WordPressの脆弱性レポート：2021年11月、パート2

脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 WPScanを利用した毎週のWordPress脆弱性レポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明しています。

各脆弱性の重大度は、低、中、高、または重大です。 脆弱性の責任ある開示と報告は、WordPressコミュニティを安全に保つための不可欠な部分です。

この投稿を友達と共有して、WordPressをより安全に伝えてください。

WordPressコアの最新バージョンは5.8.1です。 ベストプラクティスとして、常に最新バージョンのWordPressコアを実行してください。

このセクションでは、最新のWordPressプラグインの脆弱性が公開されています。 各プラグインのリストには、脆弱性の種類、パッチが適用されている場合のバージョン番号、および重大度の評価が含まれています。

1.コンテストギャラリー

プラグイン：コンテストギャラリー
脆弱性：サブスクライバー+電子メールアドレスの開示
バージョンのパッチ：13.1.0.7
重大度スコア：中

プラグイン：コンテストギャラリー
脆弱性：認証されていないSQLインジェクション/電子メールアドレス開示へのアクセス制御の欠如
バージョンのパッチ：13.1.0.6
重大度スコア：高

2.メールの確認と記録

プラグイン：メールのチェックとログ
脆弱性：反映されたクロスサイトスクリプティング
バージョンでパッチが適用されます：1.0.4
重大度スコア：高

3.BSKPDFマネージャー

プラグイン： BSK PDF Manager
脆弱性：Admin+SQLインジェクション
バージョンでパッチが適用されました：3.1.2
重大度スコア：中

4.スタイリッシュなコスト計算機

プラグイン：スタイリッシュなコスト計算機
脆弱性：サブスクライバー+保存されたXSSへの不正なAJAX呼び出し
バージョンでパッチが適用されました：7.0.4
重大度スコア：高

5.ショップページWP

プラグイン：ショップページWP
脆弱性：Admin+に保存されたクロスサイトスクリプティング
バージョンのパッチ：1.2.8
重大度スコア：中

6. Ibtana –eコマース製品アドオン

プラグイン： Ibtana –eコマース製品アドオン
脆弱性：反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました：0.2.4
重大度スコア：高

7.WPRSSアグリゲーター

プラグイン： WP RSS Aggregator
脆弱性：Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました：4.19.2
重大度スコア：低

8. GenerateBlocks

プラグイン： GenerateBlocks
脆弱性：Contributor+保存されたクロスサイトスクリプティング
バージョンでパッチが適用されます：1.4.0
重大度スコア：中

9.ダウンロード前の電子メール

プラグイン：ダウンロード前のメール
脆弱性：Admin+SQLインジェクション
バージョンでパッチが適用されました：6.8
重大度スコア：中

10. myCred

プラグイン： myCred
脆弱性：サブスクライバー+SQLインジェクション
バージョンでパッチが適用されました：2.3
重大度スコア：高

11.グーグルマップイージー

プラグイン： Google Maps Easy
脆弱性：Admin+に保存されたクロスサイトスクリプティング
バージョンのパッチ：1.10.1
重大度スコア：低

12.私のカレンダー

プラグイン：私のカレンダー
脆弱性：Subscriber+リフレクトクロスサイトスクリプティング
バージョンでパッチが適用されました：3.2.18
重大度スコア：中

13.ARFormsフォームビルダー

プラグイン： ARForms Form Builder
脆弱性：Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました：1.5
重大度スコア：低

14.WPDSGVOツール

プラグイン： WPDSGVOツール
脆弱性：認証されていない任意の削除後
バージョンでパッチが適用されました：3.1.24
重大度スコア：高

15.WPすべてのインポート

プラグイン： WP All Import
脆弱性：Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました：3.6.3
重大度スコア：低

16.WPS非表示ログイン

プラグイン： WPS Hide Login
脆弱性：リファラーヘッダーによる保護バイパス
バージョンのパッチ：1.9.1
重大度スコア：中

17. WP Google Fonts

プラグイン： WP Google Fonts
脆弱性：反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました：3.1.5
重大度スコア：中

18.WooCommerceのイベントマネージャー

プラグイン： WooCommerceのイベントマネージャー
脆弱性：認証されていない任意のElementorテンプレートのインポート
バージョンでパッチが適用されました：3.5.3
重大度スコア：中

プラグイン： WooCommerceのイベントマネージャー
脆弱性：認証されていない任意のオプションのリセット
バージョンでパッチが適用されました：3.5.3
重大度スコア：高

19. AutomatorWP

プラグイン： AutomatorWP
脆弱性：承認と特権の昇格がありません
バージョンのパッチ：1.7.6
重大度スコア：中

20.ロゴスライダーとショーケース

プラグイン：ロゴスライダーとショーケース
脆弱性：エディタープラグインの設定の更新
バージョンでパッチが適用されました：1.3.37
重大度スコア：低

21.スタイリッシュな価格表

プラグイン：スタイリッシュな価格表
脆弱性：認証されていない任意の画像のアップロード
バージョンでパッチが適用されます：6.9.0
重大度スコア：中

プラグイン：スタイリッシュな価格表
脆弱性：サブスクライバー+任意の画像のアップロード
バージョンのパッチ：6.9.1
重大度スコア：中

22.WPデバッグ

プラグイン： WPデバッグ
脆弱性：認証されていないプラグインの設定の更新
バージョンのパッチ：2.11.0
重大度スコア：中

23.ホテルリスト

プラグイン：ホテルリスト
脆弱性：認証された保存済みクロスサイトスクリプティング
バージョンでパッチが適用されます：1.3.3
重大度スコア：中

24.メールトラッカー

プラグイン： Eメールトラッカー
脆弱性：反映されたクロスサイトスクリプティング
バージョンでパッチが適用されます：5.2.6
重大度スコア：高

25.Supsysticによるお問い合わせフォーム

プラグイン： Supsysticによるお問い合わせフォーム
脆弱性：Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました：1.7.20
重大度スコア：低

26.MotoPressによるレストランメニュー

プラグイン： MotoPressによるレストランメニュー
脆弱性：Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました：2.4.2
重大度スコア：低

27.SEOリダイレクト

プラグイン： SEOリダイレクト
脆弱性：サブスクライバー+SQLインジェクション
バージョンでパッチが適用されました：8.2
重大度スコア：中

28.家庭教師LMS

プラグイン： Tutor LMS
脆弱性：反映されたクロスサイトスクリプティング
バージョンのパッチ：1.9.11
重大度スコア：中

29.忍者フォーム

プラグイン： Ninja Forms
脆弱性：Admin+SQLインジェクション
バージョンでパッチが適用されました：3.6.4
重大度スコア：中

30.イベントカレンダーへの登録

プラグイン：イベントカレンダーの登録
脆弱性：反映されたクロスサイトスクリプティング
バージョンのパッチ：2.7.5
重大度スコア：高

このレポートからわかるように、多くの新しいWordPressプラグインとテーマの脆弱性が毎週公開されています。 報告されたすべての脆弱性の開示を把握するのは難しい場合があるため、iThemes Security Proプラグインを使用すると、既知の脆弱性を持つテーマ、プラグイン、またはWordPressコアバージョンがサイトで実行されていないことを簡単に確認できます。

24時間年中無休のWebサイト監視でiThemesSecurityProを入手

WordPressセキュリティプラグインであるiThemesSecurityProは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードの適用などを使用すると、Webサイトにセキュリティの層を追加できます。

iThemesSecurityProを入手する