WordPressの脆弱性のまとめ:2020年10月、パート2

公開: 2021-03-10

かなりの数の新しいWordPressプラグインの脆弱性が10月の後半に公開されました。 この投稿では、最近のWordPressプラグイン、テーマ、コアの脆弱性と、脆弱なプラグインまたはテーマの1つをWebサイトで実行している場合の対処方法について説明します。

WordPressの脆弱性のまとめは、WordPressコア、WordPressプラグイン、WordPressテーマの3つのカテゴリに分類されます。

10月、パート2レポート

    WordPressのコアの脆弱性

    WordPress 5.5.2は10月29日にリリースされ、10のWordPressコアセキュリティ修正が含まれていました。

    これは、WordPress5.5.2リリースの投稿に記載されているセキュリティ修正のリストです。

    • 強化された逆シリアル化要求。
    • マルチサイトネットワーク上の無効化されたサイトからのスパム埋め込みを無効にするための修正
    • グローバル変数からXSSにつながる可能性のあるセキュリティの問題を修正しました。
    • XML-RPCでの特権昇格の問題を修正しました。
    • XML-RPCを介した投稿コメントに関する権限昇格に関する問題を修正しました。
    • DoS攻撃がRCEにつながる可能性があるセキュリティの問題を修正しました。
    • XSSをポストスラッグに保存するメソッドを削除しました。
    • 任意のファイル削除につながる可能性のある保護されたメタをバイパスするメソッドを削除しました。
    • CSRFにつながる可能性のあるメソッドを削除しました。
    脆弱性にパッチが適用されているため、WordPressをバージョン5.5.2に更新してください。

    WordPressプラグインの脆弱性

    1.ライブチャット–ライブサポート

    ライブチャット– 3.2.0より前のライブサポートバージョンには、クロスサイトリクエストフォージェリの脆弱性があります。

    この脆弱性にはパッチが適用されているため、バージョン3.2.0に更新する必要があります。

    2.クイックチャット

    クイックチャットのすべてのバージョンには、認証されていない保存されたクロスサイトスクリプティングの脆弱性があります。

    セキュリティ修正がリリースされるまでプラグインを削除します。

    3.Orbisiusによる子テーマクリエーター

    1.5.2より前のバージョンのOrbisiusによるChildTheme Creatorには、任意のファイルの変更/作成に対するCSRFの脆弱性があります。

    この脆弱性にはパッチが適用されているため、バージョン1.5.2に更新する必要があります。

    4.リアリア

    Realiaのすべてのバージョンには、認証されていないIDORがあり、任意の削除後の脆弱性が発生します。

    セキュリティ修正がリリースされるまでプラグインを削除します。

    5.コメントプレス

    コメント2.7.2より前のプレスバージョンには、認証されていないクロスフレームスクリプトの脆弱性があります。

    この脆弱性にはパッチが適用されているため、バージョン2.7.2に更新する必要があります。

    6.WordPress用のスーパーストアファインダー

    6.2より前のバージョンのWordPress用のSuperStore Finderには、認証されていない任意のファイルアップロードの脆弱性があります。

    この脆弱性にはパッチが適用されているため、バージョン6.2に更新する必要があります。

    7.WordPress用のスーパーインタラクティブマップ

    2.0より前のバージョンのWordPress用のスーパーインタラクティブマップには、認証されていない任意のファイルアップロードの脆弱性があります。

    この脆弱性にはパッチが適用されているため、バージョン2.0に更新する必要があります。

    8.WordPressのスーパーロゴショーケース

    2.3より前のWordPressバージョンのSuperLogos Showcaseには、認証されていない任意のファイルアップロードの脆弱性があります。

    この脆弱性にはパッチが適用されているため、バージョン2.3に更新する必要があります。

    9.シンプルなダウンロードモニター

    3.8.9より前のSimpleDownload Monitorバージョンには、認証されていないクロスサイトスクリプティングとSQLインジェクションの脆弱性があります。

    この脆弱性にはパッチが適用されているため、バージョン3.8.9に更新する必要があります。

    10.Loginizer

    1.6.4より前のLoginizerバージョンには、認証されていないSQLインジェクションの脆弱性があります。

    この脆弱性にはパッチが適用されているため、バージョン1.6.4に更新する必要があります。

    11. HeliosSolutionsブランドロゴスライダー

    すべてのバージョンのHeliosSolutions Brand Logo Sliderには、Authenticated Arbitrary FileUploadの脆弱性があります。

    セキュリティ修正がリリースされるまでプラグインを削除します。

    12.CMダウンロードマネージャー

    2.8.0より前のバージョンのCMDownload Managerには、Authenticated Cross-SiteScriptingの脆弱性があります。

    この脆弱性にはパッチが適用されているため、バージョン2.8.0に更新する必要があります。

    13.事前予約カレンダー

    1.6.2より前の高度な予約カレンダーバージョンには、認証されていないSQLインジェクションの脆弱性があります。

    この脆弱性にはパッチが適用されているため、バージョン1.6.2に更新する必要があります。

    WordPressテーマの脆弱性

    10月の後半に報告されたWordPressテーマの脆弱性はありません。

    10月のセキュリティのヒント:Webサイトのセキュリティアクティビティをログに記録する必要がある理由

    セキュリティロギングは、WordPressのセキュリティ戦略の重要な部分である必要があります。 どうして?

    ロギングとモニタリングが不十分な場合、セキュリティ違反の検出が遅れる可能性があります。 ほとんどの違反調査によると、違反を検出するまでの時間は200日を超えています。

    その時間の長さにより、攻撃者は他のシステムを侵害したり、より多くのデータを変更、盗んだり、破壊したりすることができます。 このため、「不十分なロギング」は、WebアプリケーションのセキュリティリスクのOWASPトップ10に上陸しました。

    WordPressのセキュリティログには、全体的なセキュリティ戦略にいくつかの利点があり、次のことに役立ちます。

    1. 悪意のある行動を特定して阻止します。
    2. 違反を警告できるアクティビティを見つけます。
    3. 与えられたダメージの量を評価します。
    4. ハッキングされたサイトの修復を支援します。

    サイトがハッキングされた場合は、迅速な調査と復旧に役立つ最善の情報が必要になります。

    良いニュースは、iThemes SecurityProがWebサイトのログ記録の実装に役立つことです。 iThemes Security ProのWordPressセキュリティログは、これらすべてのWebサイトアクティビティを追跡します。

    • WordPressブルートフォース攻撃
    • ファイルの変更
    • マルウェアスキャン
    • ユーザーアクティビティ

    ログの統計は、WordPress管理ダッシュボードから表示できるリアルタイムのWordPressセキュリティダッシュボードに表示されます。

    iThemes SecurityProを使用してWordPressセキュリティログをWebサイトに追加するすべての手順を展開するこの機能スポットライト投稿を確認してください。

    それがどのように機能するかを見る

    WordPressセキュリティプラグインはあなたのウェブサイトを保護するのに役立ちます

    WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。

    iThemes SecurityProを入手する