WordPressの脆弱性レポート:2021年12月、パート5
公開: 2021-12-29脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 WPScanを利用した毎週のWordPress脆弱性レポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明しています。
各脆弱性の重大度は、低、中、高、または重大です。 脆弱性の責任ある開示と報告は、WordPressコミュニティを安全に保つための不可欠な部分です。 このレポートの新機能:脆弱性は、開示日ではなく、アクティブなインストールの数の順にリストされるようになりました。
この投稿を友達と共有して、WordPressを誰にとっても安全なものにし、情報を広めるのに役立ててください。
WordPressコアの脆弱性
WordPressコアの最新バージョンは5.8.2です。 ベストプラクティスとして、常に最新バージョンのWordPressコアを実行してください。
WordPressプラグインの脆弱性
このセクションでは、最新のWordPressプラグインの脆弱性が公開されています。 各プラグインのリストには、脆弱性の種類、アクティブなインストール、パッチが適用されている場合のバージョン番号、および重大度の評価が含まれています。
1.お問い合わせフォーム7データベースアドオン
プラグイン:お問い合わせフォーム7データベースアドオン
脆弱性:認証されていない保存されたクロスサイトスクリプティング
アクティブインストール:400,000以上
バージョンのパッチ:1.2.6.2
重大度スコア:中
プラグイン:お問い合わせフォーム7データベースアドオン
脆弱性:CSRFを介した任意のフォームの削除
アクティブインストール:400,000以上
バージョンのパッチ:1.2.6.2
重大度スコア:中
2.Mailchimpの簡単なフォーム
プラグイン: Mailchimp用の簡単なフォーム
脆弱性:反映されたクロスサイトスクリプティング
アクティブインストール:100,000以上
バージョンのパッチ:6.8.6
重大度スコア:中
3. Relevanssi –より良い検索
プラグイン: Relevanssi –より良い検索
脆弱性:認証されていない保存されたクロスサイトスクリプティング
アクティブインストール:100,000以上
バージョンでパッチが適用されました:4.14.3
重大度スコア:高
4. Sendinblueによるニュースレター、SMTP、Eメールマーケティングおよび購読フォーム
プラグイン: Sendinblueによるニュースレター、SMTP、Eメールマーケティングおよび購読フォーム
脆弱性:反映されたクロスサイトスクリプティング
アクティブインストール:90,000以上
バージョンのパッチ:3.1.25
重大度スコア:高
5.WooCommerceの製品フィードPRO
プラグイン: WooCommerceの製品フィードPRO
脆弱性:サブスクライバー+設定が保存されたXSSに更新されます
アクティブインストール:80,000以上
バージョンのパッチ:11.0.7
重大度スコア:高
6.ポストグリッド
プラグイン:ポストグリッド
脆弱性:Contributor+SQLインジェクション
アクティブインストール:60,000以上
バージョンでパッチが適用されました:2.1.13
重大度スコア:中
7.お問い合わせフォームのエントリ
プラグイン:お問い合わせフォームエントリ
脆弱性:認証されていない保存されたクロスサイトスクリプティング
アクティブインストール:40,000以上
バージョンのパッチ:1.2.4
重大度スコア:高
8.イベントチケット
プラグイン:イベントチケット
脆弱性:オープンリダイレクト
アクティブインストール:40,000以上
バージョンでパッチが適用されました:5.2.2
重大度スコア:中
9.高度なカスタムフィールド:拡張
プラグイン:高度なカスタムフィールド:拡張
脆弱性:Admin+SQLインジェクション
アクティブインストール:40,000以上
バージョンでパッチが適用されました:0.8.8.7
重大度スコア:中
10.PayPalで寄付を受け入れる
プラグイン: PayPalで寄付を受け入れる
脆弱性:CSRFを介した任意の投稿の削除
アクティブインストール:30,000以上
バージョンでパッチが適用されます:1.3.4
重大度スコア:高
11.ACFフォトギャラリーフィールド
プラグイン: ACFフォトギャラリーフィールド
脆弱性:反映されたクロスサイトスクリプティング
アクティブインストール:30,000以上
バージョンのパッチ:1.7.5
重大度スコア:中
12.シンプルなダウンロードモニター
プラグイン:シンプルなダウンロードモニター
脆弱性:複数のCSRF
アクティブインストール:30,000以上
バージョンでパッチが適用されました:3.9.11
重大度スコア:中
13.WP管理者を保護する
プラグイン: WP管理者を保護する
脆弱性:認証されていないプラグインの非アクティブ化
アクティブインストール:30,000以上
バージョンでパッチが適用されました:3.6.2
重大度スコア:中
14. WPTimeCapsuleによるバックアップとステージング
プラグイン: WPTimeCapsuleによるバックアップとステージング
脆弱性:反映されたクロスサイトスクリプティング
アクティブインストール:20,000以上
バージョンのパッチ:1.22.7
重大度スコア:高
15.イベントカレンダー
プラグイン:イベントカレンダー
脆弱性:反映されたクロスサイトスクリプティング
アクティブインストール:20,000以上
バージョンのパッチ:1.1.51
重大度スコア:高
プラグイン:イベントカレンダー
脆弱性:サブスクライバー+イベントの作成
アクティブインストール:20,000以上
バージョンのパッチ:1.1.51
重大度スコア:中
16.5つ星レストランの予約
プラグイン: 5つ星レストランの予約
脆弱性:サブスクライバー+保存されたクロスサイトスクリプティング
アクティブインストール:20,000以上
バージョンのパッチ:2.4.8
重大度スコア:高
17.アスガロスフォーラム
プラグイン: Asgarosフォーラム
脆弱性:forum_idを介したAdmin+SQLインジェクション
アクティブインストール:20,000以上
バージョンのパッチ:1.15.15
重大度スコア:中
18. WP125
プラグイン: WP125
脆弱性:CSRFを介した任意の広告の削除
アクティブインストール:10,000以上
バージョンでパッチが適用されます:1.5.5
重大度スコア:中
19.アフィリエイトマネージャー
プラグイン:アフィリエイトマネージャー
脆弱性:認証されていない保存されたクロスサイトスクリプティング
アクティブインストール:10,000以上
バージョンでパッチが適用されます:2.9.0
重大度スコア:高
20.スマートSEOツール
プラグイン:スマートSEOツール
脆弱性:反映されたクロスサイトスクリプティング
アクティブインストール:9,000以上
バージョンでパッチが適用されました:3.0.6
重大度スコア:中
21. tarteaucitron.js –Cookieの法律とGDPR
プラグイン: tarteaucitron.js –Cookieの法律とGDPR
脆弱性:保存されたクロスサイトスクリプティングに対するCSRF
アクティブインストール:7,000以上
バージョンのパッチ:1.6
重大度スコア:中
プラグイン: tarteaucitron.js –Cookieの法律とGDPR
脆弱性:管理者+保存されたクロスサイトスクリプティング
アクティブインストール:7,000以上
バージョンのパッチ:1.6.1
重大度スコア:低
22.SEOブースター
プラグイン: SEOブースター
脆弱性:Admin+SQLインジェクション
アクティブインストール:4,000以上
バージョンでパッチが適用されました:3.8
重大度スコア:中
23.Booking.comバナークリエーター
プラグイン: Booking.comバナークリエーター
脆弱性:Admin+に保存されたクロスサイトスクリプティング
アクティブインストール:3,000以上
バージョンのパッチ:1.4.3
重大度スコア:低
24.追加フィールドのプロファイル
プラグイン:プロファイル追加フィールド
脆弱性:反映されたクロスサイトスクリプティング
アクティブインストール:2,000以上
バージョンのパッチ:1.2.4
重大度スコア:高
25.Booking.com製品ヘルパー
プラグイン: Booking.com製品ヘルパー
脆弱性:Admin+に保存されたクロスサイトスクリプティング
アクティブインストール:2,000以上
バージョンでパッチが適用されました:1.0.2
重大度スコア:低
26.SEURオフィシャル
プラグイン: SEUR Oficial
脆弱性:Admin+に保存されたクロスサイトスクリプティング
アクティブインストール:1,000以上
バージョンのパッチ:1.7.0
重大度スコア:中
27.スプレッドシートの統合
プラグイン:スプレッドシートの統合
脆弱性:CSRFバイパス
アクティブインストール:1,000以上
バージョンでパッチが適用されました:3.6.0
重大度スコア:中
プラグイン:スプレッドシートの統合
脆弱性:反映されたクロスサイトスクリプティング
アクティブインストール:1,000以上
バージョンでパッチが適用されました:3.6.0
重大度スコア:高
28.ClickBankアフィリエイト広告
プラグイン: ClickBankアフィリエイト広告
脆弱性:Admin+に保存されたクロスサイトスクリプティング
アクティブインストール:700以上
バージョンのパッチ:1.35
重大度スコア:低
プラグイン: ClickBankアフィリエイト広告
脆弱性:保存されたクロスサイトスクリプティングに対するCSRF
アクティブインストール:700以上
バージョンのパッチ:1.35
重大度スコア:高
29.ステティック
プラグイン: Stetic
脆弱性:保存されたクロスサイトスクリプティングに対するCSRF
アクティブインストール:300以上
バージョンでパッチが適用されます:1.0.9
重大度スコア:高
30.モバイルイベントマネージャー
プラグイン:モバイルイベントマネージャー
脆弱性:Admin+に保存されたクロスサイトスクリプティング
アクティブインストール:20以上
バージョンでパッチが適用されます:1.4.4
重大度スコア:低
WordPressプラグインの脆弱性:既知の修正はありません
このセクションでは、最新のWordPressプラグインの脆弱性がクローズドプラグインで公開されています。 各プラグインのリストには、脆弱性の種類、重大度の評価、および閉鎖の日付が含まれています。
31.AnyComment
プラグイン: AnyComment
脆弱性:反映されたクロスサイトスクリプティング
アクティブインストール:4,000以上
バージョンでパッチが適用されました: 既知の修正はありません
重大度スコア:中
WordPressプラグインの脆弱性:プラグインがクローズされました
このセクションでは、最新のWordPressプラグインの脆弱性がクローズドプラグインで公開されています。 各プラグインのリストには、脆弱性の種類、重大度の評価、および閉鎖の日付が含まれています。
32.タブ
プラグイン:タブ
脆弱性:認証されていない任意のオプションの更新
バージョン:3.6.0でパッチが適用されました–プラグインは閉じられました
重大度スコア:クリティカル
33.ショートコードアドオン
プラグイン:ショートコードアドオン
脆弱性:認証されていない任意のオプションの更新
バージョン:3.1.0でパッチが適用されました–プラグインは閉じられました
重大度スコア:クリティカル
脆弱なプラグインやテーマからWordPressウェブサイトを保護する方法
毎週のWordPress脆弱性レポートからわかるように、多くの新しいWordPressプラグインとテーマの脆弱性が毎週公開されています。 報告されたすべての脆弱性の開示を把握するのは難しい場合があるため、iThemes Security Proプラグインを使用すると、既知の脆弱性を持つテーマ、プラグイン、またはWordPressコアバージョンがサイトで実行されていないことを簡単に確認できます。
1. iThemesSecurityProプラグインをインストールします
iThemes Security Proプラグインは、Webサイトがハッキングされる最も一般的な方法に対してWordPressサイトを強化します。 1つの使いやすいプラグインでサイトを保護する30以上の方法があります。
2.サイトスキャンを有効にして、既知の脆弱性をチェックします
iThemes Security Proのバージョン管理機能は、サイトスキャンと統合してサイトを保護します。 脆弱なテーマ、プラグイン、WordPressコアバージョンは自動的に更新されます。
3.ファイル変更検出をアクティブにします
セキュリティ違反をすばやく発見するための鍵は、Webサイト上のファイルの変更を監視することです。 iThemes Security Proのファイル変更検出機能は、Webサイトのファイルをスキャンし、Webサイトで変更が発生したときに警告を発します。
サイトスキャンでiThemesSecurityProを入手
WordPressセキュリティプラグインであるiThemesSecurityProは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードの適用などを使用すると、Webサイトにセキュリティの層を追加できます。
