WordPressの脆弱性レポート：2021年11月、パート1

公開: 2021-11-03

脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 WPScanを利用した毎週のWordPress脆弱性レポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明しています。

各脆弱性の重大度は、低、中、高、または重大です。脆弱性の責任ある開示と報告は、WordPressコミュニティを安全に保つための不可欠な部分です。

この投稿を友達と共有して、WordPressをより安全に伝えてください。

このレポートを毎週受信トレイに配信しますか？

毎週の電子メールを購読する

WordPressコアの脆弱性

WordPressコアの最新バージョンは5.8.1です。ベストプラクティスとして、常に最新バージョンのWordPressコアを実行してください。

WordPressプラグインの脆弱性

このセクションでは、最新のWordPressプラグインの脆弱性が公開されています。各プラグインのリストには、脆弱性の種類、パッチが適用されている場合のバージョン番号、および重大度の評価が含まれています。

1.レビュープラス

プラグイン：レビュープラス
脆弱性：Subscriber+レビューDoS
バージョンのパッチ：1.2.14
重大度スコア：低

この脆弱性にはパッチが適用されているため、バージョン1.2.14に更新する必要があります。

2.スライドショーギャラリー

プラグイン：スライドショーギャラリー
脆弱性：Admin+に保存されたクロスサイトスクリプティング
バージョンのパッチ：1.7.4
重大度スコア：低

この脆弱性にはパッチが適用されているため、バージョン1.7.4に更新する必要があります。

3.MainWPの子

プラグイン： MainWPチャイルド
脆弱性：Admin+SQLインジェクション
バージョンでパッチが適用されます：4.1.8
重大度スコア：中

この脆弱性にはパッチが適用されているため、バージョン4.1.8に更新する必要があります。

4.WordPress用のeコマース製品カタログ

プラグイン： WordPress用のeコマース製品カタログ
脆弱性：反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました：3.0.39
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン3.0.39に更新する必要があります。

5.WordPress用のFalang多言語

プラグイン： WordPress用のFalang多言語
脆弱性：反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました：1.3.18
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン1.3.18に更新する必要があります。

6.ビデオレッスンマネージャー

プラグイン：ビデオレッスンマネージャー
脆弱性：Admin+に保存されたクロスサイトスクリプティング
バージョンのパッチ：1.7.2
重大度スコア：低

この脆弱性にはパッチが適用されているため、バージョン1.7.2に更新する必要があります。

7.WPスペルチェック

プラグイン： WPスペルチェック
脆弱性：反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました：9.3
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン9.3に更新する必要があります。

8. eコマース–2要素認証

プラグイン： eコマース–2要素認証
脆弱性：反映されたクロスサイトスクリプティング
バージョンでパッチが適用されます：1.0.5
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン1.0.5に更新する必要があります。

9.MAZローダー

プラグイン： MAZローダー
脆弱性：CSRFを介した任意のローダーの削除
バージョンでパッチが適用されました：既知の修正はありません
重大度スコア：高

この脆弱性にはパッチが適用されていません。パッチがリリースされるまで、プラグインをアンインストールして削除します。

10.エイジゲート

プラグイン： Age Gate
脆弱性：認証されていないインポート設定
バージョンのパッチ：2.17.1
重大度スコア：クリティカル

この脆弱性にはパッチが適用されているため、バージョン2.17.1に更新する必要があります。

11.重複した投稿

プラグイン：重複投稿
脆弱性：認証されたSQLインジェクション
バージョンのパッチ：1.2.0
重大度スコア：中

この脆弱性にはパッチが適用されているため、バージョン1.2.0に更新する必要があります。

12.通知

プラグイン：通知
脆弱性：Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されます：8.0.0
重大度スコア：低

この脆弱性にはパッチが適用されているため、バージョン8.0.0に更新する必要があります。

13.接続ビジネスディレクトリ

プラグイン： Connections Business Directory
脆弱性：Admin+CSVインジェクション
バージョンでパッチが適用されました：9.7
重大度スコア：中

この脆弱性にはパッチが適用されているため、バージョン9.7に更新する必要があります。

14.メディアタグ

プラグイン：メディアタグ
脆弱性：Admin+に保存されたクロスサイトスクリプティング
バージョンにパッチが適用されています：既知の修正はありません–プラグインは閉じられています
重大度スコア：低

この脆弱性にはパッチが適用されていません。このプラグインは2021年9月28日をもって閉鎖されました。アンインストールして削除してください。

15.オーサーボックスについて

プラグイン：作成者ボックスについて
脆弱性：Contributor+保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました：1.0.2
重大度スコア：中

この脆弱性にはパッチが適用されているため、バージョン1.0.2に更新する必要があります。

16.PayPalのサブスクリプションとメンバーシップ

プラグイン： PayPalのサブスクリプションとメンバーシップ
脆弱性：ページパラメータを介した反映されたクロスサイトスクリプティング
バージョンでパッチが適用されます：1.1.3
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン1.1.3に更新する必要があります。

17.PayPalで寄付を受け入れる

プラグイン： PayPalで寄付を受け入れる
脆弱性：ページパラメータを介した反映されたクロスサイトスクリプティング
バージョンでパッチが適用されます：1.3.1
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン1.3.1に更新する必要があります。

18.簡単なPayPalイベント

プラグイン：簡単なPayPalイベント
脆弱性：ページパラメータを介した反映されたクロスサイトスクリプティング
バージョンでパッチが適用されます：1.1.2
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン1.1.2に更新する必要があります。

19.ポップアップ何でも

プラグイン：ポップアップ何でも
脆弱性：Contributor+保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました：2.0.4
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン2.0.4に更新する必要があります。

20.JSジョブマネージャー

プラグイン： JS Job Manager
脆弱性：認証されていない任意のプラグインのインストール/アクティベーション
バージョンのパッチ：1.1.9
重大度スコア：クリティカル

この脆弱性にはパッチが適用されているため、バージョン1.1.9に更新する必要があります。

21.日時の一括変更

プラグイン：一括日時変更
脆弱性：承認がありません
バージョンのパッチ：1.12
重大度スコア：中

この脆弱性にはパッチが適用されているため、バージョン1.12に更新する必要があります。

22.忍者フォーム

プラグイン： Ninja Forms
脆弱性：Admin+SQLインジェクション
バージョンでパッチが適用されました：3.6.4
重大度スコア：中

この脆弱性にはパッチが適用されているため、バージョン3.6.4に更新する必要があります。

23.WP添付ファイルのエクスポート

プラグイン： WP添付ファイルのエクスポート
脆弱性：認証されていない投稿のダウンロード
バージョンでパッチが適用されました：0.2.4
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン0.2.4に更新する必要があります。

24.投稿のコンテンツテキストスライダー

プラグイン：投稿のコンテンツテキストスライダー
脆弱性：Authenticated Stored Cross-Site Scripting（XSS）
バージョンでパッチが適用されました：6.9
重大度スコア：中

この脆弱性にはパッチが適用されているため、バージョン6.9に更新する必要があります。

25.HashThemesデモインポーター

プラグイン： HashThemesデモインポータ
脆弱性：ブログリセットへの不適切なアクセス制御
バージョンでパッチが適用されます：1.1.2
重大度スコア：クリティカル

この脆弱性にはパッチが適用されているため、バージョン1.1.2に更新する必要があります。

26.イベントカレンダーへの登録

プラグイン：イベントカレンダーの登録
脆弱性：反映されたクロスサイトスクリプティング
バージョンのパッチ：2.7.5
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン2.7.5に更新する必要があります。

27. Mang Board WP

プラグイン： Mang Board WP
脆弱性：SQLインジェクション
バージョンのパッチ：1.6.9
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン1.6.9に更新する必要があります。

28. OptinMonster

プラグイン： OptinMonster
脆弱性：保護されていないREST-APIエンドポイント
バージョンのパッチ：2.6.5
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン2.6.5に更新する必要があります。

29. NextScripts：ソーシャルネットワーク自動ポスター

プラグイン： NextScripts：Social Networks Auto-Poster
脆弱性：反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました：4.3.21
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン4.3.21に更新する必要があります。

30.スマッシュバルーンソーシャルポストフィード

プラグイン： Smash Balloon Social Post Feed
脆弱性：サブスクライバー+任意のプラグイン設定が保存されたXSSに更新されます
バージョンでパッチが適用されました：4.0.1
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン4.0.1に更新する必要があります。

31.WP-Pro-Quiz

プラグイン： WP-Pro-Quiz
脆弱性：CSRFによる任意のクイズの削除
バージョンにパッチが適用されています：既知の修正はありません–プラグインは閉じられています
重大度スコア：中

この脆弱性にはパッチが適用されていません。このプラグインは2020年7月17日をもって閉鎖されました。アンインストールして削除してください。

32.Supsysticによるお問い合わせフォーム

プラグイン： Supsysticによるお問い合わせフォーム
脆弱性：Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました：既知の修正はありません
重大度スコア：低

この脆弱性にはパッチが適用されていません。パッチがリリースされるまで、プラグインをアンインストールして削除します。

33.WP-統計

プラグイン： WP-統計
脆弱性：保存されたクロスサイトスクリプティング（XSS）に対するCSRF
バージョンのパッチ：2.52
重大度スコア：高

このプラグインは、WordPressの最新の3つのメジャーリリースではテストされていません。それはもはや維持またはサポートされていない可能性があり、WordPressのより新しいバージョンで使用すると互換性の問題が発生する可能性があります。

この脆弱性にはパッチが適用されていません。パッチがリリースされるまで、プラグインをアンインストールして削除します。

脆弱なプラグインやテーマからWordPressウェブサイトを保護する方法

このレポートからわかるように、多くの新しいWordPressプラグインとテーマの脆弱性が毎週公開されています。報告されたすべての脆弱性の開示を把握するのは難しい場合があるため、iThemes Security Proプラグインを使用すると、既知の脆弱性を持つテーマ、プラグイン、またはWordPressコアバージョンがサイトで実行されていないことを簡単に確認できます。

1. iThemesSecurityProプラグインをインストールします

iThemes Security Proプラグインは、Webサイトがハッキングされる最も一般的な方法に対してWordPressサイトを強化します。 1つの使いやすいプラグインでサイトを保護する30以上の方法があります。

2.サイトスキャンを有効にして、既知の脆弱性をチェックします

iThemes Security Proのバージョン管理機能は、サイトスキャンと統合してサイトを保護します。脆弱なテーマ、プラグイン、WordPressコアバージョンは自動的に更新されます。

3.ファイルの変更を監視する

セキュリティ違反をすばやく発見するための鍵は、Webサイト上のファイルの変更を監視することです。 iThemes Security Proのファイル変更検出機能は、Webサイトのファイルをスキャンし、Webサイトで変更が発生したときに警告を発します。

24時間年中無休のWebサイト監視でiThemesSecurityProを入手

WordPressセキュリティプラグインであるiThemesSecurityProは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードの適用などを使用すると、Webサイトにセキュリティの層を追加できます。

プラグインとテーマの脆弱性のためのサイトスキャナー
ファイル変更の検出
リアルタイムのウェブサイトセキュリティダッシュボード
WordPressのセキュリティログ
信頼できるデバイス
reCAPTCHA
ブルートフォースプロテクション
二要素認証
マジックログインリンク
特権の昇格
侵害されたパスワードのチェックと拒否

WordPressの脆弱性レポート：2021年11月、パート1

WordPressコアの脆弱性

WordPressプラグインの脆弱性

1.レビュープラス

2.スライドショーギャラリー

3.MainWPの子

4.WordPress用のeコマース製品カタログ

5.WordPress用のFalang多言語

6.ビデオレッスンマネージャー

7.WPスペルチェック

8. eコマース–2要素認証

9.MAZローダー

10.エイジゲート

11.重複した投稿

12.通知

13.接続ビジネスディレクトリ

14.メディアタグ

15.オーサーボックスについて

16.PayPalのサブスクリプションとメンバーシップ

17.PayPalで寄付を受け入れる

18.簡単なPayPalイベント

19.ポップアップ何でも

20.JSジョブマネージャー

21.日時の一括変更

22.忍者フォーム

23.WP添付ファイルのエクスポート

24.投稿のコンテンツテキストスライダー

25.HashThemesデモインポーター

26.イベントカレンダーへの登録

27. Mang Board WP

28. OptinMonster

29. NextScripts：ソーシャルネットワーク自動ポスター

30.スマッシュバルーンソーシャルポストフィード

31.WP-Pro-Quiz

32.Supsysticによるお問い合わせフォーム

33.WP-統計

脆弱なプラグインやテーマからWordPressウェブサイトを保護する方法

1. iThemesSecurityProプラグインをインストールします

2.サイトスキャンを有効にして、既知の脆弱性をチェックします

3.ファイルの変更を監視する

24時間年中無休のWebサイト監視でiThemesSecurityProを入手

iThemesSecurityProを入手する