WordPressの脆弱性レポート:2021年12月、パート1
公開: 2021-12-02脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 WPScanを利用した毎週のWordPress脆弱性レポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明しています。
各脆弱性の重大度は、低、中、高、または重大です。 脆弱性の責任ある開示と報告は、WordPressコミュニティを安全に保つための不可欠な部分です。
この投稿を友達と共有して、WordPressをより安全に伝えてください。
WordPressホスティング:GoDaddyがハッキングされました
GoDaddyは、2021年11月21日に公開されたセキュリティ開示で、ハッカーがマネージドWordPressホスティングプラットフォームにアクセスした後、最大120万人のアクティブおよび非アクティブな顧客が公開されたと述べています。
最近のGoDaddyハックの詳細、それが顧客に与える影響、およびGoDaddyでWordPressホスティングの顧客である場合の対処方法に関する推奨事項のいくつかを解凍するための投稿を作成しました。
WordPressコアの脆弱性
WordPressコアの最新バージョンは5.8.2です。 ベストプラクティスとして、常に最新バージョンのWordPressコアを実行してください。
WordPressプラグインの脆弱性
このセクションでは、最新のWordPressプラグインの脆弱性が公開されています。 各プラグインのリストには、脆弱性の種類、パッチが適用されている場合のバージョン番号、および重大度の評価が含まれています。
1.ロゴカルーセル
プラグイン:ロゴカルーセル
脆弱性:Contributor+保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:3.4.2
重大度スコア:中
プラグイン:ロゴカルーセル
脆弱性:不正なプライベート投稿アクセス
バージョンでパッチが適用されました:3.4.2
重大度スコア:中
2.NiWooCommerceカスタムオーダーステータス
プラグイン: NiWooCommerceカスタムオーダーステータス
脆弱性:サブスクライバー+SQLインジェクション
バージョンのパッチ:1.9.7
重大度スコア:高
3. WCFM
プラグイン: WCFM
脆弱性:認証されていないSQLインジェクション
バージョンでパッチが適用されました:3.4.12
重大度スコア:高
4.エベレストフォーム
プラグイン:エベレストフォーム
脆弱性:反映されたクロスサイトスクリプティング
バージョンのパッチ:1.8.0
重大度スコア:中
5. WP訪問者統計(リアルタイムトラフィック)
プラグイン: WP訪問者統計(リアルタイムトラフィック)
脆弱性:サブスクライバー+SQLインジェクション
バージョンでパッチが適用されました:4.8
重大度スコア:高
6.賞賛の寄付
プラグイン: Kudos寄付
脆弱性:CSRFによる任意のアイテムの削除
バージョンでパッチが適用されました:3.1.2
重大度スコア:高
7.アイスグラム
プラグイン: Icegram
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:2.0.5
重大度スコア:中
8. Blog2Social
プラグイン: Blog2Social
脆弱性:反映されたクロスサイトスクリプティング
バージョンのパッチ:6.8.7
重大度スコア:高
9.有料会員プロ
プラグイン:有料メンバーシッププロ
脆弱性:反映されたクロスサイトスクリプティング
バージョンのパッチ:2.6.6
重大度スコア:高
10.WPFrontユーザーロールエディター
プラグイン: WPFrontユーザーロールエディター
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:3.2.1.11184
重大度スコア:中
11.ティッケラ
プラグイン: Tickera
脆弱性:認証されていない保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:3.4.8.3
重大度スコア:高
12.WPグッピー
プラグイン: WPグッピー
脆弱性:機密情報の開示
バージョン:1.3でパッチが適用されました
重大度スコア:高
13.シンプルなJWTログイン
プラグイン:シンプルなJWTログイン
脆弱性:安全でないパスワードの作成
バージョンでパッチが適用されます:3.3.0
重大度スコア:低
14. myCRED
プラグイン: myCRED
脆弱性:反映されたクロスサイトスクリプティング
バージョンのパッチ:1.7.8
重大度スコア:高
15.私のWPを隠す
プラグイン:私のWPを隠す
脆弱性:認証されていないプラグインの非アクティブ化
バージョンのパッチ:6.2.4
重大度スコア:中
プラグイン:私のWPを隠す
脆弱性:認証されていないSQLインジェクション
バージョンのパッチ:6.2.4
重大度スコア:高
16.素晴らしいサポート– WordPressヘルプデスク&サポートプラグイン
プラグイン:素晴らしいサポート– WordPressヘルプデスク&サポートプラグイン
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました: 6.0.7
重大度スコア:高
17.投稿メタデータを表示する
プラグイン:投稿メタデータを表示する
脆弱性:Contributor+保存されたクロスサイトスクリプティング
バージョンでパッチが適用されます:1.5.0
重大度スコア:中
18.フローティングソーシャルメディアアイコン
プラグイン:フローティングソーシャルメディアアイコン
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:低
19.Gwolleゲストブック
プラグイン: Gwolleゲストブック
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されます:4.2.0
重大度スコア:中
脆弱なプラグインやテーマからWordPressウェブサイトを保護する方法
このレポートからわかるように、多くの新しいWordPressプラグインとテーマの脆弱性が毎週公開されています。 報告されたすべての脆弱性の開示を把握するのは難しい場合があるため、iThemes Security Proプラグインを使用すると、既知の脆弱性を持つテーマ、プラグイン、またはWordPressコアバージョンがサイトで実行されていないことを簡単に確認できます。
1. iThemesSecurityProプラグインをインストールします
iThemes Security Proプラグインは、Webサイトがハッキングされる最も一般的な方法に対してWordPressサイトを強化します。 1つの使いやすいプラグインでサイトを保護する30以上の方法があります。
2.サイトスキャンを有効にして、既知の脆弱性をチェックします
iThemes Security Proのバージョン管理機能は、サイトスキャンと統合してサイトを保護します。 脆弱なテーマ、プラグイン、WordPressコアバージョンは自動的に更新されます。
3.ファイル変更検出をアクティブにします
セキュリティ違反をすばやく発見するための鍵は、Webサイト上のファイルの変更を監視することです。 iThemes Security Proのファイル変更検出機能は、Webサイトのファイルをスキャンし、Webサイトで変更が発生したときに警告を発します。
24時間年中無休のWebサイトセキュリティ監視でiThemesSecurityProを入手
WordPressセキュリティプラグインであるiThemesSecurityProは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードの適用などを使用すると、Webサイトにセキュリティの層を追加できます。
