WordPressの脆弱性のまとめ：2019年11月、パート2

WordPressテーマ

WordPressのテーマとプラグインの脆弱性について積極的になる方法

古いソフトウェアを実行することが、WordPressサイトがハッキングされる最大の理由です。 WordPressサイトのセキュリティにとって、更新ルーチンがあることは非常に重要です。 更新を実行するには、少なくとも週に1回はサイトにログインする必要があります。

自動更新が役立ちます

自動更新は、あまり頻繁に変更されないWordPressWebサイトに最適です。 注意が不足していると、これらのサイトは無視され、攻撃に対して脆弱になることがよくあります。 推奨されるセキュリティ設定があっても、サイトで脆弱なソフトウェアを実行すると、攻撃者がサイトへのエントリポイントを与える可能性があります。

iThemes Security Proプラグインのバージョン管理機能を使用すると、WordPressの自動更新を有効にして、最新のセキュリティパッチを確実に入手できます。 これらの設定は、新しいバージョンに自動的に更新したり、サイトのソフトウェアが古くなったときにユーザーのセキュリティを強化したりするオプションでサイトを保護するのに役立ちます。

バージョン管理の更新オプション

• WordPressアップデート–最新のWordPressリリースを自動的にインストールします。
• プラグインの自動更新–最新のプラグインの更新を自動的にインストールします。 このサイトを毎日積極的に保守し、更新がリリースされた直後に手動でインストールしない限り、これを有効にする必要があります。
• テーマの自動更新–最新のテーマの更新を自動的にインストールします。 テーマにファイルのカスタマイズがない限り、これを有効にする必要があります。
• プラグインとテーマの更新をきめ細かく制御–手動で更新するか、リリースが安定するまで更新を遅らせたいプラグイン/テーマがある場合があります。 各プラグインまたはテーマを割り当てて、すぐに更新する（有効にする）か、まったく自動的に更新しない（無効にする）か、指定した日数の遅延で更新する（遅延）ようにする機会として、カスタムを選択できます。

重大な問題の強化と警告

• 古いソフトウェアを実行しているときにサイトを強化する–利用可能なアップデートが1か月間インストールされていない場合、サイトに保護を自動的に追加します。 iThemes Securityプラグインは、アップデートが1か月間インストールされていない場合、より厳密なセキュリティを自動的に有効にします。 まず、2要素が有効になっていないすべてのユーザーに、再度ログインする前に自分の電子メールアドレスに送信されたログインコードを提供するように強制します。次に、WPファイルエディターを無効にします（プラグインまたはテーマコードの編集をブロックします）。 、XML-RPC pingback、およびXML-RPC要求ごとの複数の認証試行をブロックします（どちらも、XML-RPCを完全にオフにすることなく、攻撃に対してより強力にします）。
• 他の古いWordPressサイトをスキャンする–これにより、ホスティングアカウントに他の古いWordPressインストールがないかチェックされます。 脆弱性のある単一の古いWordPressサイトでは、攻撃者が同じホスティングアカウント上の他のすべてのサイトを侵害する可能性があります。
• 電子メール通知の送信–介入が必要な問題については、管理者レベルのユーザーに電子メールが送信されます。

複数のWPサイトを管理していますか？ iThemes Syncダッシュボードからプラグイン、テーマ、コアを一度に更新

iThemes Syncは、複数のWordPressサイトの管理に役立つ中央ダッシュボードです。 同期ダッシュボードから、すべてのサイトで利用可能な更新を表示し、プラグイン、テーマ、WordPressコアをワンクリックで更新できます。 新しいバージョンのアップデートが利用可能になったときに、毎日電子メール通知を受け取ることもできます。

Web全体からの違反

WordPressエコシステムの外部の脆弱性にも注意することが不可欠であるため、Web全体からの違反を含めます。 サーバーソフトウェアを悪用すると、機密データが公開される可能性があります。 データベースの侵害により、サイト上のユーザーの資格情報が公開され、攻撃者がサイトにアクセスする可能性があります。

1.T-Mobileの侵害