MENU

またもWordPressに複数の脆弱性

2017年5月27日

何度も申し上げている様にWordPressの自動更新API・プラグインなど脆弱性が見つけられた時、スグに更新できるよう、

あなたのWebサイト制作会社と保守契約を直ぐに結んでください。

ホームページは作ってお終いではなく、サイトオーナーとしてこれらの脆弱性に対応するのは義務です。

あなたは、犯罪の片棒を担がされ、あなたのサイトを訪れたあなたのお客様になってくれるかも知れない人たちを犯罪の犠牲者にしてはなりません。

WordPressサイトオーナーは、サイトの安全性の確保を怠ってはなりません。

 

今回の、対象となるバージョンは以下の通りです。

WordPress 4.7.5 より前のバージョン

WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行するなどの可能性があります。

この問題は、WordPress を WordPress が提供する修正済みのバージョンに更新することで解決します。詳細は、WordPress が提供する情報を参照してください。
  1. HTTP クラスにおける不十分なリダイレクト妥当性確認。
  2. XML-RPC API における投稿メタデータ値の不適切な操作
  3. XML-RPC API 投稿メタデータ操作における権限確認の不足
  4. ファイルシステム認証情報ダイアログに見つかったクロスサイトリクエストフォージェリ (CRSF) 脆弱性。
  5. 非常に大きいファイルのアップロードを試みた際に見られるクロスサイトスクリプティング (XSS) 脆弱性。
  6. Customizer 関連のクロスサイトスクリプティング (XSS) 脆弱性。

これらのセキュリティ関連の問題に加えて、WordPress 4.7.5 では3件のメンテナンス修正を行なっています。

XSS,CSRF

WordPress 4.7.5

WordPress 4.7.5 セキュリティ・メンテナンスリリース
https://ja.wordpress.org/2017/05/18/wordpress-4-7-5/

 

WordPress4.7.5

WordPress 4.7.5 が公開されました。これは過去のすべてのバージョンに対するセキュリティリリースですので、今すぐサイトの更新を行うことを強く勧めます。

 

WordPress 4.7.4 とそれ以前のバージョンは、以下の6件のセキュリティ問題の影響を受けます:

 

WordPress関連の脆弱性履歴(2017)

2017/05 複数の BestWebSoft 製 WordPress 用プラグインに脆弱性(出典:JPCERT/CC

複数の BestWebSoft 製 WordPress 用プラグインにおけるクロスサイトスクリプティングの脆弱性

 

対象となる製品およびバージョンは以下の通りです。

✔- Captcha 4.3.0 より前のバージョン

✔- Car Rental 1.0.5 より前のバージョン

✔- Contact Form Multi 1.2.1 より前のバージョン

✔- Contact Form 4.0.6 より前のバージョン

✔- Contact Form to DB 1.5.7 より前のバージョン

✔- Custom Admin Page 0.1.2 より前のバージョン

✔- Custom Fields Search 1.3.2 より前のバージョン

✔- Custom Search 1.36 より前のバージョン

✔- Donate 2.1.1 より前のバージョン

✔- Email Queue 1.1.2 より前のバージョン

✔- Error Log Viewer 1.0.6 より前のバージョン

✔- Facebook Button 2.54 より前のバージョン

✔- Featured Posts 1.0.1 より前のバージョン

✔- Gallery Categories 1.0.9 より前のバージョン

✔- Gallery 4.5.0 より前のバージョン

✔- Google +1 1.3.4 より前のバージョン

✔- Google AdSense 1.44 より前のバージョン

✔- Google Analytics 1.7.1 より前のバージョン

✔- Google Captcha (reCAPTCHA) 1.28 より前のバージョン

✔- Google Maps 1.3.6 より前のバージョン

✔- Google Shortlink 1.5.3 より前のバージョン

✔- Google Sitemap 3.0.8 より前のバージョン

✔- Htaccess 1.7.6 より前のバージョン

✔- Job Board 1.1.3 より前のバージョン

✔- Latest Posts 0.3 より前のバージョン

✔- Limit Attempts 1.1.8 より前のバージョン

✔- LinkedIn 1.0.5 より前のバージョン

✔- Multilanguage 1.2.2 より前のバージョン

✔- PDF & Print 1.9.4 より前のバージョン

✔- Pagination 1.0.7 より前のバージョン

✔- Pinterest 1.0.5 より前のバージョン

✔- Popular Posts 1.0.5 より前のバージョン

✔- Portfolio 2.4 より前のバージョン

✔- Post to CSV 1.3.1 より前のバージョン

✔- Profile Extra 1.0.7 より前のバージョン

✔- PromoBar 1.1.1 より前のバージョン

✔- Quotes and Tips 1.32 より前のバージョン

✔- Re-attacher 1.0.9 より前のバージョン

✔- Realty 1.1.0 より前のバージョン

✔- Relevant - Related Posts 1.2.0 より前のバージョン

✔- Sender 1.2.1 より前のバージョン

✔- SMTP 1.1.0 より前のバージョン

✔- Social Buttons Pack 1.1.1 より前のバージョン

✔- Subscriber 1.3.5 より前のバージョン

✔- Testimonials 0.1.9 より前のバージョン

✔- Timesheet 0.1.5 より前のバージョン

✔- Twitter Button 2.55 より前のバージョン

✔- Updater 1.35 より前のバージョン

✔- User Role 1.5.6 より前のバージョン

✔- Visitors Online 1.0.0 より前のバージョン

✔- Zendesk Help Center 1.0.5 より前のバージョン

この問題は、該当する製品を BestWebSoft が提供する修正済みのバージョン

に更新することで解決します。

 

WP Booking Syste

2017/05  WordPress 用プラグイン WP Booking System にクロスサイトスクリプティングの脆弱性(出典:JPCERT/CC

WordPress 用プラグイン WP Booking System には、クロスサイトスクリプティンの脆弱性があります。

 

結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性があります。

 

対象となるバージョンは以下の通りです。

✔- WP Booking System Free version 1.4 より前のバージョン

✔- WP Booking System Premium version 3.7 より前のバージョン

この問題は、WP Booking System を開発者が提供する修正済みのバージョンに更新することで解決します。

 

MaxButtons

2017/05 WordPress 用プラグイン MaxButtons にクロスサイトスクリプティングの脆弱性(出典:JPCERT/CC

WordPress 用プラグイン MaxButtons には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性があります。

 

対象となるバージョンは以下の通りです。

✔- MaxButtons 6.19 より前のバージョン

✔- MaxButtons Pro 6.19 より前のバージョン

この問題は、MaxButtons を Max Foundry が提供する修正済みのバージョンに更新することで解決します。

 

2017/05/18  WordPress4.7.5がリリース(4.7.5より前のバージョンの脆弱性対応)

2017/04/21  WordPress4.7.4がリリース(セキュリティリリスでない、バグ対応他)

2017/03/07 WordPress4.7.3がリリース(4.7.2の脆弱性対応)

2017/01/26 WordPress4.7.2がリリース(4.7と4.7.1の脆弱性対応)

2017/01/  WordPress4.7と4.7.1 APIの脆弱性で155万ものサイトが改ざんされた

 

この様に、WordPressは常に脆弱性(セキュリティホール)が見つかり攻撃されています。

 

WordPressで構築したサイトは、WordPressの自動更新を導入し、他、API・プラグイン等の脆弱性が発見された場合はそれらの更新プログラム(パッチ)を直ぐに充てられる様にすべきです。

 

あなたのWebサイトを制作した会社と保守契約を結んでください。

 

又は、思い切ってWordPressを止めて脆弱性に強いCMSでWebサイトを作り変えることです。

 

新着記事

常に最新バージョンに、4.7.2にも脆弱性WordPressは

◇2017年4月1日◇

リスクヘッジ サイトオーナーがこれを知ったら夜も眠れない。   2017年1月僅週間あまりで155万ものサイトが改ざんされた。(エイプリル フール では、ありませんよ) 出典:米Feedjit これはWordPressのバージョン4.

スマホ最適サイトにしなければイケない2つ目の理由

◇2017年3月28日◇

1つ目は、 google検索の仕組みが変わる (モバイル ファースト インデックス ※01)に対応が必要。    ✔ このままでは、検索結果で上位表示されていたものが圏外になる可能性が大きい事です。2017/03/26記   ➡ あなた

サイトの問題、潜在的なものと顕在化した2つの問題

◇2017年3月26日◇

まず質問です。 あなたは何故Webサイトをお持ちなのでしょうか?     あなたのWebサイトは、お役に立っていますか? いまはまだ課題を認識されていないのかも知れませんが、・・・   あなたのWebサイトには2つの問題になりうる

いつでも電話できます。マップでご案内しサクサク動く

◇2017年3月24日◇

スマホ対応だけでは不充分、スマホ最適化が求められています。 スマホ最適サイトの強みは、他のスマホ対応サイトには揃っていない機能が全部そろっていること。 綺麗なデザインより、Webマーケティング機能が大事です。 これらの機能は、綺麗なデザイン・

良いホームページは、どんなホームページ?

◇2017年3月22日◇

あなたは地域ビジネスのオーナーです。 あなたはホームページ(Webサイト)で集客をねらっています。 でも、中々Webサイトからの集客につながっていません   どうしてでしょうか?     一度あなたのWebサイトを見直してみるのも

ホームページでこんな間違いしてませんか?あなたは

◇2017年3月14日◇

スマートフォン サイト 作成が急務となっています。   ホームページは名刺代わりに ただ持てば良かった時代から 2015/04/21 Googleモバイル フレンドリー アップデートでも 触れている(フレンドリー:使いやすい・優しいスマ

パソコンWebサイトの時代は終わったEnd of pc-site

◇2017年3月10日◇

End of pc-site パソコン専用サイトの時代は終わった   手軽で使いやすく・高機能のスマホの登場で、 今までインターネットに縁がなかった人たちが、 ネットの世界にたくさんやってくるようになった (もうずいぶん前になるが・・・)

人気記事

前の記事で、集客にはスマホ・サイトの充実が必要だと書きました。    何故、スマホ・サイトが必要かとお思いでしょうか? それは、既存のHP(ホームページ:サイト※1)は、   パソコンの大きな画面で見ることを前提に作られている

この記事の関連記事

Googleが2016/11/05に発表したモバイル ファースト インデックスに備える必要があります。   Googleがインターネット アクセスの主役をパソコンではなくスマホだと捉え、数年来モバイル ファーストと言って来たものです。  

まず質問です。 あなたは何故Webサイトをお持ちなのでしょうか?     あなたのWebサイトは、お役に立っていますか? いまはまだ課題を認識されていないのかも知れませんが、・・・   あなたのWebサイトには2つの問題になりうる

あなたは地域ビジネスのオーナーです。 あなたはホームページ(Webサイト)で集客をねらっています。 でも、中々Webサイトからの集客につながっていません   どうしてでしょうか?     一度あなたのWebサイトを見直してみるのも

ご自分のWebサイトが何で作られているのか、 ご存知ないのであれば、 一度ご自分のWebサイトを制作した会社に連絡して、 脆弱性などの問題は、ないのかどうか・どうか確認してみてください。   脆弱性放置は、なにもWordPressサイトだ

スマートフォン サイト 作成が急務となっています。   ホームページは名刺代わりに ただ持てば良かった時代から 2015/04/21 Googleモバイル フレンドリー アップデートでも 触れている(フレンドリー:使いやすい・優しいスマ


最新記事

« 前123456...25次 »

アーカイブ

2015

お知らせ

 

お知らせ

こんにちは

会社情報

合同会社 アルファ・ITC

 https://a-itc.info

上記サイトは、ITの全般サービスを掲載したPC専用サイトです。

 

 

このサイトは、

IT有資格者が、

 ご提案する 集客(顧客獲得)に特化したサイトの制作例です。

電話番号

080-4433-7227

所在地

〒360-0212
埼玉県熊谷市江波522-23


© 2018 スマホ最適化ホームページで商売繁盛。あなたも! All rights reserved.