🚀 サイト構築が難しい?手取り足取りご案内します——「WordPressサイト構築伴走」サービスを詳しく見る →
🔍 サイト内検索はこちら
ウェブサイト情報記事

2月のWordPress Theme・Plugin脆弱性まとめ

📅 2020年2月27日
👤 Lee
⏱️ 読了時間:1分
🔄 最終更新:2020年2月27日
WordPressでサイトを構築した後は、サイトのセキュリティに注意を払う必要があります。すべてのテーマ、プラグイン、およびWordPressのバージョンを最新に保つことは、最も重要な項目の一つです。以下に、2月に関連するWordPressの脆弱性リストをまとめました。

WordPressコアの脆弱性

公開されているWordPressコアの脆弱性はありません。

WordPress Pluginの脆弱性

今月に入ってこれまでに、いくつかの新しいWordPress Pluginの脆弱性が発見されています。以下の推奨アクションに従って、Pluginを更新するか完全にアンインストールするようにしてください。1. Ninja FormsNinja Formバージョン3.4.22.1以前には、複数の認証済みストアドクロスサイトスクリプティングの脆弱性があります。この脆弱性は修正済みで、バージョン3.4.23に更新する必要があります。2. ThemeGrill Demo ImporterThemeGrill Demo Importer 1.6.1以前のバージョンには、認証されていないユーザーがデータベース全体を消去できる脆弱性があります。この脆弱性は修正済みで、バージョン1.6.2に更新する必要があります。3. SAML SP Single Sign OnSAML SP Single Sign On バージョン4.8.83以前は、クロスサイトスクリプティング攻撃に対して脆弱です。この脆弱性は修正済みであり、バージョン4.8.84に更新する必要があります。4. wpCentralwpCentral バージョン1.5.1以前には„権限昇格によるアクセス制御エラー“の脆弱性があります。この脆弱性は修正済みであり、バージョン1.5.2に更新する必要があります。5. ThemeREX AddonsThemRex Addonsバージョン1.6.50以降には、リモートで悪用可能な„リモートコード実行“の脆弱性があります。パッチが公開されるまで、プラグインを削除してください。6. Modula Image GalleryModula Image Gallery バージョン2.2.4以前には、認証済みストレージのクロスサイトスクリプティング脆弱性が存在します。この脆弱性は修正済みですので、バージョン2.2.5に更新してください。7. DuplicatorDuplicator バージョン1.3.26以前には、認証を必要としない任意ファイルダウンロードの脆弱性が存在します。この脆弱性は修正済みですので、バージョン1.3.28に更新してください。8. Chained QuizKiboko Labs製Chained Quiz バージョン1.1.9以前には、„認証済み保存型クロスサイトスクリプティング“の脆弱性があります。この脆弱性は修正済みであり、バージョン1.1.9.1に更新する必要があります。9. RegistrationMagicRegistrationMagic 4.6.0.1以前のバージョンには、複数の„クロスサイトスクリプティング“脆弱性と1つの„認証済みSQLインジェクション“脆弱性があります。脆弱性は修正済みですので、バージョン4.6.0.3に更新する必要があります。10. Ultimate Membership ProUltimate Membership Pro バージョン8.7以下には、クロスサイトスクリプティングとクロスサイトリクエストフォージェリの脆弱性があります。この脆弱性は修正済みですので、バージョン8.7に更新する必要があります。11. Photo Gallery by 10WebPhoto Galleryバージョン1.5.45以前には、複数のクロスサイトスクリプティング脆弱性があります。 この脆弱性は修正済みで、バージョン1.5.46に更新する必要があります。12. Envira Photo Gallery Envira Photo Gallery版本1.7.6和更低版本具有“身份验证的存储跨站点脚本” 漏洞。 该漏洞已修复,您应该更新到版本1.6.2。 13. iThemes Sync Pro iThemes Sync Pro 2.1.3及更低版本在身份验证请求中缺少随机数。 该漏洞已修复,您应该更新到版本2.1.3。

WordPress Theme

1. Fruitful Fruitful 主题版本3.8及以下版本容易受到未经身份验证的反映跨站点脚本攻击。 删除主题。已报告该漏洞,但主题开发人员未答复。 如何主动应对WordPress主题和插件漏洞 运行过时的软件是WordPress网站遭到黑客入侵的第一原因。拥有更新例程对于WordPress网站的安全至关重要。您应该每周至少登录一次网站以执行更新。 自动更新可以提供帮助 对于不经常更改的WordPress网站,自动更新是一个不错的选择。缺乏关注通常会使这些站点被忽略并且容易受到攻击。即使使用了建议的安全设置,在您的站点上运行易受攻击的软件仍可以使攻击者进入您的站点。

関連トピック:

WordPress网站安全专题文章 本文转自WP大学

🚀 チュートリアルを見てもまだ迷っていますか?私が直接手を取ってご案内しましょう

「WordPressサイト構築伴走サービス」——ドメイン名の選択、ホスティングの購入から、Themeのインストール、公開、投稿まで、すべてのステップで私が伴走し、遠回りをせずに目標に直行します。

👉 サイト構築伴走サービスについて詳しく知る
🔒

コメントは閉鎖されました

この記事のコメント機能は閉鎖されています。ご質問がある場合は、他の方法でお問い合わせください。

×
二维码

QRコードをスキャンしてフォロー