WordPressの脆弱性レポート:2021年10月、パート3
公開: 2021-10-21脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 WPScanを利用した毎週のWordPress脆弱性レポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明しています。
各脆弱性の重大度は、低、中、高、または重大です。 脆弱性の責任ある開示と報告は、WordPressコミュニティを安全に保つための不可欠な部分です。
この投稿を友達と共有して、WordPressをより安全に伝えてください。
WordPressコアの脆弱性
WordPressコアの最新バージョンは5.8.1で、セキュリティとメンテナンスのリリースとしてリリースされました。 ベストプラクティスとして、常に最新バージョンのWordPressコアを実行してください。
WordPressプラグインの脆弱性
このセクションでは、最新のWordPressプラグインの脆弱性が公開されています。 各プラグインのリストには、脆弱性の種類、パッチが適用されている場合のバージョン番号、および重大度の評価が含まれています。
1. WPSchoolPress
プラグイン: WPSchoolPress
脆弱性:複数のAdmin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:2.1.17
重大度スコア:低
プラグイン: WPSchoolPress
脆弱性:反映されたクロスサイトスクリプティング
バージョンのパッチ:2.1.10
重大度スコア:高
プラグイン: WPSchoolPress
脆弱性:複数の認証されたSQLインジェクション
バージョンのパッチ:2.1.10
重大度スコア:高
2.YITHWooCommerceマルチベンダー
プラグイン: SquaretypeMYITHWooCommerceマルチベンダー
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:3.8.1
重大度スコア:高
3.Print-O-Matic
プラグイン: Print-O-Matic
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:2.0.3
重大度スコア:低
4.パイレジスター
プラグイン: Pie Register
脆弱性:認証されていないSQLインジェクション
バージョンでパッチが適用されました:3.7.1.6
重大度スコア:高
プラグイン: Pie Register
脆弱性:認証されていないSQLインジェクション
バージョンでパッチが適用されました:3.7.1.6
重大度スコア:クリティカル
5.WooCommerceのクーポンアフィリエイト
プラグイン: WooCommerceのクーポンアフィリエイト
脆弱性:CSRFを介した任意の紹介訪問の削除
バージョンでパッチが適用されました:4.11.3.4
重大度スコア:中
6.MAZローダー
プラグイン: MAZローダー
脆弱性:Contributor+SQLインジェクション
バージョンでパッチが適用されます:1.3.3
重大度スコア:高
7.ストアフロントフッターテキスト
プラグイン:ストアフロントフッターテキスト
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:中
8.クイズツールライト
プラグイン:クイズツールライト
脆弱性:複数のAdmin+に保存されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:低
9.Qwizcards
プラグイン: Qwizcards
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:3.62
重大度スコア:低
10.ロコ翻訳
プラグイン: Loco Translate
脆弱性:認証されたPHPコードインジェクション
バージョンのパッチ:2.5.4
重大度スコア:高
11. iPanorama360WordPressバーチャルツアービルダー
プラグイン: iPanorama 360 WordPress Virtual Tour Builder
脆弱性:保存されたクロスサイトスクリプティングに対するCSRF
バージョンのパッチ:1.6.22
重大度スコア:高
12.WordPress用のVisionInteractive
プラグイン: WordPress用のVision Interactive
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:高
13.WordPress用のImageLinksインタラクティブ画像ビルダー
プラグイン: WordPress用のImageLinksインタラクティブ画像ビルダー
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:高
14.WordPressEasyカスタムJsおよびCssプラグイン
プラグイン: WordPress Easy Custom JsAndCssプラグイン
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:高
15.WordPress用のiPagesフリップブック
プラグイン: WordPress用のiPagesフリップブック
脆弱性:反映されたクロスサイトスクリプティング
バージョンのパッチ:1.4.3
重大度スコア:高
16.404から301
プラグイン: 404から301
脆弱性:CSRFを介したログの削除
バージョンでパッチが適用されました:3.0.9
重大度スコア:中
17.ポストエクスパイレーター
プラグイン: Post Expirator
脆弱性:Contributor+任意の投稿スケジュール
バージョンのパッチ:2.6.0
重大度スコア:高
18.WPヘッダー画像
プラグイン: WPヘッダー画像
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:2.0.1
重大度スコア:高
19.PayPalのサブスクリプションとメンバーシップ
プラグイン: PayPalのサブスクリプションとメンバーシップ
脆弱性:ページパラメータを介した反映されたクロスサイトスクリプティング
バージョンにパッチが適用されています:既知の修正はありません–プラグインは閉じられています
重大度スコア:高
20.PayPalで寄付を受け入れる
プラグイン: PayPalで寄付を受け入れる
脆弱性:ページパラメータを介した反映されたクロスサイトスクリプティング
バージョンでパッチが適用されます:1.3.1
重大度スコア:高
21.PayPalイベント
プラグイン: PayPalイベント
脆弱性:ページパラメータを介した反映されたクロスサイトスクリプティング
バージョンにパッチが適用されています: 既知の修正はありません–プラグインは閉じられています
重大度スコア:高
22.ヘッダーフッターコードマネージャー
プラグイン:ヘッダーフッターコードマネージャー
脆弱性:Admin+SQLインジェクション
バージョンのパッチ:1.1.14
重大度スコア:中
23. wpDiscuz
プラグイン: wpDiscuz
脆弱性:CSRFを介した任意のコメントの追加/編集/削除
バージョンでパッチが適用されました:7.3.4
重大度スコア:中
24. 3D Print Lite
プラグイン: 3D Print Lite
脆弱性:反映されたクロスサイトスクリプティング
バージョンのパッチ:1.9.1.6
重大度スコア:高
25.アスガロスフォーラム
プラグイン: Asgarosフォーラム
脆弱性:CSRFを介したリダイレクトの削除
バージョンのパッチ:1.15.13
重大度スコア:高
26.WPSEOリダイレクト301
プラグイン: WPSEOリダイレクト301
脆弱性:CSRFを介したリダイレクトの削除
バージョンでパッチが適用されました:2.3.2
重大度スコア:中
27. WCFM –WooCommerceのフロントエンドマネージャー
プラグイン: WCFM –WooCommerceのフロントエンドマネージャー
脆弱性:顧客/加入者+SQLインジェクション
バージョンでパッチが適用されました:6.5.12
重大度スコア:高
28.アフィリエイトマネージャー
プラグイン:アフィリエイトマネージャー
脆弱性:Admin+SQLインジェクション
バージョンのパッチ:2.8.7
重大度スコア:中
29.同様の投稿
プラグイン:同様の投稿
脆弱性:Admin+任意のPHPコード実行
バージョンでパッチが適用されました:3.1.6
重大度スコア:高
30.WooCommerce製品表
プラグイン: WooCommerce製品テーブル
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されます:1.0.4
重大度スコア:中
31.製品の割引マネージャー
プラグイン:製品の割引マネージャー
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されます:3.4.5
重大度スコア:高
32.証言ビルダー
プラグイン: Testimonial Builder
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されます:1.6.0
重大度スコア:低
33.ブリジー
プラグイン: Brizy
脆弱性:変更後の承認が正しくありません
バージョンでパッチが適用されました:2.3.12
重大度スコア:高
プラグイン: Brizy
脆弱性:認証された保存済みクロスサイトスクリプティング
バージョンでパッチが適用されました:2.3.12
重大度スコア:中
プラグイン: Brizy
脆弱性:認証されたファイルのアップロードとパストラバーサル
バージョンでパッチが適用されました:2.3.12
重大度スコア:高
34.カラフルなカテゴリー
プラグイン:カラフルなカテゴリ
脆弱性:CSRFを介した任意の色の更新
バージョンでパッチが適用されました:2.0.15
重大度スコア:中
35.WP最速キャッシュ
プラグイン: WP Fastest Cache
脆弱性:サブスクライバー+SQLインジェクション
バージョンでパッチが適用されました:0.9.5
重大度スコア:高
プラグイン: WP Fastest Cache
脆弱性:保存されたクロスサイトスクリプティングに対するCSRF
バージョンでパッチが適用されました:0.9.5
重大度スコア:高
36.ビジネスマネジャー
プラグイン:ビジネスマネージャー
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:低
37.求人掲示板バニラ
プラグイン:求人掲示板バニラ
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンにパッチが適用されています: 既知の修正はありません–プラグインは閉じられています
重大度スコア:低
38.WpGeniusジョブリスト
プラグイン: WpGeniusジョブリスト
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンにパッチが適用されています: 既知の修正はありません–プラグインは閉じられています
重大度スコア:低
39.ジョブマネージャー
プラグイン:ジョブマネージャー
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンにパッチが適用されています: 既知の修正はありません–プラグインは閉じられています
重大度スコア:低
40.求人ポータル
プラグイン:求人ポータル
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンにパッチが適用されています: 既知の修正はありません–プラグインは閉じられています
重大度スコア:低
41.MyBBクロスポスター
プラグイン: MyBBクロスポスター
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンにパッチが適用されています: 既知の修正はありません–プラグインは閉じられています
重大度スコア:低
42.KJM管理者への通知
プラグイン: KJM管理者通知
脆弱性:変更後の承認が正しくありません
バージョンにパッチが適用されています: 既知の修正はありません–プラグインは閉じられています
重大度スコア:低
43. HAL
プラグイン: HAL
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:2.2
重大度スコア:低
44.著者バイオボックス
プラグイン:著者バイオボックス
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されます:3.4.0
重大度スコア:低
45. WordPress + Microsoft Office 365
プラグイン: WordPress + Microsoft Office 365
脆弱性:認証されていない保存されたクロスサイトスクリプティング
バージョンでパッチが適用されます:15.4
重大度スコア:クリティカル
46.YOP世論調査
プラグイン: YOP投票
脆弱性:オプションモジュールを介したAuthor+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されます:6.3.1
重大度スコア:中
プラグイン: YOP投票
脆弱性:プレビューモジュールを介したAuthor+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されます:6.3.1
重大度スコア:中
47.確かにジョブインポーター
プラグイン: Indeed Job Importer
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンにパッチが適用されています: 既知の修正はありません–プラグインは閉じられています
重大度スコア:高
48. MPL-出版社–あなたの本と電子ブックを自費出版する
プラグイン: MPL-出版社–あなたの本と電子書籍を自費出版する
脆弱性:Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました: 既知の修正はありません
重大度スコア:低
49. JobBoardWP
プラグイン: JobBoardWP
脆弱性:変更後の承認が正しくありません
バージョンにパッチが適用されています: 既知の修正はありません–プラグインは閉じられています
重大度スコア:低
WordPressテーマの脆弱性
1.Squaretypeモダンブログ
テーマ: Squaretypeモダンブログ
脆弱性:認証されていないプライベート/スケジュール投稿の開示
バージョンでパッチが適用されました:3.0.4
重大度スコア:中
脆弱なプラグインやテーマからWordPressウェブサイトを保護する方法
このレポートからわかるように、多くの新しいWordPressプラグインとテーマの脆弱性が毎週公開されています。 報告されたすべての脆弱性の開示を把握するのは難しい場合があるため、iThemes Security Proプラグインを使用すると、既知の脆弱性を持つテーマ、プラグイン、またはWordPressコアバージョンがサイトで実行されていないことを簡単に確認できます。
1.既知のWebサイトの脆弱性を毎日スキャンします
iThemes Security Proプラグインは、WordPressサイトがハッキングされる最大の理由をスキャンします。古いプラグインと既知の脆弱性を持つテーマです。
2.安全なバージョンへの自動更新
iThemes Security Proのバージョン管理機能は、サイトスキャンと統合してサイトを保護します。 脆弱なテーマ、プラグイン、WordPressコアバージョンは自動的に更新されます。
3.ファイルの変更を監視する
セキュリティ違反をすばやく発見するための鍵は、Webサイト上のファイルの変更を監視することです。 iThemes Security Proのファイル変更検出機能は、Webサイトのファイルをスキャンし、Webサイトで変更が発生したときに警告を発します。
24時間年中無休のWebサイト監視でiThemesSecurityProを入手
WordPressセキュリティプラグインであるiThemesSecurityProは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードの適用などを使用すると、Webサイトにセキュリティの層を追加できます。