WordPressの脆弱性レポート:2021年10月、パート2
公開: 2021-10-13脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 WPScanを利用した毎週のWordPress脆弱性レポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明しています。
各脆弱性の重大度は、低、中、高、または重大です。 脆弱性の責任ある開示と報告は、WordPressコミュニティを安全に保つための不可欠な部分です。
この投稿を友達と共有して、WordPressをより安全に伝えてください。
WordPressコアの脆弱性
WordPressコアの最新バージョンは5.8.1で、セキュリティとメンテナンスのリリースとしてリリースされました。 ベストプラクティスとして、常に最新バージョンのWordPressコアを実行してください。
WordPressプラグインの脆弱性
このセクションでは、最新のWordPressプラグインの脆弱性が公開されています。 各プラグインのリストには、脆弱性の種類、パッチが適用されている場合のバージョン番号、および重大度の評価が含まれています。
1.簡単なPayPal今すぐ購入ボタン
プラグイン: EasyPayPal今すぐ購入ボタン
脆弱性:保存されたクロスサイトスクリプティングに対するCSRF
バージョンのパッチ:1.7.3
重大度スコア:高
2.イベントが簡単に
プラグイン:イベントが簡単に
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:2.2.24
重大度スコア:低
3.BPより良いメッセージ
プラグイン: BPより良いメッセージ
脆弱性:反映されたクロスサイトスクリプティング
バージョンのパッチ:1.9.9.41
重大度スコア:高
プラグイン: BPより良いメッセージ
脆弱性:複数のCSRF
バージョンのパッチ:1.9.9.41
重大度スコア:中
4. Themify Builder
プラグイン: Themify Builder
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:5.3.2
重大度スコア:高
5.遠い将来の有効期限ヘッダー
プラグイン: Far Future Expiry Header
脆弱性:CSRFを介したプラグインの設定の更新
バージョンでパッチが適用されました:1.5
重大度スコア:中
6.画像ソース管理
プラグイン:画像ソース管理
脆弱性:Contributor+任意のポストメタ値の変更
バージョンでパッチが適用されました:2.3.1
重大度スコア:中
7.ロゴスライダーとショーケース
プラグイン:ロゴスライダーとショーケース
脆弱性:エディタープラグインの設定の更新
バージョンでパッチが適用されました:1.3.37
重大度スコア:低
8.WooCommerceのCardinityPaymentGateway
プラグイン: WooCommerceのCardinity Payment Gateway
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:3.0.7
重大度スコア:高
9. Sonaarによる音楽、ラジオ、ポッドキャスト用のMP3オーディオプレーヤー
プラグイン: Sonaarによる音楽、ラジオ、ポッドキャスト用のMP3オーディオプレーヤー
脆弱性:複数の管理者+クロスサイトスクリプティング
バージョンでパッチが適用されました:2.4.2
重大度スコア:低
10.Paypalの寄付
プラグイン: Paypal寄付
脆弱性:CSRFから任意の削除後
バージョンでパッチが適用されます:1.3.1
重大度スコア:中
プラグイン: Paypal寄付
脆弱性:保存されたクロスサイトスクリプティングに対するCSRF
バージョンでパッチが適用されます:1.3.1
重大度スコア:高
11.間もなく、Dazzlerによる建設およびメンテナンスモード中
プラグイン:近日公開、建設中およびメンテナンスモードBy Dazzler
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンのパッチ:1.6.7
重大度スコア:低
12. WordPressの翻訳–Google言語翻訳者
プラグイン: WordPressの翻訳–Google言語翻訳者
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:6.0.12
重大度スコア:低
13.Booking.com製品ヘルパー
プラグイン: Booking.com製品ヘルパー
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:低
14.Booking.comバナークリエーター
プラグイン: Booking.comバナークリエーター
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:低
15.シンプルなダウンロードモニター
プラグイン:シンプルなダウンロードモニター
脆弱性:不正なログのリセット
バージョンでパッチが適用されました:3.9.6
重大度スコア:中
プラグイン:シンプルなダウンロードモニター
脆弱性:任意のサムネイルの削除
バージョンでパッチが適用されました:3.9.6
重大度スコア:中
プラグイン:シンプルなダウンロードモニター
脆弱性:認証されていないログアクセス
バージョンでパッチが適用されました:3.9.6
重大度スコア:中
プラグイン:シンプルなダウンロードモニター
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されます:3.9.5
重大度スコア:高
プラグイン:シンプルなダウンロードモニター
脆弱性:Contributor+ファイルサムネイルを介して保存されたクロスサイトスクリプティング
バージョンでパッチが適用されます:3.9.5
重大度スコア:高
16.双方向チャット
プラグイン:双方向チャット
脆弱性:複数のCSRF
バージョンでパッチが適用されました:3.1.5
重大度スコア:中
プラグイン:双方向チャット
脆弱性:Admin+ローカルファイルインクルード
バージョンでパッチが適用されました:3.1.5
重大度スコア:低
17.WP-リコール
プラグイン: WP-リコール
脆弱性:反映されたクロスサイトスクリプティング
バージョンのパッチ:16.24.48
重大度スコア:高
18.JobSearchWP求人掲示板
プラグイン: JobSearchWP求人掲示板
脆弱性:Subscriber+任意のブログオプションの更新
バージョンのパッチ:1.8.2
重大度スコア:高
プラグイン: JobSearchWP求人掲示板
脆弱性:認証されていないプラグインの設定の更新
バージョンのパッチ:1.8.2
重大度スコア:中
プラグイン: JobSearchWP求人掲示板
脆弱性:Subscriber+スケジュール呼び出しの追加/更新
バージョンのパッチ:1.8.2
重大度スコア:中
19.TheCartPresseコマースショッピングカート
プラグイン: TheCartPresseコマースショッピングカート
脆弱性:保存されたクロスサイトスクリプティングに対するCSRF
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:高
20. MStore API
プラグイン: MStore API
脆弱性:認証されていないPHPファイルのアップロード
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:クリティカル
21.メディアファイルの名前変更–自動および手動の名前変更
プラグイン:メディアファイルの名前変更–自動および手動の名前変更
脆弱性:CSRFを介したメディアタイトル/ファイル名/ロック状態の更新
バージョンでパッチが適用されました:5.2.7
重大度スコア:中
22.バッチ猫
プラグイン:バッチ猫
脆弱性:サブスクライバー+任意のカテゴリー投稿への追加/設定/削除
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:中
23. qTranslate X
プラグイン: qTranslate X
脆弱性:複数のAdmin+に保存されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:低
24.世界旅行情報
プラグイン:世界旅行情報
脆弱性:反映されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:高
25.WPサーベイプラス
プラグイン: WP Survey Plus
脆弱性:サブスクライバー+AJAX呼び出し
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:高
26.WPサイトマップページ
プラグイン: WPサイトマップページ
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:低
27. WP Bannerize 2.0.0
プラグイン: WP Bannerize 2.0.0
脆弱性:認証されたSQLインジェクション
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:高
28.GenieWPファビコン
プラグイン: Genie WP Favicon
脆弱性:CSRFを介した任意のファビコン変更
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:中
29.フェニックスメディアの名前変更
プラグイン: Phoenix Media Rename
脆弱性:作成者の任意のメディアファイルの名前変更
バージョンでパッチが適用されました:3.4.4
重大度スコア:中
30.訪問者のトラフィックのリアルタイム統計
プラグイン:訪問者のトラフィックのリアルタイム統計
脆弱性:サブスクライバー+SQLインジェクション
バージョンでパッチが適用されました:3.9
重大度スコア:高
31.AddToAny共有ボタン
プラグイン: AddToAny共有ボタン
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:1.7.48
重大度スコア:低
32.手ごわいフォームビルダー
プラグイン:手ごわいフォームビルダー
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:5.0.07
重大度スコア:低
33.BulletProofセキュリティ
プラグイン: BulletProof Security
脆弱性:機密情報の開示
バージョンでパッチが適用されました:5.2
重大度スコア:中
34.WPすべてのエクスポート
プラグイン: WP All Export
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されます:1.3.1
重大度スコア:低
35.404エラーページをホームページまたはログ付きのカスタムページにリダイレクトする
プラグイン: 404エラーページをホームページまたはログ付きのカスタムページにリダイレクトします
脆弱性:CSRFを介したログの削除
バージョンのパッチ:1.7.9
重大度スコア:中
36.デモインポーターにアクセスする
プラグイン: Access Demo Importer
脆弱性:サブスクライバー+任意のファイルのアップロード
バージョンでパッチが適用されます:1.0.7
重大度スコア:高
37.モニターのダウンロード
プラグイン:モニターをダウンロード
脆弱性:認証されていないログのダウンロード
バージョンのパッチ:1.9.7
重大度スコア:中
プラグイン:モニターをダウンロード
脆弱性:リフレクトクロスサイトスクリプティング(XSS)
バージョンのパッチ:1.7.1
重大度スコア:中
プラグイン:モニターをダウンロード
脆弱性:認証されたディレクトリリスト
バージョンのパッチ:1.6.4
重大度スコア:中
プラグイン:モニターをダウンロード
脆弱性:複数の反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:3.3.6.2
重大度スコア:中
38.無制限のポップアップ
プラグイン:無制限のポップアップ
脆弱性:Author+SQLインジェクション
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:高
39.シュライカステン
プラグイン: Schreikasten
脆弱性:Author+SQLインジェクション
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:高
40.投稿コンテンツXMLRPC
プラグイン:投稿コンテンツXMLRPC
脆弱性:Author+SQLインジェクション
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:高
41.すごいフォーム
プラグイン:すごいフォーム
脆弱性:Author+SQLインジェクション
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:高
42.自動ハイパーリンク
プラグイン: G自動ハイパーリンク
脆弱性:Author+SQLインジェクション
バージョンにパッチが適用されています: 既知の修正はありません–プラグインは閉じられています
重大度スコア:中
43.カメレオンCSS
プラグイン:カメレオンCSS
脆弱性:サブスクライバー+SQLインジェクション
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:クリティカル
44.SpiderCatalog
プラグイン: SpiderCatalog
脆弱性:Author+SQLインジェクション
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:中
45.サポートボード
プラグイン:サポートボード
脆弱性:Agent+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されます:3.3.5
重大度スコア:中
46.エイジゲート
プラグイン: Age Gate
脆弱性:認証された保存済みクロスサイトスクリプティング
バージョンのパッチ:2.16.4
重大度スコア:中
47.インライン関連の投稿
プラグイン:インライン関連の投稿
脆弱性:Admin+クロスサイトスクリプティング
バージョンでパッチが適用されました:3.0.5
重大度スコア:低
脆弱なプラグインやテーマからWordPressウェブサイトを保護する方法
このレポートからわかるように、多くの新しいWordPressプラグインとテーマの脆弱性が毎週公開されています。 報告されたすべての脆弱性の開示を把握するのは難しい場合があるため、iThemes Security Proプラグインを使用すると、既知の脆弱性を持つテーマ、プラグイン、またはWordPressコアバージョンがサイトで実行されていないことを簡単に確認できます。
1.既知のWebサイトの脆弱性をスキャンします
iThemes Security Proプラグインは、WordPressサイトがハッキングされる最大の理由をスキャンします。古いプラグインと既知の脆弱性を持つテーマです。
2.安全なバージョンへの自動更新
iThemes Security Proのバージョン管理機能は、サイトスキャンと統合してサイトを保護します。 脆弱なテーマ、プラグイン、WordPressコアバージョンは自動的に更新されます。
3.ファイルの変更を監視する
セキュリティ違反をすばやく発見するための鍵は、Webサイト上のファイルの変更を監視することです。 iThemes Security Proのファイル変更検出機能は、Webサイトのファイルをスキャンし、Webサイトで変更が発生したときに警告を発します。
24時間年中無休のWebサイト監視でiThemesSecurityProを入手
WordPressセキュリティプラグインであるiThemesSecurityProは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードの適用などを使用すると、Webサイトにセキュリティの層を追加できます。