WordPressの脆弱性レポート:2021年10月、パート4
公開: 2021-10-27脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 WPScanを利用した毎週のWordPress脆弱性レポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明しています。
各脆弱性の重大度は、低、中、高、または重大です。 脆弱性の責任ある開示と報告は、WordPressコミュニティを安全に保つための不可欠な部分です。
この投稿を友達と共有して、WordPressをより安全に伝えてください。
WordPressコアの脆弱性
WordPressコアの最新バージョンは5.8.1で、セキュリティとメンテナンスのリリースとしてリリースされました。 ベストプラクティスとして、常に最新バージョンのWordPressコアを実行してください。
WordPressプラグインの脆弱性
このセクションでは、最新のWordPressプラグインの脆弱性が公開されています。 各プラグインのリストには、脆弱性の種類、パッチが適用されている場合のバージョン番号、および重大度の評価が含まれています。
1.共有ファイル
プラグイン:共有ファイル
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンのパッチ:1.6.61
重大度スコア:低
2.QRリダイレクター
プラグイン: QRリダイレクター
脆弱性:Contributor+保存されたクロスサイトスクリプティング
バージョンのパッチ:1.6.1
重大度スコア:中
プラグイン: QRリダイレクター
脆弱性:サブスクライバー+任意のQRリダイレクト応答ステータスの更新
バージョンのパッチ:1.6
重大度スコア:中
3.MouseWheelスムーズスクロール
プラグイン: MouseWheel Smooth Scroll
脆弱性:CSRFを介したプラグインの設定の更新
バージョンでパッチが適用されました:5.7
重大度スコア:中
4.ページを挿入します
プラグイン:ページを挿入
脆弱性:Contributor+任意の投稿/ページへのアクセス
バージョンでパッチが適用されます:3.7.0
重大度スコア:中
プラグイン:ページを挿入
脆弱性:Contributor+保存されたクロスサイトスクリプティング
バージョンでパッチが適用されます:3.7.0
重大度スコア:中
5.SEOリダイレクト
プラグイン: SEOリダイレクト
脆弱性:サブスクライバー+SQLインジェクション
バージョンでパッチが適用されました:8.2
重大度スコア:高
6.ペイパルの寄付
プラグイン: Paypal寄付
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されます:1.3.2
重大度スコア:低
7.IDXBroker用のIMPress
プラグイン: IMPress for IDX Broker
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:3.0.6
重大度スコア:高
8.シンプルなJWTログイン
プラグイン:シンプルなJWTログイン
脆弱性:CSRFを介したサイトテイクオーバーへの任意の設定の更新
バージョンでパッチが適用されました:3.2.1
重大度スコア:高
9.私のチケット
プラグイン:マイチケット
脆弱性:サブスクライバー+SQLインジェクション
バージョンのパッチ:1.8.31
重大度スコア:高
10.スプラウト請求書によるクライアント請求
プラグイン:スプラウト請求書によるクライアント請求
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンのパッチ:19.9.7
重大度スコア:低
11.メールログ
プラグイン:メールログ
脆弱性:Admin+SQLインジェクション
バージョンのパッチ:2.4.7
重大度スコア:中
12.WPパフォーマンススコアブースター
プラグインWPパフォーマンススコアブースター
脆弱性:CSRFによる設定変更
バージョンでパッチが適用されました:2.1
重大度スコア:中
13.ActiveDirectory統合/LDAP統合
プラグイン: ActiveDirectory統合/LDAP統合
脆弱性:サブスクライバー+SQLインジェクション
バージョンでパッチが適用されました:3.6.95
重大度スコア:高
14. TableOn
プラグイン: TableOn
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されます:1.0.1
重大度スコア:中
15.レスポンシブ画像スライダー、フォトギャラリー、カルーセル
プラグイン:レスポンシブ画像スライダー、フォトギャラリー、カルーセル
脆弱性:CSRFを介したスライダーのクローン/保存/削除
バージョンでパッチが適用されます:1.3.2
重大度スコア:中
プラグイン:レスポンシブ画像スライダー、フォトギャラリー、カルーセル
脆弱性:サブスクライバー+任意の投稿アクセス
バージョンでパッチが適用されます:1.3.6
重大度スコア:中
16.WPサイトマップページ
プラグイン: WPサイトマップページ
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンのパッチ:1.7.0
重大度スコア:低
17.ストリーム
プラグイン:ストリーム
脆弱性:Admin+SQLインジェクション
バージョンでパッチが適用されました:3.8.2
重大度スコア:中
18.役に立った
プラグイン:役に立ちました
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:4.4.59
重大度スコア:低
19. LearnPress
プラグイン: LearnPress
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:4.1.3.2
重大度スコア:低
20.コンテンツのステージング
プラグイン:コンテンツステージング
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:低
21.漏れのあるペイウォール
プラグイン: Leaky Paywall
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:低
22.家庭教師LMS
プラグイン: Tutor LMS
脆弱性:反映されたクロスサイトスクリプティング
バージョンのパッチ:1.9.11
重大度スコア:中
23.スリックスライダー付きロゴショーケース
プラグイン: SlickSliderを使用したロゴショーケース
脆弱性:Author+に保存されたクロスサイトスクリプティング
バージョンのパッチ:1.2.4
重大度スコア:中
24.手ごわいフォームビルダー
プラグイン:手ごわいフォームビルダー
脆弱性:認証されていない保存されたクロスサイトスクリプティング
バージョンのパッチ:4.09.05
重大度スコア:低
25.プラグインをダウンロード
プラグイン:プラグインをダウンロード
脆弱性:サブスクライバー+任意のプラグインのアクティブ化
バージョンのパッチ:1.6.1
重大度スコア:中
26.WebPへの画像
プラグイン: WebPへの画像
脆弱性:複数のクロスサイトリクエストフォージェリ(CSRF)
バージョンでパッチが適用されました:1.9
重大度スコア:中
プラグイン: WebPへの画像
脆弱性:認証されたローカルファイルインクルード
バージョンでパッチが適用されました:1.9
重大度スコア:低
27. MStore API
プラグイン: MStore API
脆弱性:認証されていないPHPファイルのアップロード
バージョンでパッチが適用されます:3.4.5
重大度スコア:クリティカル
28.簡単なデジタルダウンロード
プラグイン:簡単なデジタルダウンロード
脆弱性:反映されたクロスサイトスクリプティング
バージョンのパッチ:2.11.2.1
重大度スコア:高
29. Advanced Access Manager
プラグイン: Advanced Access Manager
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンのパッチ:6.8.0
重大度スコア:低
30.YOP世論調査
プラグイン: YOP投票
脆弱性:反映されたクロスサイトスクリプティング
バージョンのパッチ:6.1.2
重大度スコア:中
31.WP添付ファイルのエクスポート
プラグイン: WP添付ファイルのエクスポート
脆弱性:認証されていない投稿のダウンロード
バージョンでパッチが適用されました:0.2.4
重大度スコア:高
32.投稿のコンテンツテキストスライダー
プラグイン:投稿のコンテンツテキストスライダー
脆弱性:Authenticated Stored Cross-Site Scripting(XSS)
バージョンでパッチが適用されました:6.9
重大度スコア:中
33.アイスグラム
プラグイン: Icegram
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:2.0.3
重大度スコア:低
34. BetterLinks
プラグイン: BetterLinks
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンのパッチ:1.2.6
重大度スコア:低
35. LearnDash
プラグイン: LearnDash
脆弱性:認証されていない任意のファイルのアップロード
バージョンのパッチ:2.5.4
重大度スコア:クリティカル
36. ImageBoss
プラグイン: ImageBoss
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:3.0.6
重大度スコア:低
37.フォミネーター
プラグイン: Forminator
脆弱性:管理者+保存されたクロスサイトスクリプティング
バージョンのパッチ:1.2.4
重大度スコア:低
38.MPL-パブリッシャー
プラグイン: MPL-パブリッシャー
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:1.30.4
重大度スコア:低
39.Elementor
プラグイン: Elementor
脆弱性:DOMクロスサイトスクリプティング
バージョンでパッチが適用されました:3.1.4
重大度スコア:中
40.生意気なソーシャルシェア
プラグイン: Sassy Social Share
脆弱性:PHPオブジェクトインジェクションへのアクセス制御の欠如
バージョンでパッチが適用されました:3.3.24
重大度スコア:中
41.パイレジスター
プラグイン: Pie Register
脆弱性:オープンリダイレクト
バージョンでパッチが適用されました:3.7.2.4
重大度スコア:中
42.高度なフォーム
プラグイン:高度なフォーム
脆弱性:IDORを介したサブスクライバー+任意のユーザーの電子メールアドレスの更新
バージョンのパッチ:1.6.9
重大度スコア:高
プラグイン: Advanced Forms Pro
脆弱性:IDORを介したサブスクライバー+任意のユーザーの電子メールアドレスの更新
バージョンのパッチ:1.6.9
重大度スコア:高
43.キャッチテーマのデモインポート
プラグイン: Catch Themes Demo Import
脆弱性:Admin+任意のファイルのアップロード
バージョンのパッチ:1.8
重大度スコア:クリティカル
44.シンプルな求人掲示板
プラグイン:シンプルな求人掲示板
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンのパッチ:2.9.5
重大度スコア:低
45.アイボリー検索
プラグイン:アイボリー検索
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:4.7
重大度スコア:高
46.エイジゲート
プラグイン: Age Gate
脆弱性:認証された保存済みクロスサイトスクリプティング
バージョンのパッチ:2.16.4
重大度スコア:クリティカル
脆弱なプラグインやテーマからWordPressウェブサイトを保護する方法
このレポートからわかるように、多くの新しいWordPressプラグインとテーマの脆弱性が毎週公開されています。 報告されたすべての脆弱性の開示を把握するのは難しい場合があるため、iThemes Security Proプラグインを使用すると、既知の脆弱性を持つテーマ、プラグイン、またはWordPressコアバージョンがサイトで実行されていないことを簡単に確認できます。
1.既知のWebサイトの脆弱性をスキャンします
iThemes Security Proプラグインは、WordPressサイトがハッキングされる最大の理由をスキャンします。古いプラグインと既知の脆弱性を持つテーマです。
2.安全なバージョンへの自動更新
iThemes Security Proのバージョン管理機能は、サイトスキャンと統合してサイトを保護します。 脆弱なテーマ、プラグイン、WordPressコアバージョンは自動的に更新されます。
3.ファイルの変更を監視する
セキュリティ違反をすばやく発見するための鍵は、Webサイト上のファイルの変更を監視することです。 iThemes Security Proのファイル変更検出機能は、Webサイトのファイルをスキャンし、Webサイトで変更が発生したときに警告を発します。
24時間年中無休のWebサイト監視でiThemesSecurityProを入手
WordPressセキュリティプラグインであるiThemesSecurityProは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードの適用などを使用すると、Webサイトにセキュリティの層を追加できます。