WordPressの脆弱性のまとめ：2019年9月、パート2

公開: 2019-11-13

* StarfishReviewsによるRichReviewsの採用とパッチを反映するために、2019年11月13日に更新されました。 リッチレビュープラグインを救出してくれたStarfishReviewsに大いに感謝します！

9月の後半にいくつかの新しいWordPressプラグインとテーマの脆弱性が公開されたため、お知らせします。この投稿では、最近のWordPressプラグインとテーマの脆弱性、およびWebサイトで脆弱なプラグインまたはテーマの1つを実行している場合の対処方法について説明します。

WordPressの脆弱性のまとめを4つの異なるカテゴリに分類します。

1.WordPressコア
2.WordPressプラグイン
3.WordPressテーマ
4.Web全体からの違反

* WordPressエコシステム外の脆弱性にも注意することが不可欠であるため、Web全体からの違反を含めます。サーバーソフトウェアを悪用すると、機密データが公開される可能性があります。データベースの侵害により、サイト上のユーザーの資格情報が公開され、攻撃者がサイトにアクセスする可能性があります。

WordPressのコアの脆弱性

2019年9月の後半には、WordPressの脆弱性は明らかにされていません。

WordPressプラグインの脆弱性

今年の8月に、いくつかの新しいWordPressプラグインの脆弱性が発見されました。プラグインを更新するか、完全にアンインストールするには、以下の推奨アクションに従ってください。

1.ウッディ広告スニペット

ウッディ広告スニペットロゴ

Woody Ad Snippetsバージョン2.2.8以下は、クロスサイトスクリプティング攻撃に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン2.2.9に更新する必要があります。

2. Easy FancyBox

EasyFancyBoxロゴ

Easy FancyBoxバージョン1.8.17以下は、クロスサイトスクリプティング攻撃に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されており、バージョン1.8.18に更新する必要があります。

3.高度なAJAX製品フィルター

高度なajax製品フィルターロゴ

Advanced AJAX Product Filtersバージョン1.3.6以下は、認証されていない設定の更新に対して脆弱です。この脆弱性により、攻撃者はトラフィックを悪意のあるサイトにリダイレクトする可能性があります。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン1.3.7に更新する必要があります。

4.与える

Giveバージョン2.5.4以下は、認証バイパス攻撃に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されており、バージョン2.5.5に更新する必要があります。

5.モーターカーディーラー＆求人広告

モーターディーラーと求人広告のロゴ

Motors Car Dealer＆Classified Adsバージョン1.4.0以下には、認証されていない設定のインポートとエクスポートを含む複数の脆弱性があり、保存されたクロスサイトスクリプティング攻撃につながります。この脆弱性により、攻撃者はトラフィックを悪意のあるサイトにリダイレクトする可能性があります。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン1.4.1に更新する必要があります。

6.究極のFAQ

究極のFAQロゴ

Ultimate FAQバージョン1.8.24以下は、認証されていない設定のインポートおよびエクスポート攻撃に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されており、バージョン1.8.25に更新する必要があります。

7.DELUCKS SEO

DelucksSEOロゴ

DELUCKS SEOバージョン2.1.7以下には、認証されていないオプション更新の脆弱性があります。

あなたがすべきこと

この脆弱性にはパッチが適用されており、バージョン2.1.8に更新する必要があります。

8.豊富なレビュー

リッチレビューロゴ

Rich Reviewsバージョン1.7.4以下には、認証されていないプラグインオプションの更新の脆弱性があります。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン1.83に更新する必要があります。

WordPressテーマ

9.セリオ–不動産ディレクトリ

セリオのロゴ

Selio – Real Estate Directoryバージョン1.1以下には、SQLインジェクションと永続的なクロスサイトスクリプティングの脆弱性があります。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン1.1.1に更新する必要があります。

10. Nexos –不動産

Nexosロゴ

Nexos – Real Estateバージョン1.1以下には、SQLインジェクションと永続的なクロスサイトスクリプティングの脆弱性があります。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン1.1.1に更新する必要があります。

WordPressのテーマとプラグインの脆弱性について積極的になる方法

古いソフトウェアを実行することが、WordPressサイトがハッキングされる最大の理由です。 WordPressサイトのセキュリティにとって、更新ルーチンがあることは非常に重要です。 更新を実行するには、少なくとも週に1回はサイトにログインする必要があります。

自動更新が役立ちます

自動更新は、あまり頻繁に変更されないWordPressWebサイトに最適です。注意が不足していると、これらのサイトは無視され、攻撃に対して脆弱になることがよくあります。推奨されるセキュリティ設定があっても、サイトで脆弱なソフトウェアを実行すると、攻撃者がサイトへのエントリポイントを与える可能性があります。

iThemes Security Proプラグインのバージョン管理機能を使用すると、WordPressの自動更新を有効にして、最新のセキュリティパッチを確実に入手できます。これらの設定は、新しいバージョンに自動的に更新したり、サイトのソフトウェアが古くなったときにユーザーのセキュリティを強化したりするオプションでサイトを保護するのに役立ちます。

バージョン管理の更新オプション

WordPressアップデート–最新のWordPressリリースを自動的にインストールします。
プラグインの自動更新–最新のプラグインの更新を自動的にインストールします。このサイトを毎日積極的に保守し、更新がリリースされた直後に手動でインストールしない限り、これを有効にする必要があります。
テーマの自動更新–最新のテーマの更新を自動的にインストールします。テーマにファイルのカスタマイズがない限り、これを有効にする必要があります。
プラグインとテーマの更新をきめ細かく制御–手動で更新するか、リリースが安定するまで更新を遅らせたいプラグイン/テーマがある場合があります。各プラグインまたはテーマを割り当てて、すぐに更新する（有効にする）か、まったく自動的に更新しない（無効にする）か、指定した日数の遅延で更新する（遅延）ようにする機会として、カスタムを選択できます。

重大な問題の強化と警告

古いソフトウェアを実行しているときにサイトを強化する–利用可能なアップデートが1か月間インストールされていない場合、サイトに保護を自動的に追加します。 iThemes Securityプラグインは、アップデートが1か月間インストールされていない場合、より厳密なセキュリティを自動的に有効にします。まず、2要素が有効になっていないすべてのユーザーに、再度ログインする前に自分の電子メールアドレスに送信されたログインコードを提供するように強制します。次に、WPファイルエディターを無効にします（プラグインまたはテーマコードの編集をブロックします）。、XML-RPC pingbackを実行し、XML-RPC要求ごとに複数の認証試行をブロックします（どちらも、XML-RPCを完全にオフにすることなく、攻撃に対して強力にします）。
他の古いWordPressサイトをスキャンする–これにより、ホスティングアカウントに他の古いWordPressインストールがないかチェックされます。脆弱性のある単一の古いWordPressサイトでは、攻撃者が同じホスティングアカウント上の他のすべてのサイトを侵害する可能性があります。
電子メール通知の送信–介入が必要な問題については、管理者レベルのユーザーに電子メールが送信されます。

Web全体からの違反

1.ドアダッシュ

DoorDashロゴ

DoorDashはブログ投稿で、2019年5月4日に発生した違反の際に、490万人の顧客、商人、および従業員のデータが侵害されたことを明らかにしました。

違反には、名前、電子メールアドレス、物理アドレス、電話番号、およびハッシュ化されたパスワードが含まれていました。幸い、パスワードはプレーンテキストで保存されていなかったため、攻撃者がパスワードを解読して使用することは非常に困難です。

一部のクレジットカードの下4桁が侵害されましたが、完全なクレジットカード番号またはCVV番号にアクセスできませんでした。

残念ながら、一部の従業員の運転免許証番号が違反に含まれていました。

DoorDashをご利用の場合は、専用のコールセンターで、855–646–4683のサポートのセットアップに連絡できます。

2. LastPass

LastPassのロゴ

Chrome Project Zeroは、ChromeとOperaのLastPass拡張機能の脆弱性を発見して開示しました。この脆弱性により、悪意のあるWebサイトがポップアップを生成し、do_popupregister（）をバイパスして、LastPassを使用して最後にログインしたアカウントの資格情報を取得する可能性があります。

この脆弱性が実際に悪用されたという証拠はなく、LastPassはChromeおよびOperaバージョンの拡張機能のパッチをリリースしました。

この脆弱性は、2要素認証を使用することの重要性を浮き彫りにし、パスワードなしの将来について私をこれまで以上に興奮させます。

WordPressセキュリティプラグインはあなたのウェブサイトを保護するのに役立ちます

WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための30以上の方法を提供します。 WordPressの2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。

WordPressのセキュリティの詳細については、10の重要なヒントをご覧ください。今すぐ電子ブックをダウンロードする： WordPressセキュリティのガイド

ダウンロード中

iThemesセキュリティを取得する

マイケル・ムーア

Michaelは毎週、WordPressの脆弱性レポートをまとめて、サイトを安全に保つのに役立てています。 iThemesのプロダクトマネージャーとして、彼は私たちがiThemes製品ラインナップを改善し続けるのを手伝ってくれます。彼は巨大なオタクであり、新旧のすべての技術について学ぶのが大好きです。マイケルが妻と娘と一緒に遊んだり、仕事をしていないときに音楽を読んだり聞いたりしているのを見つけることができます。