WordPressの脆弱性レポート:2021年11月、パート4
公開: 2021-11-25脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 WPScanを利用した毎週のWordPress脆弱性レポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明しています。
各脆弱性の重大度は、低、中、高、または重大です。 脆弱性の責任ある開示と報告は、WordPressコミュニティを安全に保つための不可欠な部分です。
この投稿を友達と共有して、WordPressをより安全に伝えてください。
WordPressホスティング:GoDaddyがハッキングされました
GoDaddyは、2021年11月21日に公開されたセキュリティ開示で、ハッカーがマネージドWordPressホスティングプラットフォームにアクセスした後、最大120万人のアクティブおよび非アクティブな顧客が公開されたと述べています。
最近のGoDaddyハックの詳細、それが顧客に与える影響、およびGoDaddyでWordPressホスティングの顧客である場合の対処方法に関する推奨事項のいくつかを解凍するための投稿を作成しました。
WordPressコアの脆弱性
WordPressコアの最新バージョンは5.8.2です。 ベストプラクティスとして、常に最新バージョンのWordPressコアを実行してください。
WordPressプラグインの脆弱性
このセクションでは、最新のWordPressプラグインの脆弱性が公開されています。 各プラグインのリストには、脆弱性の種類、パッチが適用されている場合のバージョン番号、および重大度の評価が含まれています。
1. Pixel Cat Lite
プラグイン: Pixel Cat Lite
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンのパッチ:2.6.3
重大度スコア:低
プラグイン: Pixel Cat Lite
脆弱性:保存されたクロスサイトスクリプティングに対するCSRF
バージョンのパッチ:2.6.2
重大度スコア:高
2.オールインワンギャラリー
プラグイン:オールインワンギャラリー
脆弱性:Admin+ローカルファイルインクルード
バージョンでパッチが適用されます:2.5.0
重大度スコア:低
3. StopBadBots
プラグイン: StopBadBots
脆弱性:反映されたクロスサイトスクリプティング
バージョンのパッチ:6.67
重大度スコア:クリティカル
4.パスワードなしの一時ログイン
プラグイン:パスワードなしの一時ログイン
脆弱性:Subscriber+プラグインの設定の更新
バージョンのパッチ:1.7.1
重大度スコア:中
5. ProfilePress
プラグイン: ProfilePress
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:3.2.3
重大度スコア:中
プラグイン: ProfilePress
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:3.2.3
重大度スコア:高
6.現代のイベントカレンダー
プラグイン:モダンイベントカレンダー
脆弱性:認証されていないブラインドSQLインジェクション
バージョンのパッチ:6.1.5
重大度スコア:高
プラグイン:モダンイベントカレンダー
脆弱性:反映されたクロスサイトスクリプティング
バージョンのパッチ:6.1.5
重大度スコア:高
7.自動注目画像
プラグイン:自動注目画像
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:3.9.3
重大度スコア:中
8.究極のNoFollow
プラグイン: Ultimate NoFollow
脆弱性:Contributor+保存されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:中
9.NEX-フォーム
プラグイン: NEX-Forms
脆弱性:複数のAdmin+に保存されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:低
10.SEOブースター
プラグイン: SEOブースター
脆弱性:Admin+SQLインジェクション
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:中
11.WPシステムログ
プラグイン: WPシステムログ
脆弱性:認証されていない保存されたクロスサイトスクリプティング
バージョンのパッチ:1.0.21
重大度スコア:クリティカル
12.心に強く訴える引用ローテーター
プラグイン: Inspirational Quote Rotator
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンにパッチが適用されています: 既知の修正はありません–プラグインは閉じられています
重大度スコア:低
13.シングルポストエクスポーター
プラグイン:シングルポストエクスポーター
脆弱性:CSRFを介したプラグインの設定の更新
バージョンにパッチが適用されています: 既知の修正はありません–プラグインは閉じられています
重大度スコア:中
14.Flexローカルフォント
プラグイン: Flexローカルフォント
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンにパッチが適用されています: 既知の修正はありません–プラグインは閉じられています
重大度スコア:低
15.WP管理者ロゴチェンジャー
プラグイン: WP Admin Logo Changer
脆弱性:CSRFを介したプラグインの設定の更新
バージョンにパッチが適用されています: 既知の修正はありません–プラグインは閉じられています
重大度スコア:中
16.お問い合わせフォームアドバンストデータベース
プラグイン: Contact Form Advanced Database
脆弱性:不正なAJAX呼び出し
バージョンでパッチが適用されました: 既知の修正はありません
重大度スコア:中
17.光沢のあるボタン
プラグイン:光沢のあるボタン
脆弱性:認証されていない保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました: 既知の修正はありません
重大度スコア:高
18.フィルターポートフォリオギャラリー
プラグイン:フィルターポートフォリオギャラリー
脆弱性:CSRFによる任意のギャラリーの削除
バージョンでパッチが適用されました: 既知の修正はありません
重大度スコア:中
19.WPの制限
プラグイン: WP制限
脆弱性:CSRFを介したプラグインの設定の更新
バージョンでパッチが適用されました: 既知の修正はありません
重大度スコア:中
20.ページ/投稿コンテンツのショートコード
プラグイン:ページ/投稿コンテンツのショートコード
脆弱性:Contributor+任意の投稿/ページへのアクセス
バージョンでパッチが適用されました: 既知の修正はありません
重大度スコア:中
21.インクルードページの改善
プラグイン:インクルードページの改善
脆弱性:Contributor+任意の投稿/ページへのアクセス
バージョンでパッチが適用されました: 既知の修正はありません
重大度スコア:中
22.メディアマティック
プラグイン: Mediamatic
脆弱性:サブスクライバー+SQLインジェクション
バージョンでパッチが適用されました: 既知の修正はありません
重大度スコア:高
23.投稿メタデータを表示する
プラグイン:投稿メタデータを表示する
脆弱性:Contributor+保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました: 既知の修正はありません
重大度スコア:中
24.ToTopリンク
プラグイン: ToTop Link
脆弱性:認証されていないPHPオブジェクトインジェクション
バージョンでパッチが適用されました: 既知の修正はありません
重大度スコア:中
25.ユーザーメタショートコード
プラグイン:ユーザーメタショートコード
脆弱性:Contributor+不正な任意のユーザーメタデータアクセス
バージョンでパッチが適用されました: 既知の修正はありません
重大度スコア:高
26.引用コレクション
プラグイン:引用コレクション
脆弱性:Admin+SQLインジェクション
バージョンでパッチが適用されました: 既知の修正はありません
重大度スコア:中
27. WordPress(Lite)のプッシュ通知
プラグイン: WordPress(Lite)のプッシュ通知
脆弱性:CSRFによる設定の更新
バージョンでパッチが適用されました:6.0.1
重大度スコア:中
28. SportsPress
プラグイン: SportsPress
脆弱性:反映されたクロスサイトスクリプティング
バージョンのパッチ:2.7.9
重大度スコア:高
29.ログイン/サインアップポップアップ
プラグイン:ログイン/サインアップポップアップ
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:2.2
重大度スコア:高
30.WooCommerceのプレビューEメール
プラグイン: WooCommerceのプレビューEメール
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されます:2.0.0
重大度スコア:中
31.WPユーザーフロントエンド
プラグイン: WPユーザーフロントエンド
脆弱性:WordPressのメンバーシップ、プロファイル、登録、投稿後のプラグイン
バージョンでパッチが適用されました:3.5.25
重大度スコア:中
32.ディレクター–ビジネスディレクトリプラグイン
プラグイン: Directorist –BusinessDirectoryプラグイン
脆弱性:CSRFからリモートファイルへのアップロード
バージョンでパッチが適用されました:7.0.6.2
重大度スコア:クリティカル
33.簡単な登録フォーム
プラグイン:簡単な登録フォーム
脆弱性:保存されたクロスサイトスクリプティングに対するCSRF
バージョンでパッチが適用されました: 既知の修正はありません
重大度スコア:高
34.WPリセットプロ
プラグイン: WP Reset Pro
脆弱性:サブスクライバー+データベースのリセット
バージョンのパッチ:5.99
重大度スコア:クリティカル
プラグイン: WP Reset Pro
脆弱性:CSRFによるデータベースのリセット
バージョンのパッチ:5.99
重大度スコア:クリティカル
35. WordPress + Microsoft Office 365
プラグイン: WordPress + Microsoft Office 365
脆弱性:認証されていない保存されたクロスサイトスクリプティング
バージョンでパッチが適用されます:15.4
重大度スコア:クリティカル
36.重複した投稿
プラグイン:重複投稿
脆弱性:認証されたSQLインジェクション
バージョンのパッチ:1.2.0
重大度スコア:中
37.バックアップの移行
プラグイン:バックアップ移行
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンのパッチ:1.1.6
重大度スコア:中
脆弱なプラグインやテーマからWordPressウェブサイトを保護する方法
このレポートからわかるように、多くの新しいWordPressプラグインとテーマの脆弱性が毎週公開されています。 報告されたすべての脆弱性の開示を把握するのは難しい場合があるため、iThemes Security Proプラグインを使用すると、既知の脆弱性を持つテーマ、プラグイン、またはWordPressコアバージョンがサイトで実行されていないことを簡単に確認できます。
1. iThemesSecurityProプラグインをインストールします
iThemes Security Proプラグインは、Webサイトがハッキングされる最も一般的な方法に対してWordPressサイトを強化します。 1つの使いやすいプラグインでサイトを保護する30以上の方法があります。
2.サイトスキャンを有効にして、既知の脆弱性をチェックします
iThemes Security Proのバージョン管理機能は、サイトスキャンと統合してサイトを保護します。 脆弱なテーマ、プラグイン、WordPressコアバージョンは自動的に更新されます。
3.ファイルの変更を監視する
セキュリティ違反をすばやく発見するための鍵は、Webサイト上のファイルの変更を監視することです。 iThemes Security Proのファイル変更検出機能は、Webサイトのファイルをスキャンし、Webサイトで変更が発生したときに警告を発します。
24時間年中無休のWebサイトセキュリティ監視でiThemesSecurityProを入手
WordPressセキュリティプラグインであるiThemesSecurityProは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードの適用などを使用すると、Webサイトにセキュリティの層を追加できます。