WordPressの脆弱性のまとめ:2019年10月、パート2
公開: 2019-10-3010月の後半にいくつかの新しいWordPressプラグインとテーマの脆弱性が公開されたため、お知らせします。 この投稿では、最近のWordPressプラグインとテーマの脆弱性、およびWebサイトで脆弱なプラグインまたはテーマの1つを実行している場合の対処方法について説明します。
WordPressの脆弱性のまとめを4つの異なるカテゴリに分類します。
- 1.WordPressコア
- 2.WordPressプラグイン
- 3.WordPressテーマ
- 4.ウェブ全体からの違反
* WordPressエコシステム外の脆弱性にも注意することが不可欠であるため、Web全体からの違反を含めます。 サーバーソフトウェアを悪用すると、機密データが公開される可能性があります。 データベースの侵害により、サイト上のユーザーの資格情報が公開され、攻撃者がサイトにアクセスする可能性があります。
注:以下にリストされている2019年10月の第2部の脆弱性要約チャートにスキップできます。
WordPressのコアの脆弱性
WordPressプラグインの脆弱性
今年の10月に、いくつかの新しいWordPressプラグインの脆弱性が発見されました。 プラグインを更新するか、完全にアンインストールするには、以下の推奨アクションに従ってください。
1.オールインワンSEOパック
オールインワンSEOパックバージョン3.2.6以下は、ストアドクロスサイトスクリプティング攻撃に対して脆弱です。 攻撃者は、認証されたユーザーを使用して脆弱性を悪用する必要があります。 攻撃者が管理者ユーザーにアクセスすると、PHPコードが実行され、サーバーが侵害される可能性があります。
あなたがすべきこと
2.リンク切れチェッカー
壊れたリンクチェッカーバージョン1.11.8以下は、認証されたクロスサイトスクリプティング攻撃に対して脆弱です。
あなたがすべきこと
3.イベントマネージャー
Events Managerバージョン5.9.5以下は、保存されたクロスサイトスクリプティング攻撃に対して脆弱です。
あなたがすべきこと
4.EUクッキー法
EU Cookie Lawバージョン3.0.6以下は、クロスサイトスクリプティング攻撃に対して脆弱です。 この脆弱性により、攻撃者は任意のHTMLおよびJavascriptを挿入して、プラグインのフォントの色、背景色、および「Cookieの無効化」テキスト設定を変更できます。
あなたがすべきこと
5.高速速度の縮小
Fast Velocity Minifyバージョン2.7.6以下には、認証された攻撃者がWordPressインストールのフルルートパスを発見できる脆弱性があります。 フルパスの脆弱性自体は重要ではありません。 ただし、ルートパスを知っていると、攻撃者は他のより深刻な脆弱性を利用するために必要な情報を得ることができます。
あなたがすべきこと
6. SyntaxHighlighter Evolved
SyntaxHighlighter Evolvedバージョン3.5.0以下は、クロスサイトスクリプティング攻撃に対して脆弱です。
あなたがすべきこと
7. WPHTMLメール
WP HTML Mailバージョン2.9.0.3以下は、HTMLインジェクション攻撃に対して脆弱です。
あなたがすべきこと
8.スライスされた請求書
スライスされた請求書バージョン3.8.2以下には、複数の脆弱性があります。 脆弱性には、Authenticated SQLインジェクション、Authenticated Reflected Cross-Site Scripting、請求書へのアクセスを許可する未認証の情報開示、クロスサイトリクエストフォージェリと認証チェックの欠如が含まれます。
あなたがすべきこと
9. ZohoCRMリードマグネットプラグイン
Zoho CRMリードマグネットプラグインバージョン1.6.9は、認証済みクロスサイトスクリプティング攻撃に対して脆弱です。 この脆弱性により、攻撃者はユーザーのブラウザで悪意のあるコードを実行する可能性があります。
あなたがすべきこと
10.著者について
Authorバージョン1.3.9以下については、Authenticated Cross-SiteScripting攻撃に対して脆弱です。
あなたがすべきこと
11.メールテンプレート
電子メールテンプレートバージョン1.3以下は、HTMLインジェクション攻撃に対して脆弱です。
あなたがすべきこと
12.グラウンドホッグ
Groundhoggバージョン1.3.11.3以下は、認証済みクロスサイトスクリプティングおよびSQLインジェクション攻撃に対して脆弱です。
あなたがすべきこと
13.WPメールテンプレート
WP Email Templateバージョン2.2.10以下は、HTMLインジェクション攻撃に対して脆弱です。
あなたがすべきこと
WordPressテーマ
14. InJob
InJobバージョン3.3.7以下は、クロスサイトスクリプティング攻撃に対して脆弱です。
あなたがすべきこと
WordPressのテーマとプラグインの脆弱性について積極的になる方法
古いソフトウェアを実行することが、WordPressサイトがハッキングされる最大の理由です。 WordPressサイトのセキュリティにとって、更新ルーチンがあることは非常に重要です。 更新を実行するには、少なくとも週に1回はサイトにログインする必要があります。
自動更新が役立ちます
自動更新は、あまり頻繁に変更されないWordPressWebサイトに最適です。 注意が不足していると、これらのサイトは無視され、攻撃に対して脆弱になることがよくあります。 推奨されるセキュリティ設定があっても、サイトで脆弱なソフトウェアを実行すると、攻撃者がサイトへのエントリポイントを与える可能性があります。
iThemes Security Proプラグインのバージョン管理機能を使用すると、WordPressの自動更新を有効にして、最新のセキュリティパッチを確実に入手できます。 これらの設定は、新しいバージョンに自動的に更新したり、サイトのソフトウェアが古くなったときにユーザーのセキュリティを強化したりするオプションでサイトを保護するのに役立ちます。
バージョン管理の更新オプション
- WordPressアップデート–最新のWordPressリリースを自動的にインストールします。
- プラグインの自動更新–最新のプラグインの更新を自動的にインストールします。 このサイトを毎日積極的に保守し、更新がリリースされた直後に手動でインストールしない限り、これを有効にする必要があります。
- テーマの自動更新–最新のテーマの更新を自動的にインストールします。 テーマにファイルのカスタマイズがない限り、これを有効にする必要があります。
- プラグインとテーマの更新をきめ細かく制御–手動で更新するか、リリースが安定するまで更新を遅らせたいプラグイン/テーマがある場合があります。 各プラグインまたはテーマを割り当てて、すぐに更新する(有効にする)か、まったく自動的に更新しない(無効にする)か、指定した日数の遅延で更新する(遅延)ようにする機会として、カスタムを選択できます。
重大な問題の強化と警告
- 古いソフトウェアを実行しているときにサイトを強化する–利用可能なアップデートが1か月間インストールされていない場合、サイトに保護を自動的に追加します。 iThemes Securityプラグインは、アップデートが1か月間インストールされていない場合、より厳密なセキュリティを自動的に有効にします。 まず、2要素が有効になっていないすべてのユーザーに、再度ログインする前に自分の電子メールアドレスに送信されたログインコードを提供するように強制します。次に、WPファイルエディターを無効にします(プラグインまたはテーマコードの編集をブロックします)。 、XML-RPC pingback、およびXML-RPC要求ごとの複数の認証試行をブロックします(どちらも、XML-RPCを完全にオフにすることなく、攻撃に対してより強力にします)。
- 他の古いWordPressサイトをスキャンする–これにより、ホスティングアカウントに他の古いWordPressインストールがないかチェックされます。 脆弱性のある単一の古いWordPressサイトでは、攻撃者が同じホスティングアカウント上の他のすべてのサイトを侵害する可能性があります。
- 電子メール通知の送信–介入が必要な問題については、管理者レベルのユーザーに電子メールが送信されます。
Web全体からの違反
1.NGINXサーバーでのPHPリモートコード実行の脆弱性
サイトの1つがPHP-FPMが有効になっているNGINXサーバー上にある場合、リモートコード実行攻撃に対して脆弱である可能性があります。
サーバーがこれらのパッチが適用されたバージョンのPHP7.3.11、7.2.24、または7.1.33のいずれかを実行していることを確認するために、すぐにホストに連絡する必要があります。
WordPressの脆弱性の概要
2019年10月、パート2
オールインワンSEOパックバージョン3.2.6以下は、保存されたクロスサイトスクリプティング攻撃に対して脆弱です。
壊れたリンクチェッカーバージョン1.11.8以下は、認証されたクロスサイトスクリプティング攻撃に対して脆弱です。
Events Managerバージョン5.9.5以下は、保存されたクロスサイトスクリプティング攻撃に対して脆弱です。
EU Cookie Lawバージョン3.0.6以下は、クロスサイトスクリプティング攻撃に対して脆弱です。
Fast Velocity Minifyバージョン2.7.6以下には、認証された攻撃者がWordPressインストールのフルルートパスを発見できる脆弱性があります。
SyntaxHighlighter Evolvedバージョン3.5.0以下は、クロスサイトスクリプティング攻撃に対して脆弱です。
WP HTML Mailバージョン2.9.0.3以下は、HTMLインジェクション攻撃に対して脆弱です。
スライスされた請求書バージョン3.8.2以下には、複数の脆弱性があります。 脆弱性には、Authenticated SQLインジェクション、Authenticated Reflected Cross-Site Scripting、請求書へのアクセスを許可する未認証の情報開示、クロスサイトリクエストフォージェリと認証チェックの欠如が含まれます。
Zoho CRMリードマグネットプラグインバージョン1.6.9は、認証済みクロスサイトスクリプティング攻撃に対して脆弱です。
Authorバージョン1.3.9以下については、Authenticated Cross-SiteScripting攻撃に対して脆弱です。
電子メールテンプレートバージョン1.3以下は、HTMLインジェクション攻撃に対して脆弱です。
Groundhoggバージョン1.3.11.3以下は、認証済みクロスサイトスクリプティングおよびSQLインジェクション攻撃に対して脆弱です。
WP Email Templateバージョン2.2.10以下は、HTMLインジェクション攻撃に対して脆弱です。
WordPressセキュリティプラグインはあなたのウェブサイトを保護するのに役立ちます+ 10月31日まで35%オフ
WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための30以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。
iThemesセキュリティを取得する
Michaelは毎週、WordPressの脆弱性レポートをまとめて、サイトを安全に保つのに役立てています。 iThemesのプロダクトマネージャーとして、彼は私たちがiThemes製品ラインナップを改善し続けるのを手伝ってくれます。 彼は巨大なオタクであり、新旧のすべての技術について学ぶのが大好きです。 マイケルが妻と娘と一緒に遊んだり、仕事をしていないときに音楽を読んだり聞いたりしているのを見つけることができます。
