WordPressの脆弱性レポート:2022年1月、パート1
公開: 2022-01-06脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 WPScanを利用した毎週のWordPress脆弱性レポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明しています。
各脆弱性の重大度は、低、中、高、または重大です。 脆弱性の責任ある開示と報告は、WordPressコミュニティを安全に保つための不可欠な部分です。 このレポートの新機能:脆弱性は、開示日ではなく、アクティブなインストールの数の順にリストされるようになりました。
この投稿を友達と共有して、WordPressを誰にとっても安全なものにし、情報を広めるのに役立ててください。
2021年のWordPress脆弱性レポートの要約:1,263件の脆弱性が開示されました。 98%プラグイン
- 2021年には、合計1,263件のプラグインとテーマの脆弱性が公開されました。 WordPressプラグインの脆弱性は、報告されたすべての脆弱性の98%を占めていました。
- 2021年9月に最も多くの脆弱性が報告され、その月だけで合計323件の脆弱性が開示されました。
- 2021年に開示されたプラグインの脆弱性の最も一般的なタイプは、クロスサイトスクリプティング(XSS)とSQLインジェクションでした。 ほとんどのプラグイン作成者はパッチをリリースしましたが、一部のプラグインはまだ閉じたままです。
- 脆弱性の開示が増加したため、脆弱性レポートの頻度を月に2回ではなく、週に1回に変更しました。
- フィードバックのおかげで、プラグインの開示を順番に、またはアクティブなインストールで一覧表示することも開始しました。 また、プラグインを無料とプロでグループ化することも開始しました。クローズドプラグインと既知の修正がないプラグイン用に別々のセクションがあります。
WordPressコアの脆弱性
WordPressコアの最新バージョンは5.8.2です。 ベストプラクティスとして、常に最新バージョンのWordPressコアを実行してください。
WordPressプラグインの脆弱性
このセクションでは、最新のWordPressプラグインの脆弱性が公開されています。 各プラグインのリストには、脆弱性の種類、アクティブなインストール、パッチが適用されている場合のバージョン番号、および重大度の評価が含まれています。
1. UpdraftPlus
プラグイン: UpdraftPlus
脆弱性:反映されたクロスサイトスクリプティング
アクティブインストール:300万以上
バージョンのパッチ:1.16.569
重大度スコア:高
プラグイン: UpdraftPlus
脆弱性:Admin+に保存されたクロスサイトスクリプティング
アクティブインストール:300万以上
バージョンのパッチ:1.6.59
重大度スコア:低
プラグイン: UpdraftPlus
脆弱性:Admin+ローカルファイルインクルード
アクティブインストール:300万以上
バージョンのパッチ:1.16.59
重大度スコア:中
2.メディア用WebPコンバーター
プラグイン:メディア用WebPコンバーター
脆弱性:認証されていないオープンリダイレクト
アクティブインストール:100,000以上
バージョンでパッチが適用されました:4.0.3
重大度スコア:中
3. WOOF –WooCommerceの製品フィルター
プラグイン: WOOF –WooCommerceの製品フィルター
脆弱性:反映されたクロスサイトスクリプティング
アクティブインストール:100,000以上
バージョンのパッチ:1.2.6.3
重大度スコア:高
4. LearnPress
プラグイン: LearnPress
脆弱性:Admin+に保存されたクロスサイトスクリプティング
アクティブインストール:100,000以上
バージョンでパッチが適用されました:4.1.3.2
重大度スコア:中
5.WP投稿ページのクローン
プラグイン: WP投稿ページのクローン
脆弱性:不正な投稿アクセス
アクティブインストール:80,000以上
バージョンでパッチが適用されました:1.2
重大度スコア:中
6.WP追加ファイルタイプ
プラグイン: WPエクストラファイルタイプ
脆弱性:保存されたクロスサイトスクリプティングに対するCSRF
アクティブインストール:50,000以上
バージョンでパッチが適用されました:0.5.1
重大度スコア:高
7.家庭教師LMS
プラグイン: Tutor LMS
脆弱性:サブスクライバー+保存されたクロスサイトスクリプティング
アクティブインストール:40,000以上
バージョンのパッチ:1.9.12
重大度スコア:高
プラグイン: Tutor LMS
脆弱性:反映されたクロスサイトスクリプティング
アクティブインストール:40,000以上
バージョンのパッチ:1.9.12
重大度スコア:高
8.カスタムダッシュボードとログインページ
プラグイン:カスタムダッシュボードとログインページ
脆弱性:Admin+に保存されたクロスサイトスクリプティング
アクティブインストール:40,000以上
バージョン:7.0でパッチが適用されました
重大度スコア:中
9.究極のFAQ
プラグイン: Ultimate FAQ
脆弱性:サブスクライバー+任意のFAQの作成
アクティブインストール:30,000以上
バージョンでパッチが適用されました:2.1.2
重大度スコア:中
10.WPユーザーフロントエンド
プラグイン: WPユーザーフロントエンド
脆弱性:反映されたクロスサイトスクリプティングへのSQLインジェクション
アクティブインストール:30,000以上
バージョンでパッチが適用されました:3.5.26
重大度スコア:高
11. myCred
プラグイン: myCred
脆弱性:反映されたクロスサイトスクリプティング
アクティブインストール:20,000以上
バージョンでパッチが適用されました:2.4
重大度スコア:高
12.画像ホバー効果Ultimate
プラグイン: Image Hover Effects Ultimate
脆弱性:反映されたクロスサイトスクリプティング
アクティブインストール:20,000以上
バージョンのパッチ:9.7.1
重大度スコア:高
13. Qubely
プラグイン: Qubely
脆弱性:サブスクライバー+任意のFAQの作成
アクティブインストール:10,000以上
バージョンのパッチ:1.7.8
重大度スコア:中
14.登録マジック
プラグイン:登録マジック
脆弱性:反映されたクロスサイトスクリプティング
アクティブインストール:10,000以上
バージョンのパッチ:5.0.1.9
重大度スコア:高
15.WooCommerceの注文追跡
プラグイン: WooCommerceの注文追跡
脆弱性:反映されたクロスサイトスクリプティング
アクティブインストール:10,000以上
バージョンのパッチ:1.1.10
重大度スコア:高
16.リンクライブラリ
プラグイン:リンクライブラリ
脆弱性:反映されたクロスサイトスクリプティング
アクティブインストール:10,000以上
バージョンでパッチが適用されます:7.2.8
重大度スコア:中
プラグイン:リンクライブラリ
脆弱性:ライブラリ設定がCSRFを介してリセットされる
アクティブインストール:10,000以上
バージョンでパッチが適用されます:7.2.8
重大度スコア:中
プラグイン:リンクライブラリ
脆弱性:認証されていない任意のリンクの削除
アクティブインストール:10,000以上
バージョンでパッチが適用されます:7.2.8
重大度スコア:中
17.AFコンパニオン
プラグイン: AFコンパニオン
脆弱性:CSRFを介した任意のプラグインのインストールとアクティベーション
アクティブインストール:9,000以上
バージョンのパッチ:1.2.0
重大度スコア:高
18.KNR作成者リストウィジェット
プラグイン: KNR作成者リストウィジェット
脆弱性:認証されていないSQLインジェクション
アクティブインストール:200以上
バージョンでパッチが適用されます:3.0.0
重大度スコア:クリティカル
19.WPCookieユーザー情報
プラグイン: WPCookieユーザー情報
脆弱性:Admin+SQLインジェクション
アクティブインストール:200以上
バージョンでパッチが適用されます:1.0.9
重大度スコア:中
WordPressプラグインの脆弱性:プラグインがクローズされました
このセクションでは、最新のWordPressプラグインの脆弱性がクローズドプラグインで公開されています。 各プラグインのリストには、脆弱性の種類、重大度の評価、および閉鎖の日付が含まれています。
20. LabTools
プラグイン: LabTools
脆弱性:サブスクライバー+任意のパブリケーションの削除
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:中
21.ドメインチェック
プラグイン:ドメインチェック
脆弱性:反映されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:高
22.エラーログビューア
プラグイン:エラーログビューア
脆弱性:CSRFを介した任意のテキストファイルの削除
バージョンにパッチが適用されています: 既知の修正はありません–プラグインは閉じられています
重大度スコア:低
23.WP訪問国がリロードされました
プラグイン: WP訪問国がリロードされました
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:3.1.1-プラグインが閉じられました
重大度スコア:高
24.学習コース
プラグイン:学習コース
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョン:5.0でパッチが適用されました–プラグインは閉じられました
重大度スコア:低
25.完璧な調査
プラグイン:完璧な調査
脆弱性:保存されたXSSへの不正なAJAX呼び出し/調査設定の更新
バージョンでパッチが適用されました:1.5.2 –プラグインが閉じられました
重大度スコア:高
プラグイン:完璧な調査
脆弱性:保存されたXSSへの不正なAJAX呼び出し/調査設定の更新
バージョンでパッチが適用されました:1.5.2 –プラグインが閉じられました
重大度スコア:高
プラグイン:完璧な調査
脆弱性:認証されていないSQLインジェクション
バージョンでパッチが適用されました:1.5.2 –プラグインが閉じられました
重大度スコア:高
プラグイン:完璧な調査
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:1.5.2 –プラグインが閉じられました
重大度スコア:高
プラグイン:完璧な調査
脆弱性:認証されていない保存されたクロスサイトスクリプティング
バージョンにパッチが適用されています: 既知の修正はありません–プラグインは閉じられています
重大度スコア:高
WordPressプラグインの脆弱性:既知の修正はありません
このセクションでは、最新のWordPressプラグインの脆弱性がクローズドプラグインで公開されています。 各プラグインのリストには、脆弱性の種類、重大度の評価、および閉鎖の日付が含まれています。
26.メディアマティック
プラグイン: Mediamatic
脆弱性:サブスクライバー+SQLインジェクション
アクティブインストール:3,000以上
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:高
脆弱なプラグインやテーマからWordPressウェブサイトを保護する方法
このレポートからわかるように、多くの新しいWordPressプラグインとテーマの脆弱性が毎週公開されています。 報告されたすべての脆弱性の開示を把握するのは難しい場合があるため、iThemes Security Proプラグインを使用すると、既知の脆弱性を持つテーマ、プラグイン、またはWordPressコアバージョンがサイトで実行されていないことを簡単に確認できます。
1. iThemesSecurityProプラグインをインストールします
iThemes Security Proプラグインは、Webサイトがハッキングされる最も一般的な方法に対してWordPressサイトを強化します。 1つの使いやすいプラグインでサイトを保護する30以上の方法があります。
2.サイトスキャンを有効にして、既知の脆弱性をチェックします
iThemes Security Proのバージョン管理機能は、サイトスキャンと統合してサイトを保護します。 脆弱なテーマ、プラグイン、WordPressコアバージョンは自動的に更新されます。
3.ファイル変更検出をアクティブにします
セキュリティ違反をすばやく発見するための鍵は、Webサイト上のファイルの変更を監視することです。 iThemes Security Proのファイル変更検出機能は、Webサイトのファイルをスキャンし、Webサイトで変更が発生したときに警告を発します。
24時間年中無休のWebサイトセキュリティ監視でiThemesSecurityProを入手
WordPressセキュリティプラグインであるiThemesSecurityProは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードの適用などを使用すると、Webサイトにセキュリティの層を追加できます。
