MENU

またもWordPressに複数の脆弱性

2017年5月27日

何度も申し上げている様にWordPressの自動更新API・プラグインなど脆弱性が見つけられた時、スグに更新できるよう、

あなたのWebサイト制作会社と保守契約を直ぐに結んでください。

ホームページは作ってお終いではなく、サイトオーナーとしてこれらの脆弱性に対応するのは義務です。

あなたは、犯罪の片棒を担がされ、あなたのサイトを訪れたあなたのお客様になってくれるかも知れない人たちを犯罪の犠牲者にしてはなりません。

WordPressサイトオーナーは、サイトの安全性の確保を怠ってはなりません。

 

今回の、対象となるバージョンは以下の通りです。

WordPress 4.7.5 より前のバージョン

WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行するなどの可能性があります。

この問題は、WordPress を WordPress が提供する修正済みのバージョンに更新することで解決します。詳細は、WordPress が提供する情報を参照してください。
  1. HTTP クラスにおける不十分なリダイレクト妥当性確認。
  2. XML-RPC API における投稿メタデータ値の不適切な操作
  3. XML-RPC API 投稿メタデータ操作における権限確認の不足
  4. ファイルシステム認証情報ダイアログに見つかったクロスサイトリクエストフォージェリ (CRSF) 脆弱性。
  5. 非常に大きいファイルのアップロードを試みた際に見られるクロスサイトスクリプティング (XSS) 脆弱性。
  6. Customizer 関連のクロスサイトスクリプティング (XSS) 脆弱性。

これらのセキュリティ関連の問題に加えて、WordPress 4.7.5 では3件のメンテナンス修正を行なっています。

XSS,CSRF

WordPress 4.7.5

WordPress 4.7.5 セキュリティ・メンテナンスリリース
https://ja.wordpress.org/2017/05/18/wordpress-4-7-5/

 

WordPress4.7.5

WordPress 4.7.5 が公開されました。これは過去のすべてのバージョンに対するセキュリティリリースですので、今すぐサイトの更新を行うことを強く勧めます。

 

WordPress 4.7.4 とそれ以前のバージョンは、以下の6件のセキュリティ問題の影響を受けます:

 

WordPress関連の脆弱性履歴(2017)

2017/05 複数の BestWebSoft 製 WordPress 用プラグインに脆弱性(出典:JPCERT/CC

複数の BestWebSoft 製 WordPress 用プラグインにおけるクロスサイトスクリプティングの脆弱性

 

対象となる製品およびバージョンは以下の通りです。

✔- Captcha 4.3.0 より前のバージョン

✔- Car Rental 1.0.5 より前のバージョン

✔- Contact Form Multi 1.2.1 より前のバージョン

✔- Contact Form 4.0.6 より前のバージョン

✔- Contact Form to DB 1.5.7 より前のバージョン

✔- Custom Admin Page 0.1.2 より前のバージョン

✔- Custom Fields Search 1.3.2 より前のバージョン

✔- Custom Search 1.36 より前のバージョン

✔- Donate 2.1.1 より前のバージョン

✔- Email Queue 1.1.2 より前のバージョン

✔- Error Log Viewer 1.0.6 より前のバージョン

✔- Facebook Button 2.54 より前のバージョン

✔- Featured Posts 1.0.1 より前のバージョン

✔- Gallery Categories 1.0.9 より前のバージョン

✔- Gallery 4.5.0 より前のバージョン

✔- Google +1 1.3.4 より前のバージョン

✔- Google AdSense 1.44 より前のバージョン

✔- Google Analytics 1.7.1 より前のバージョン

✔- Google Captcha (reCAPTCHA) 1.28 より前のバージョン

✔- Google Maps 1.3.6 より前のバージョン

✔- Google Shortlink 1.5.3 より前のバージョン

✔- Google Sitemap 3.0.8 より前のバージョン

✔- Htaccess 1.7.6 より前のバージョン

✔- Job Board 1.1.3 より前のバージョン

✔- Latest Posts 0.3 より前のバージョン

✔- Limit Attempts 1.1.8 より前のバージョン

✔- LinkedIn 1.0.5 より前のバージョン

✔- Multilanguage 1.2.2 より前のバージョン

✔- PDF & Print 1.9.4 より前のバージョン

✔- Pagination 1.0.7 より前のバージョン

✔- Pinterest 1.0.5 より前のバージョン

✔- Popular Posts 1.0.5 より前のバージョン

✔- Portfolio 2.4 より前のバージョン

✔- Post to CSV 1.3.1 より前のバージョン

✔- Profile Extra 1.0.7 より前のバージョン

✔- PromoBar 1.1.1 より前のバージョン

✔- Quotes and Tips 1.32 より前のバージョン

✔- Re-attacher 1.0.9 より前のバージョン

✔- Realty 1.1.0 より前のバージョン

✔- Relevant - Related Posts 1.2.0 より前のバージョン

✔- Sender 1.2.1 より前のバージョン

✔- SMTP 1.1.0 より前のバージョン

✔- Social Buttons Pack 1.1.1 より前のバージョン

✔- Subscriber 1.3.5 より前のバージョン

✔- Testimonials 0.1.9 より前のバージョン

✔- Timesheet 0.1.5 より前のバージョン

✔- Twitter Button 2.55 より前のバージョン

✔- Updater 1.35 より前のバージョン

✔- User Role 1.5.6 より前のバージョン

✔- Visitors Online 1.0.0 より前のバージョン

✔- Zendesk Help Center 1.0.5 より前のバージョン

この問題は、該当する製品を BestWebSoft が提供する修正済みのバージョン

に更新することで解決します。

 

WP Booking Syste

2017/05  WordPress 用プラグイン WP Booking System にクロスサイトスクリプティングの脆弱性(出典:JPCERT/CC

WordPress 用プラグイン WP Booking System には、クロスサイトスクリプティンの脆弱性があります。

 

結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性があります。

 

対象となるバージョンは以下の通りです。

✔- WP Booking System Free version 1.4 より前のバージョン

✔- WP Booking System Premium version 3.7 より前のバージョン

この問題は、WP Booking System を開発者が提供する修正済みのバージョンに更新することで解決します。

 

MaxButtons

2017/05 WordPress 用プラグイン MaxButtons にクロスサイトスクリプティングの脆弱性(出典:JPCERT/CC

WordPress 用プラグイン MaxButtons には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性があります。

 

対象となるバージョンは以下の通りです。

✔- MaxButtons 6.19 より前のバージョン

✔- MaxButtons Pro 6.19 より前のバージョン

この問題は、MaxButtons を Max Foundry が提供する修正済みのバージョンに更新することで解決します。

 

2017/05/18  WordPress4.7.5がリリース(4.7.5より前のバージョンの脆弱性対応)

2017/04/21  WordPress4.7.4がリリース(セキュリティリリスでない、バグ対応他)

2017/03/07 WordPress4.7.3がリリース(4.7.2の脆弱性対応)

2017/01/26 WordPress4.7.2がリリース(4.7と4.7.1の脆弱性対応)

2017/01/  WordPress4.7と4.7.1 APIの脆弱性で155万ものサイトが改ざんされた

 

この様に、WordPressは常に脆弱性(セキュリティホール)が見つかり攻撃されています。

 

WordPressで構築したサイトは、WordPressの自動更新を導入し、他、API・プラグイン等の脆弱性が発見された場合はそれらの更新プログラム(パッチ)を直ぐに充てられる様にすべきです。

 

あなたのWebサイトを制作した会社と保守契約を結んでください。

 

又は、思い切ってWordPressを止めて脆弱性に強いCMSでWebサイトを作り変えることです。

 

新着記事

検索1位Googleで65万8千件中 スマホ集客

◇2017年2月15日◇

Google  Titleは「最適スマホ集客ホームページを動画でご紹介さいたま熊谷東京関東」 Snippet(要約)は「2016年6月14日 .スマホ集客ホームページが実際にはスマホでどの様に見えるかを動画で紹介します。 スマホ集客ホームページ

被害が155万サイト改ざん・WordPressを使う義務

◇2017年2月13日◇

155万サイトが改ざん被害、REST API脆弱性を20のグループが攻撃、米Feedjit報告    あなたは、どの様にお考えですか?    あなたのWebサイトはWordPressで作られています。だとしたら? あなたのWebサイト

動画マーケティングYouTubeを有効に使っていますか

◇2017年2月10日◇

あなたはyoutubeを有効に使って、あなたのマーケティングをしていますか? なぜ、こんな質問をしたかと言うと、・・・ 理由があります。   ただ、動画を作ってYoutubeにアップすれば良い・・・だけではダメなんですよ。   20世紀

してはいけない他人ごと。またもWordPress脆弱性02/06

◇2017年2月9日◇

  JPCERTコーディネーションセンター  https://www.jpcert.or.jp/ 「WordPress の脆弱性に関する注意喚起 」のキャプチャ―画像                           I. 概要   W

検索で3位YahooもGoogleもスマホもパソコンも

◇2017年2月6日◇

今回は、地元熊谷でなく、もっと広範において内部対策SEO効果の実証をしてみた。   ここまでのブログは208記事。   そしてSEO対策としては特定ページのtitleとdescriptionをページの趣旨を最もよく表した言葉に変更してみた結

他人ごとと思っていませんか?WordPressの脆弱性③

◇2017年2月2日◇

 私が使っているWordPressは自動更新を設定している。    そして、過去に問題のあったplugin(プラグイン ※)は、一切使っていない。 と言うのは、pluginの方は自動更新ができないから。    もし、 脆弱性が発見された

Webサイト制作会社に任せっぱなしは放置と同じ

◇2017年2月1日◇

Webサイト制作の要件 /// Webサイト制作の勘違い    ほとんどのホームページ(Webサイト)は、Webマーケティングの要件を満たしていません。    コンテンツを詰め込み過ぎです。  まるで、実店舗と変わらない有様です。  

人気記事

前の記事で、集客にはスマホ・サイトの充実が必要だと書きました。    何故、スマホ・サイトが必要かとお思いでしょうか? それは、既存のHP(ホームページ:サイト※1)は、   パソコンの大きな画面で見ることを前提に作られている

この記事の関連記事

Googleが2016/11/05に発表したモバイル ファースト インデックスに備える必要があります。   Googleがインターネット アクセスの主役をパソコンではなくスマホだと捉え、数年来モバイル ファーストと言って来たものです。  

まず質問です。 あなたは何故Webサイトをお持ちなのでしょうか?     あなたのWebサイトは、お役に立っていますか? いまはまだ課題を認識されていないのかも知れませんが、・・・   あなたのWebサイトには2つの問題になりうる

あなたは地域ビジネスのオーナーです。 あなたはホームページ(Webサイト)で集客をねらっています。 でも、中々Webサイトからの集客につながっていません   どうしてでしょうか?     一度あなたのWebサイトを見直してみるのも

ご自分のWebサイトが何で作られているのか、 ご存知ないのであれば、 一度ご自分のWebサイトを制作した会社に連絡して、 脆弱性などの問題は、ないのかどうか・どうか確認してみてください。   脆弱性放置は、なにもWordPressサイトだ

Webサイトの認知 あなたのお客さんになってくれるかも知れない人たちは、あなたの商品・サービスに関心があって購入するのではなく、あなたの商品・サービスを利用することのよって得られるベネフィットを求め・購入に至ります。 最初はWebサイトに直接訪


最新記事

アーカイブ

2015

お知らせ

 

お知らせ

こんにちは

会社情報

合同会社 アルファ・ITC

 https://a-itc.info

上記サイトは、新しいスマホ最適サイトです

 

 

このサイトは、

IT有資格者(ITコーディネータ)が、

 ご提案する 集客(顧客獲得)に特化したサイトの制作例です。

電話番号

080-4433-7227

所在地

〒230-0041
神奈川県横浜市鶴見区


© 2018 スマホ最適化ホームページで商売繁盛。あなたも! All rights reserved.