WordPressの脆弱性レポート:2021年12月、パート4
公開: 2022-01-06脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 WPScanを利用した毎週のWordPress脆弱性レポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明しています。
各脆弱性の重大度は、低、中、高、または重大です。 脆弱性の責任ある開示と報告は、WordPressコミュニティを安全に保つための不可欠な部分です。 このレポートの新機能:脆弱性は、開示日ではなく、アクティブなインストールの数の順にリストされるようになりました。
この投稿を友達と共有して、WordPressをより安全に伝えてください。
WordPressコアの脆弱性
WordPressコアの最新バージョンは5.8.2です。 ベストプラクティスとして、常に最新バージョンのWordPressコアを実行してください。
WordPressプラグインの脆弱性
このセクションでは、最新のWordPressプラグインの脆弱性が公開されています。 各プラグインのリストには、脆弱性の種類、アクティブなインストール、パッチが適用されている場合のバージョン番号、および重大度の評価が含まれています。
1.オールインワンSEO
プラグイン:オールインワンSEO
脆弱性:認証されたSQLインジェクション
アクティブインストール:300万以上
バージョンでパッチが適用されました:4.1.5.3
重大度スコア:高
プラグイン:オールインワンSEO
脆弱性:認証された特権の昇格
アクティブインストール:300万以上
バージョンでパッチが適用されました:4.1.5.3
重大度スコア:クリティカル
2.スマッシュバルーンソーシャルポストフィード
プラグイン: Smash Balloon Social Post Feed
脆弱性:Authenticated Reflected Cross-Site Scripting(XSS)
アクティブインストール:200,000以上
バージョンでパッチが適用されました:4.1.1
重大度スコア:中
3.モダンイベントカレンダーライト
プラグイン: Modern Events Calendar Lite
脆弱性:Subscriber+カテゴリが保存されたXSSにつながる追加
アクティブインストール:100,000以上
バージョンのパッチ:6.2.0
重大度スコア:中
4. WOOCS
プラグイン: WOOCS
脆弱性:反映されたクロスサイトスクリプティング
アクティブインストール:60,000以上
バージョンでパッチが適用されました:1.3.7.3
重大度スコア:高
5.鮮明なライブチャット
プラグイン:クリスプライブチャット
脆弱性:保存されたクロスサイトスクリプティングに対するCSRF
アクティブインストール:60,000以上
バージョンでパッチが適用されました:0.32
重大度スコア:高
6.画像ホバー効果Ultimate
プラグイン: Image Hover Effects Ultimate
脆弱性:認証されていない任意のオプションの更新
アクティブインストール:20,000以上
バージョンでパッチが適用されます:9.7.0
重大度スコア:クリティカル
7. WP予約システム–予約カレンダー
プラグイン: WP予約システム–予約カレンダー
脆弱性:Authenticated Reflected Cross-Site Scripting(XSS)
アクティブインストール:10,000以上
バージョンでパッチが適用されました:2.0.15
重大度スコア:中
8.ランディングページビルダー
プラグイン:ランディングページビルダー
脆弱性:Authenticated Reflected Cross-Site Scripting(XSS)
アクティブインストール:10,000以上
バージョンのパッチ:1.4.9.6
重大度スコア:中
9. Fathom Analytics
プラグイン: Fathom Analytics
脆弱性:Admin+に保存されたクロスサイトスクリプティング
アクティブインストール:2000+
バージョンでパッチが適用されました:3.0.5
重大度スコア:低
10.真のランカー
プラグイン: TrueRanker
脆弱性:パストラバーサルを介した認証されていない任意のファイルアクセス
アクティブインストール:200以上
バージョンのパッチ:2.2.4
重大度スコア:低
WordPressプラグインの脆弱性:プラグインがクローズされました
このセクションでは、最新のWordPressプラグインの脆弱性がクローズドプラグインで公開されています。 各プラグインのリストには、脆弱性の種類、重大度の評価、および閉鎖の日付が含まれています。
11.コメントエンジンプロ
プラグイン: Comment Engine Pro
脆弱性:Editor+に保存されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:低
12..htaccessリダイレクト
プラグイン: .htaccessリダイレクト
脆弱性:反映されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:高
13.Woocommerce用のParsianBankGateway
プラグイン: Woocommerce用のParsian Bank Gateway
脆弱性:反映されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:高
14.本物のWYSIWYG
プラグイン: Real WYSIWYG
脆弱性:反映されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:高
15.リンクリストマネージャー
プラグイン:リンクリストマネージャー
脆弱性:反映されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:高
16.シンプルな画像ギャラリー
プラグイン:シンプルな画像ギャラリー
脆弱性:反映されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:高
17. WooCommerce EnvioPack
プラグイン: WooCommerce EnvioPack
脆弱性:反映されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:高
18.マジックポストボイス
プラグイン: Magic Post Voice
脆弱性:反映されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:高
19.H5PCSSエディター
プラグイン: H5PCSSエディター
脆弱性:反映されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:高
20. duoFAQ
プラグイン: duoFAQ
脆弱性:反映されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:高
21.マジックポストボイス
プラグイン: Magic Post Voice
脆弱性:反映されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:高
22. WooCommerce myghpay Payment Gateway
プラグイン: WooCommerce myghpay Payment Gateway
脆弱性:反映されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:高
プレミアムプラグインの脆弱性
このセクションでは、最新のWordPressプレミアムプラグインの脆弱性が公開されています。 各プラグインのリストには、脆弱性の種類、パッチが適用されている場合のバージョン番号、および重大度の評価が含まれています。
23.ElementorPro用のPlusアドオン
プラグイン: ElementorのPlusアドオン– Pro
脆弱性:機密データの開示
バージョンでパッチが適用されました:5.0.7
重大度スコア:中
プラグイン: ElementorのPlusアドオン– Pro
脆弱性:認証されていないSQLインジェクション
バージョンでパッチが適用されました:5.0.7
重大度スコア:中
24.レッツボックス
プラグイン: Lets Box
脆弱性:反映されたクロスサイトスクリプティング
バージョンのパッチ:1.13.3
重大度スコア:中
25.1つのドライブを共有する
プラグイン: 1つのドライブを共有する
脆弱性:反映されたクロスサイトスクリプティング
バージョンのパッチ:1.15.3
重大度スコア:中
26.箱から出して
プラグイン:箱から出して
脆弱性:反映されたクロスサイトスクリプティング
バージョンのパッチ:1.20.3
重大度スコア:中
27.ドライブを使用する
プラグイン:ドライブを使用する
脆弱性:反映されたクロスサイトスクリプティング
バージョンのパッチ:1.18.3
重大度スコア:中
脆弱なプラグインやテーマからWordPressウェブサイトを保護する方法
このレポートからわかるように、多くの新しいWordPressプラグインとテーマの脆弱性が毎週公開されています。 報告されたすべての脆弱性の開示を把握するのは難しい場合があるため、iThemes Security Proプラグインを使用すると、既知の脆弱性を持つテーマ、プラグイン、またはWordPressコアバージョンがサイトで実行されていないことを簡単に確認できます。
1. iThemesSecurityProプラグインをインストールします
iThemes Security Proプラグインは、Webサイトがハッキングされる最も一般的な方法に対してWordPressサイトを強化します。 1つの使いやすいプラグインでサイトを保護する30以上の方法があります。
2.サイトスキャンを有効にして、既知の脆弱性をチェックします
iThemes Security Proのバージョン管理機能は、サイトスキャンと統合してサイトを保護します。 脆弱なテーマ、プラグイン、WordPressコアバージョンは自動的に更新されます。
3.ファイル変更検出をアクティブにします
セキュリティ違反をすばやく発見するための鍵は、Webサイト上のファイルの変更を監視することです。 iThemes Security Proのファイル変更検出機能は、Webサイトのファイルをスキャンし、Webサイトで変更が発生したときに警告を発します。
24時間年中無休のWebサイトセキュリティ監視でiThemesSecurityProを入手
WordPressセキュリティプラグインであるiThemesSecurityProは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードの適用などを使用すると、Webサイトにセキュリティの層を追加できます。
