またもWordPressに複数の脆弱性

2017年5月27日
何度も申し上げている様にWordPressの自動更新とAPI・プラグインなどの脆弱性が見つけられた時、スグに更新できるよう、
あなたのWebサイト制作会社と保守契約を直ぐに結んでください。
ホームページは作ってお終いではなく、サイトオーナーとしてこれらの脆弱性に対応するのは義務です。
あなたは、犯罪の片棒を担がされ、あなたのサイトを訪れたあなたのお客様になってくれるかも知れない人たちを犯罪の犠牲者にしてはなりません。
WordPressサイトオーナーは、サイトの安全性の確保を怠ってはなりません。
今回の、対象となるバージョンは以下の通りです。
WordPress 4.7.5 より前のバージョン
WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行するなどの可能性があります。
この問題は、WordPress を WordPress が提供する修正済みのバージョンに更新することで解決します。詳細は、WordPress が提供する情報を参照してください。
- HTTP クラスにおける不十分なリダイレクト妥当性確認。
- XML-RPC API における投稿メタデータ値の不適切な操作。
- XML-RPC API 投稿メタデータ操作における権限確認の不足。
- ファイルシステム認証情報ダイアログに見つかったクロスサイトリクエストフォージェリ (CRSF) 脆弱性。
- 非常に大きいファイルのアップロードを試みた際に見られるクロスサイトスクリプティング (XSS) 脆弱性。
- Customizer 関連のクロスサイトスクリプティング (XSS) 脆弱性。
これらのセキュリティ関連の問題に加えて、WordPress 4.7.5 では3件のメンテナンス修正を行なっています。
WordPress 4.7.5
WordPress 4.7.5 セキュリティ・メンテナンスリリース
https://ja.wordpress.org/2017/05/18/wordpress-4-7-5/
WordPress 4.7.5 が公開されました。これは過去のすべてのバージョンに対するセキュリティリリースですので、今すぐサイトの更新を行うことを強く勧めます。
WordPress 4.7.4 とそれ以前のバージョンは、以下の6件のセキュリティ問題の影響を受けます:
WordPress関連の脆弱性履歴(2017)
2017/05 複数の BestWebSoft 製 WordPress 用プラグインに脆弱性(出典:JPCERT/CC)
複数の BestWebSoft 製 WordPress 用プラグインにおけるクロスサイトスクリプティングの脆弱性
対象となる製品およびバージョンは以下の通りです。
✔- Captcha 4.3.0 より前のバージョン
✔- Car Rental 1.0.5 より前のバージョン
✔- Contact Form Multi 1.2.1 より前のバージョン
✔- Contact Form 4.0.6 より前のバージョン
✔- Contact Form to DB 1.5.7 より前のバージョン
✔- Custom Admin Page 0.1.2 より前のバージョン
✔- Custom Fields Search 1.3.2 より前のバージョン
✔- Custom Search 1.36 より前のバージョン
✔- Donate 2.1.1 より前のバージョン
✔- Email Queue 1.1.2 より前のバージョン
✔- Error Log Viewer 1.0.6 より前のバージョン
✔- Facebook Button 2.54 より前のバージョン
✔- Featured Posts 1.0.1 より前のバージョン
✔- Gallery Categories 1.0.9 より前のバージョン
✔- Gallery 4.5.0 より前のバージョン
✔- Google +1 1.3.4 より前のバージョン
✔- Google AdSense 1.44 より前のバージョン
✔- Google Analytics 1.7.1 より前のバージョン
✔- Google Captcha (reCAPTCHA) 1.28 より前のバージョン
✔- Google Maps 1.3.6 より前のバージョン
✔- Google Shortlink 1.5.3 より前のバージョン
✔- Google Sitemap 3.0.8 より前のバージョン
✔- Htaccess 1.7.6 より前のバージョン
✔- Job Board 1.1.3 より前のバージョン
✔- Latest Posts 0.3 より前のバージョン
✔- Limit Attempts 1.1.8 より前のバージョン
✔- LinkedIn 1.0.5 より前のバージョン
✔- Multilanguage 1.2.2 より前のバージョン
✔- PDF & Print 1.9.4 より前のバージョン
✔- Pagination 1.0.7 より前のバージョン
✔- Pinterest 1.0.5 より前のバージョン
✔- Popular Posts 1.0.5 より前のバージョン
✔- Portfolio 2.4 より前のバージョン
✔- Post to CSV 1.3.1 より前のバージョン
✔- Profile Extra 1.0.7 より前のバージョン
✔- PromoBar 1.1.1 より前のバージョン
✔- Quotes and Tips 1.32 より前のバージョン
✔- Re-attacher 1.0.9 より前のバージョン
✔- Realty 1.1.0 より前のバージョン
✔- Relevant - Related Posts 1.2.0 より前のバージョン
✔- Sender 1.2.1 より前のバージョン
✔- SMTP 1.1.0 より前のバージョン
✔- Social Buttons Pack 1.1.1 より前のバージョン
✔- Subscriber 1.3.5 より前のバージョン
✔- Testimonials 0.1.9 より前のバージョン
✔- Timesheet 0.1.5 より前のバージョン
✔- Twitter Button 2.55 より前のバージョン
✔- Updater 1.35 より前のバージョン
✔- User Role 1.5.6 より前のバージョン
✔- Visitors Online 1.0.0 より前のバージョン
✔- Zendesk Help Center 1.0.5 より前のバージョン
この問題は、該当する製品を BestWebSoft が提供する修正済みのバージョン
に更新することで解決します。
WP Booking Syste
2017/05 WordPress 用プラグイン WP Booking System にクロスサイトスクリプティングの脆弱性(出典:JPCERT/CC)
WordPress 用プラグイン WP Booking System には、クロスサイトスクリプティングの脆弱性があります。
結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
✔- WP Booking System Free version 1.4 より前のバージョン
✔- WP Booking System Premium version 3.7 より前のバージョン
この問題は、WP Booking System を開発者が提供する修正済みのバージョンに更新することで解決します。
MaxButtons
2017/05 WordPress 用プラグイン MaxButtons にクロスサイトスクリプティングの脆弱性(出典:JPCERT/CC)
WordPress 用プラグイン MaxButtons には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
✔- MaxButtons 6.19 より前のバージョン
✔- MaxButtons Pro 6.19 より前のバージョン
この問題は、MaxButtons を Max Foundry が提供する修正済みのバージョンに更新することで解決します。
2017/05/18 WordPress4.7.5がリリース(4.7.5より前のバージョンの脆弱性対応)
2017/04/21 WordPress4.7.4がリリース(セキュリティリリスでない、バグ対応他)
2017/03/07 WordPress4.7.3がリリース(4.7.2の脆弱性対応)
2017/01/26 WordPress4.7.2がリリース(4.7と4.7.1の脆弱性対応)
2017/01/ WordPress4.7と4.7.1 APIの脆弱性で155万ものサイトが改ざんされた
この様に、WordPressは常に脆弱性(セキュリティホール)が見つかり攻撃されています。
WordPressで構築したサイトは、WordPressの自動更新を導入し、他、API・プラグイン等の脆弱性が発見された場合はそれらの更新プログラム(パッチ)を直ぐに充てられる様にすべきです。
あなたのWebサイトを制作した会社と保守契約を結んでください。
又は、思い切ってWordPressを止めて脆弱性に強いCMSでWebサイトを作り変えることです。
サイト統合のお知らせ
◇2018年12月19日◇

お知らせ 当サイトは年内を持ちまして以下のURLのサイトに統合いたします。 https://a-itc.info/ テーマ 統合先のテーマは、今まで通りです。 モバイルフレンドリー モバイルファー
サイトをリニューアルしました。といってもこのサイトではありません
◇2018年7月26日◇

当然ですが 今まで、他のテーマでアップしていたサイトの コンテンツを全面リニューアルです。今回のリニューアルに際して意識した点は、顧客視点。使いやすく、分かりやすいサイト。検索から訪れて来てくれた人たちのベネフィットがあること
あたりまえのアダムス
◇2018年4月22日◇

もし、 あなたが、つねに改善を求めているのならば、 この本は、 あなたが今まで読んだ本の中でも最も興味深いものになるでしょう。 もし、 あなたが、 何らかの成果を求め続けているのならば、 私が今からお伝えす
自然言語検索があなたのWebサイト集客にもたらすもの
◇2018年4月8日◇

「ググる」ということをあなたも行ったことがあると思います。 と、 言うか、 今ではほとんどの人が、 「ググる」ことなしに日々を過ごしているとは思えません。 それほど、日常生活に溶け込んでいます。
MFI始まる。あなたのサイトは大丈夫ですか?
◇2018年3月30日◇

いよいよ始まります。 Googleが長期にわたってテストと検証を行ってきた モバイルファーストインデックス もし、あなたがWebサイトをお持ちなら、 モバイルに対応する必要性をお感じなら、 この記事を読んでみてください。
あなたのサイトに自然言語検索がもたらす影響
◇2018年3月20日◇

あなたのビジネスはもっとWebを活用すべきです。Webなら大企業より小回りの利く地域ビジネスの方が断然有利です。自然言語検索の実現は、文脈を理解する技術をもたらします。あなたのお客様になってくれるかも知れない人たちに向けたコンテンツを作成し、検索エンジンに…
思いをつたえる
◇2017年12月2日◇

あなたは、どの様にお伝えしていますか?あなたが、ご自分のサービスや商品を紹介するときサービスの特徴や商品の性能や機能の説明になっていませんか?「つたえる」伝わらない。人とひとをつなぐもの、それは、
人気記事
前の記事で、集客にはスマホ・サイトの充実が必要だと書きました。 何故、スマホ・サイトが必要かとお思いでしょうか? それは、既存のHP(ホームページ:サイト※1)は、 パソコンの大きな画面で見ることを前提に作られている
この記事の関連記事
Googleが2016/11/05に発表したモバイル ファースト インデックスに備える必要があります。 Googleがインターネット アクセスの主役をパソコンではなくスマホだと捉え、数年来モバイル ファーストと言って来たものです。
まず質問です。 あなたは何故Webサイトをお持ちなのでしょうか? あなたのWebサイトは、お役に立っていますか? いまはまだ課題を認識されていないのかも知れませんが、・・・ あなたのWebサイトには2つの問題になりうる
ご自分のWebサイトが何で作られているのか、 ご存知ないのであれば、 一度ご自分のWebサイトを制作した会社に連絡して、 脆弱性などの問題は、ないのかどうか・どうか確認してみてください。 脆弱性放置は、なにもWordPressサイトだ
Webサイトの認知 あなたのお客さんになってくれるかも知れない人たちは、あなたの商品・サービスに関心があって購入するのではなく、あなたの商品・サービスを利用することのよって得られるベネフィットを求め・購入に至ります。 最初はWebサイトに直接訪
あなたは、どの様にお伝えしていますか?あなたが、ご自分のサービスや商品を紹介するときサービスの特徴や商品の性能や機能の説明になっていませんか?「つたえる」伝わらない。人とひとをつなぐもの、それは、