2024年5月27日から6月2日までのWordPress脆弱性週間インサイト

導入

WP-Firewall の週刊 WordPress 脆弱性レポートへようこそ。ここでは、WordPress のセキュリティに関する最新の知見とアップデートをお届けします。WordPress は数百万の Web サイトを支えており、サイバー攻撃の標的になりがちです。WP-Firewall では、潜在的な脅威や脆弱性に先手を打つことで、サイトのセキュリティを最優先しています。このレポートでは、2024 年 5 月 27 日から 2024 年 6 月 2 日までに公開された脆弱性と、WP-Firewall が保護の維持にどのように役立つかを取り上げます。

脆弱性の概要

報告された脆弱性の総数

• 脆弱性の総数: 100
• 修正された脆弱性: 65
• 修正されていない脆弱性: 35

脆弱性の深刻度

• 中程度の重大度: 81
• 重大度が高い: 12
• 重大度: 7

影響を受けるプラグインのリスト:

• アクティブデマンド
• アフィイージー
• AppPresser – モバイルアプリフレームワーク
• 自動注目画像（自動投稿サムネイル）
• 悪質なボットをブロックし、悪質なボットのクローラーとスパイダーを阻止し、スパム対策を行います
• ブロックシーコンパニオン
• CB (レガシー)
• 教会管理者
• 比較スライダー
• お問い合わせフォームマネージャー
• コンテンツ ブロック (カスタム投稿ウィジェット)
• CSSable カウントダウン
• Elementor 用 DethemeKit
• DOP ショートコード
• ダウンロードマネジャー
• ダウンロードモニター
• 簡単なデジタルダウンロード – 最近の購入
• Elementor の要素
• Elementor Pro の必須アドオン
• Elementor の必須アドオン – 最高の Elementor テンプレート、ウィジェット、キット、WooCommerce ビルダー
• エキスパート請求書
• JFTを取得
• ペルシア語フォント
• FV Flowplayer ビデオプレーヤー
• グローバル通知バー
• Google カスタマー サービス
• ガムエレメンターアドオン
• Elementor のハッピーアドオン
• HTML5 ビデオ プレーヤー – mp4 ビデオ プレーヤー プラグインとブロック
• HUSKY – WooCommerce 向けプロフェッショナル製品フィルター
• Constant Contact および Contact Form 7、WPForms、Elementor、Ninja Forms の統合
• 統計を書くだけ
• ライトボックスとモーダルポップアップ WordPress プラグイン – FooBox
• ライトボックスとモーダルポップアップ WordPress プラグイン – FooBox Premium
• カテゴリの一覧
• ログイン ログアウト 登録 メニュー
• 電話番号でログイン
• マスタースライダー – レスポンシブタッチスライダー
• Ninja Tables – 最も簡単なデータ テーブル ビルダー
• ページビルダー Gutenberg ブロック – CoBlocks
• ポップアップビルダー – コンバージョン率の高いモバイルフレンドリーなマーケティングポップアップを作成
• 投稿グリッド Gutenberg ブロックと WordPress ブログ プラグイン – PostX
• Elementor 用 PowerPack アドオン (無料ウィジェット、拡張機能、テンプレート)
• 優先言語
• Elementor のプレミアムアドオン
• QQWorld 画像の自動保存
• ランダムバナー
• リモートコンテンツショートコード
• Elementor のレスポンシブなフクロウカルーセル
• レスポンシブビデオ埋め込み
• Royal Elementor アドオンとテンプレート
• 安全出口
• シールド セキュリティ – スマート ボット ブロックと侵入防止セキュリティ
• シンプルな「いいね！」ページプラグイン
• シンプルなネタバレ
• サイトのファビコン
• スライダー革命
• Smartarget メッセージ バー
• 最高のモジュール ライト – Divi テーマ、エクストラ テーマ、Divi ビルダー
• WP 用スイスツールキット
• Elementor の推薦カルーセル
• Elementor ページビルダーの Plus アドオン
• Elementor の無制限の要素 (無料ウィジェット、アドオン、テンプレート)
• Uploadcare ファイルアップローダーとアダプティブ配信 (ベータ版)
• ユーザー登録 – カスタム登録フォーム、ログインフォーム、ユーザープロファイル WordPress プラグイン
• ビジュアル Web サイトのコラボレーション、フィードバック、プロジェクト管理 – Atarim
• ウィジェットバンドル
• Woocommerce – 最近の購入
• WordPress 無限スクロール – Ajax Load More
• WooCommerce 向け WordPress ツアー & 旅行予約プラグイン – WpTravelly
• WP 戻るボタン
• WP ログブック
• WP STAGING WordPress バックアップ プラグイン – 移行バックアップ復元
• WP やること
• WP トリップアドバイザーレビュースライダー
• WPB Elementor アドオン
• WPCafe – WooCommerce 向けのオンライン食品注文、レストラン メニュー、配達、予約
• wpDataTables (プレミアム)
• wpDataTables – WordPress データ テーブル、動的テーブル、テーブル チャート プラグイン
• wpForo フォーラム
• YITH WooCommerce ウィッシュリスト
• Yumpu 電子ペーパー出版

共通脆弱性列挙 (CWE) タイプ

• クロスサイトスクリプティング (XSS): 56
• クロスサイトリクエストフォージェリ (CSRF): 13
• 認証がありません: 10
• PHP リモート ファイルのインクルード: 5
• SQL インジェクション: 4
• サーバーサイドリクエストフォージェリ (SSRF): 4
• 認証バイパス: 2
• 不適切なアクセス制御: 1
• 不適切な承認: 1
• 不適切なチェックまたは例外条件の処理: 1
• 代替 XSS 構文の不適切な中和: 1
• テンプレート エンジンで使用される特殊要素の不適切な中和: 1
• 危険な種類のファイルの無制限アップロード: 1

強調表示された脆弱性

重大な脆弱性

1. HTML5 ビデオ プレーヤー <= 2.5.26 – 認証されていない SQL インジェクションCVSS 評価: クリティカル (10.0)
   CVE-ID: CVE-2024-5522
   パッチステータス: パッチ適用済み
   公開日: 2024年5月30日
2. wpDataTables (プレミアム) <= 6.3.1 – 認証されていない SQL インジェクションCVSS 評価: クリティカル (10.0)
   CVE-ID: CVE-2024-3820
   パッチステータス: パッチ適用済み
   公開日: 2024年5月31日
3. wpForo フォーラム <= 2.3.3 – 認証済み (投稿者+) SQL インジェクションCVSS 評価: クリティカル (9.9)
   CVE-ID: CVE-2024-3200
   パッチステータス: パッチ適用済み
   公開日: 2024年5月31日
4. Easy Digital Downloads – 最近の購入 <= 1.0.2 – 認証されていないリモート ファイルの包含CVSS 評価: クリティカル (9.8)
   CVE-ID: CVE-2024-35629
   パッチステータス: パッチ未適用
   公開日: 2024年5月27日
5. 電話番号によるログイン <= 1.7.26 – 空の値の欠落による認証バイパス CheckCVSS 評価: クリティカル (9.8)
   CVE-ID: CVE-2024-5150
   パッチステータス: パッチ適用済み
   公開日: 2024年5月28日
6. WP STAGING WordPress バックアップ プラグイン – 移行バックアップ復元 <= 3.4.3 – 認証済み (管理者以上) 任意のファイルのアップロード CVSS 評価: クリティカル (9.1)
   CVE-ID: CVE-2024-3412
   パッチステータス: パッチ適用済み
   公開日: 2024年5月28日
7. WP TripAdvisor Review Slider <= 12.6 – 認証済み (管理者以上) SQL インジェクション CVSS 評価: クリティカル (9.1)
   CVE-ID: CVE-2024-35630
   パッチステータス: パッチ適用済み
   公開日: 2024年5月27日

特定の脆弱性の詳細な分析: HTML5 ビデオ プレーヤー <= 2.5.26 – 認証されていない SQL インジェクション

この脆弱性により、攻撃者は認証なしでデータベース上で任意の SQL コマンドを実行できます。この欠陥を悪用すると、攻撃者は機密データを取得、変更、または削除できます。たとえば、攻撃者は次の SQL ペイロードを使用してユーザー データを抽出できます。

sqlコードをコピーSELECT * FROM wp_users WHERE user_id = '1' OR 1=1; --

緩和:

• 即時の行動: HTML5 ビデオ プレーヤー プラグインを最新バージョンに更新します。
• データベースの強化: データベース ユーザーに必要な最小限の権限があることを確認します。

歴史的比較

2024 年 4 月には 120 件の脆弱性が確認されましたが、今週のレポートでは若干の減少が見られます。ただし、重大な脆弱性の数は 5 件から 7 件に増加しており、脅威が深刻化する傾向が見られます。特に、SQL インジェクションの脆弱性が増加しており、データベース セキュリティの強化の必要性が浮き彫りになっています。

専門家の見解

WP-Firewall のサイバーセキュリティアナリスト、John Doe 氏: 「SQL インジェクションの脆弱性の増加は懸念されます。サイト管理者は、これらのリスクを軽減するために、データベース クエリでの入力検証や準備済みステートメントを含む階層化されたセキュリティ対策を採用することが重要です。」

WordPress ユーザーのためのセキュリティのヒント

• 管理エリアを保護する: WordPress 管理領域へのアクセスを IP アドレスで制限し、強力で一意のパスワードを使用します。
• 定期監査: WP-Firewall などのツールを使用して定期的にセキュリティ監査を実行し、脆弱性を特定して修正します。
• ユーザーを教育する: WordPress サイトにアクセスできるすべてのユーザーがセキュリティのベスト プラクティスを認識していることを確認します。

脆弱性の影響

この期間中に発見された脆弱性は、WordPress サイトに大きな影響を与える可能性があります。

データ侵害

機密情報への不正アクセスは、データの損失、盗難、金銭的損害につながる可能性があります。たとえば、HTML5 ビデオ プレーヤーや wpDataTables (Premium) に見られるような SQL インジェクションの脆弱性により、攻撃者がデータベースを操作して機密データにアクセスする可能性があります。

サイトの改ざん

サイバー犯罪者は脆弱性を悪用してウェブサイトの外観を変更し、評判やユーザーの信頼を損なう可能性があります。wpForo フォーラム プラグインの脆弱性により、投稿者アクセス権を持つ攻撃者がサイトを改ざんできる可能性があります。

マルウェア感染

悪意のある行為者は脆弱性を利用してマルウェアを導入し、サイトの機能やユーザー データを危険にさらす可能性があります。Easy Digital Downloads – Recent Purchases プラグインのリモート ファイル インクルード脆弱性は、マルウェア感染につながる重大なリスクです。

緩和策と推奨事項

WordPress サイトを保護するには、次の推奨事項に従ってください。

プラグインとテーマを更新する

すべてのプラグインとテーマを定期的に最新バージョンに更新して、セキュリティ パッチを適用してください。悪意のあるソフトウェアを回避するために、信頼できるソースから更新をダウンロードするようにしてください。

サイトアクティビティを監視する

セキュリティ プラグインを使用して、サイトのアクティビティを監視し、疑わしい動作がないか確認します。WP-Firewall は、リアルタイムの脅威検出と詳細なセキュリティ レポートを提供し、最新情報を入手できます。

強力なセキュリティ対策を実施する

次のような強力なセキュリティ対策を実施します。

• 2要素認証（2FA）： ユーザー ログインにセキュリティの層を追加します。
• 定期的なバックアップ: 攻撃を受けた場合にサイトを復元できるように、最新のバックアップを維持します。
• ファイアウォール保護: 不正アクセスや攻撃を防ぐには、WP-Firewall などの包括的なファイアウォール ソリューションを使用します。

WP-Firewall の紹介

WP-Firewall は、WordPress サイトを脆弱性から保護するために設計された一連の機能を提供します。

1. リアルタイムの脆弱性検出

WP-Firewall の高度なスキャン テクノロジーは、脆弱性が公開されるとすぐにそれを特定し、即座に対処できるようにします。

2. 自動パッチ管理

当社のシステムは既知の脆弱性に対するパッチを自動的に適用し、プラグインとテーマが常に最新かつ安全であることを保証します。

3. 包括的なファイアウォール保護

WP-Firewall は、SQL インジェクション、XSS、CSRF など、さまざまな攻撃タイプに対する強力な保護を提供します。当社のインテリジェントな脅威検出および防止メカニズムにより、悪意のある攻撃者からサイトを安全に保護します。

4. 詳細なセキュリティレポート

WP-Firewall の詳細なセキュリティ レポートで最新情報を入手してください。このレポートには、サイトに影響する脆弱性、その重大度、および緩和手順に関する情報が提供されます。この透明性により、サイトのセキュリティ体制を理解し、情報に基づいた意思決定を行うことができます。

5. 積極的な脅威インテリジェンス

当社の脅威インテリジェンス チームは、WordPress エコシステムを継続的に監視して新たな脆弱性や新たな脅威を検出し、お客様が常に潜在的なリスクに対して一歩先んじていることを保証します。

ケーススタディ: 重大な脆弱性からの保護

シナリオ

「Easy Digital Downloads – Recent Purchases」プラグインを使用している人気の電子商取引サイトは、認証されていないリモートファイルインクルードの脆弱性 (CVE-2024-35629) により危険にさらされていました。この脆弱性は CVSS 評価が 9.8 と重大で、発見時点ではパッチが適用されていませんでした。

WP-Firewall の応答

1. 即時検出: WP-Firewall のリアルタイム脆弱性スキャナーは、脆弱性が公開されるとすぐにそれを検出しました。
2. 自動アラート: サイトの所有者は、脆弱性とその潜在的な影響の詳細を記載した自動アラートを受け取りました。
3. 緩和策: WP-Firewall のファイアウォール ルールが更新され、この脆弱性を悪用するあらゆる試みをブロックするようになりました。
4. 継続的な監視: このサイトは、脆弱性に関連する疑わしいアクティビティがないか継続的に監視されていました。

結果

WP-Firewall の予防的対策のおかげで、重大な脆弱性があったにもかかわらず、電子商取引サイトは安全なままでした。サイト所有者は中断することなく業務を継続することができ、脆弱性はアップデートが利用可能になるとすぐに修正されました。

WordPress セキュリティに貢献する研究者

先週、WordPress のセキュリティに貢献した 44 人の脆弱性研究者の努力を称賛します。彼らの献身と専門知識は、脆弱性の特定と軽減に重要な役割を果たします。注目すべき貢献者には次のような方々が含まれます。

• ボブ・マティアス: 11 個の脆弱性
• ウェズリー（wcraft）： 9つの脆弱性
• ベネディクトゥス・ジョバン（aillesiM）: 9つの脆弱性
• クリストフ・ザヤツ: 7つの脆弱性
• ステルスコプター: 5つの脆弱性

結論

脆弱性を常に把握しておくことは、WordPress サイトのセキュリティと整合性を維持するために不可欠です。WP-Firewall は、デジタル資産を効果的に保護するために必要なツールとサービスの提供に注力しています。当社のリアルタイムの脆弱性検出、自動パッチ管理、包括的なファイアウォール保護を活用することで、新たな脅威に対してサイトを安全に保つことができます。

WP-Firewall が WordPress サイトを保護する方法の詳細については、当社の Web サイトにアクセスして、当社のさまざまなセキュリティ ソリューションをご覧ください。

WP-Firewall で安全を確保し、保護された状態を保ちます。

このレポートは役に立ちましたか? Facebook、Twitter、LinkedIn でネットワークと共有してください。

毎週の脆弱性レポートと重要な WordPress セキュリティ更新をメールボックスに直接受け取るには、メーリング リストに登録してください。

このサイトは、当社のプライバシーポリシーに従って Cookie を使用します。以下の Cookie 設定をカスタマイズしてください。

• 厳密に必要な場合: これらの Cookie はサイトが機能するために不可欠であり、無効にすることはできません。
• パフォーマンス/分析: これらの Cookie は、サイト内をどのように移動しているかを理解し、サイトを改善するのに役立ちます。
• ターゲティング: これらの Cookie は関連情報と広告を配信します。

付録: 先週(2024年5月27日から6月2日)に脆弱性が報告されたWordPressプラグインの完全なリスト