WordPressの脆弱性レポート:2021年11月、パート3
公開: 2021-11-20脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 WPScanを利用した毎週のWordPress脆弱性レポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明しています。
各脆弱性の重大度は、低、中、高、または重大です。 脆弱性の責任ある開示と報告は、WordPressコミュニティを安全に保つための不可欠な部分です。
この投稿を友達と共有して、WordPressをより安全に伝えてください。
WordPressコアの脆弱性
WordPressコアの最新バージョンは5.8.2です。 ベストプラクティスとして、常に最新バージョンのWordPressコアを実行してください。
1.ワードプレス
脆弱性:期限切れのDSTルートCAX3証明書
バージョンでパッチが適用されました:5.8.2
説明: wp-includes /certificates/ca-bundle.crtファイルにDSTルートCAX3が含まれています。これは2021年9月30日に期限切れになり、場合によってはセキュリティ警告が発生します。
WordPressプラグインの脆弱性
このセクションでは、最新のWordPressプラグインの脆弱性が公開されています。 各プラグインのリストには、脆弱性の種類、パッチが適用されている場合のバージョン番号、および重大度の評価が含まれています。
1.イベントカレンダーへの登録
プラグイン:イベントカレンダーの登録
脆弱性:認証されていないSQLインジェクション
バージョンのパッチ:2.7.6
重大度スコア:高
2. LoginWP
プラグイン: LoginWP
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:3.0.0.5
重大度スコア:高
3.WooCommerce通貨スイッチャー
プラグイン: WooCommerce Currency Switcher
脆弱性:反映されたクロスサイトスクリプティング
バージョンのパッチ:1.3.7.1
重大度スコア:中
4.セキュアコピーのコンテンツ保護とコンテンツロック
プラグイン:セキュアコピーのコンテンツ保護とコンテンツロック
脆弱性:サブスクライバー+電子メールアドレスの開示
バージョンでパッチが適用されました:2.8.2
重大度スコア:高
5.ブックリー
プラグイン: Bookly
脆弱性:スタッフメンバーがクロスサイトスクリプティングを保存
バージョンでパッチが適用されます:20.3.1
重大度スコア:中
6.メールログ
プラグイン:メールログ
脆弱性:反映されたクロスサイトスクリプティング
バージョンのパッチ:2.4.8
重大度スコア:高
7.Tawk.toライブチャット
プラグイン: Tawk.toライブチャット
脆弱性:サブスクライバー+訪問者の監視とチャットの削除
バージョンでパッチが適用されました:0.6.0
重大度スコア:高
8.WPデータアクセス
プラグイン: WPデータアクセス
脆弱性:Admin+SQLインジェクション
バージョンでパッチが適用されます:5.0.0
重大度スコア:高
9.PDF.jsビューア
プラグイン: PDF.jsビューアー
脆弱性:Contributor+保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:2.0.2
重大度スコア:中
10.バックアップと復元
プラグイン:バックアップと復元
脆弱性:Admin+任意のファイルの削除
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
11. LearnPress
プラグイン: LearnPress
脆弱性:Admin+SQLインジェクション
バージョンでパッチが適用されました:4.1.4
重大度スコア:中
12.カスタムフィールド値を取得する
プラグイン:カスタムフィールド値を取得
脆弱性:Contributor+保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:4.0.1
重大度スコア:中
13.予約パッケージ
プラグイン:予約パッケージ
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:1.5.11
重大度スコア:中
14.いいねボタンの評価
プラグイン:いいねボタンの評価
脆弱性:電子メールおよびIPアドレスへの不正な投票のエクスポート開示
バージョンでパッチが適用されました:2.6.38
重大度スコア:高
15.カルデラフォーム
プラグイン: Caldera Forms
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンのパッチ:1.9.5
重大度スコア:低
16.スターターテンプレート
プラグイン:スターターテンプレート
脆弱性:保存されたXSSへのContributor+ブロックのインポート
バージョンでパッチが適用されました:2.7.1
重大度スコア:高
17.お問い合わせフォームEメール
プラグイン:お問い合わせフォームメール
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:1.3.25
重大度スコア:低
18.ビデオギャラリー–VimeoおよびYouTubeギャラリー
プラグイン:ビデオギャラリー–VimeoおよびYouTubeギャラリー
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンのパッチ:1.1.5
重大度スコア:低
19.WordPressの人気のある投稿
プラグイン: WordPressの人気のある投稿
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:5.3.4
重大度スコア:低
脆弱なプラグインやテーマからWordPressウェブサイトを保護する方法
このレポートからわかるように、多くの新しいWordPressプラグインとテーマの脆弱性が毎週公開されています。 報告されたすべての脆弱性の開示を把握するのは難しい場合があるため、iThemes Security Proプラグインを使用すると、既知の脆弱性を持つテーマ、プラグイン、またはWordPressコアバージョンがサイトで実行されていないことを簡単に確認できます。
1. iThemesSecurityProプラグインをインストールします
iThemes Security Proプラグインは、Webサイトがハッキングされる最も一般的な方法に対してWordPressサイトを強化します。 1つの使いやすいプラグインでサイトを保護する30以上の方法があります。
2.サイトスキャンを有効にして、既知の脆弱性をチェックします
iThemes Security Proのバージョン管理機能は、サイトスキャンと統合してサイトを保護します。 脆弱なテーマ、プラグイン、WordPressコアバージョンは自動的に更新されます。
3.ファイルの変更を監視する
セキュリティ違反をすばやく発見するための鍵は、Webサイト上のファイルの変更を監視することです。 iThemes Security Proのファイル変更検出機能は、Webサイトのファイルをスキャンし、Webサイトで変更が発生したときに警告を発します。
24時間年中無休のWebサイトセキュリティ監視でiThemesSecurityProを入手
WordPressセキュリティプラグインであるiThemesSecurityProは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードの適用などを使用すると、Webサイトにセキュリティの層を追加できます。