をしていないときに音楽を読んだり聞いたりしているのを見つけることができます。
