WordPress における SMS プラグインデータ露出の軽減//公開日 2026-04-25//CVE-2026-40790

WP-FIREWALL セキュリティチーム

WP SMS Vulnerability

プラグイン名 WP SMS
脆弱性の種類 データの露出
CVE番号 CVE-2026-40790
緊急 中くらい
CVE公開日 2026-04-25
ソースURL CVE-2026-40790

緊急: WP SMSプラグインの機密データ露出 (CVE-2026-40790) — WordPressサイトの所有者が今すぐ行うべきこと

著者: WP-Firewall セキュリティチーム
日付: 2026-04-24
タグ: WordPress, セキュリティ, 脆弱性, WAF, WP SMS, CVE-2026-40790

まとめ: WP SMSプラグインのバージョン <= 7.2.1 に影響を与える機密データ露出の脆弱性 (CVE-2026-40790) が公開されました。これにより、権限の低いアカウントが制限されるべき情報にアクセスできるようになります。WP SMSプラグインを使用しているサイトを運営している場合は、今すぐこのガイドをお読みください — リスク、即時の緩和策、検出技術、そして7.2.2以降に更新できるまでサイトを保護するための具体的な手順(WAFルールや強化を含む)を説明しています。.


目次

  • TL;DR — 今すぐ行うべきこと
  • 公開された内容 (高レベル)
  • 誰が影響を受け、なぜこれが重要なのか
  • 11. 技術的分析(何がうまくいかなかったか)
  • 潜在的な攻撃者シナリオとリスクプロファイル
  • 悪用の検出方法と侵害の指標
  • 即時のアクション — ステップバイステップ (更新, ブロック, 検査)
  • 推奨されるWAF (仮想パッチ) ルールと例
  • 強化、監視、長期的な修復
  • もしあなたのサイトがすでに侵害されている場合 — インシデントレスポンスプレイブック
  • WP-Firewallがあなたをどのように保護するかと迅速な無料保護オプション
  • 最終的な推奨事項とチェックリスト

TL;DR — 今すぐ行うべきこと

  • WP SMSプラグインがインストールされている場合は、すぐにバージョン7.2.2以降に更新してください。.
  • すぐに更新できない場合は、プラグインを一時的に無効にするか、仮想パッチ(WAFルール)を適用してプラグインのエンドポイントと機密設定への不正アクセスをブロックしてください。.
  • プラグインが保存している可能性のあるAPIキー、認証情報、または電話プロバイダーのトークンを回転させ、管理アカウントのパスワードを予防策としてリセットしてください。.
  • あなたのサイトを妥協の指標 (IOC)、バックドア、そして疑わしいadmin-ajaxまたはRESTエンドポイントの活動についてスキャンしてください。.
  • これを自分で行うのが不安な場合は、信頼できる開発者に連絡するか、管理されたセキュリティサービスを利用してください。.

公開された内容 (高レベル)

WP SMSの脆弱性 (バージョン <= 7.2.1) が公に報告され、CVE-2026-40790が割り当てられました。これは機密データ露出として分類され、CVSS 6.5(中程度)の評価された深刻度を持っています。公開された内容からの重要なポイント:

  • 脆弱なバージョン: 7.2.1 およびそれ以前。.
  • パッチが適用されたバージョン: 7.2.2。.
  • 悪用に必要な権限: サブスクライバー(低レベルユーザー)。.
  • 影響: 低権限ユーザーが利用できるべきでない機密データの不正開示。.

つまり、あなたのサイトに登録できるか、すでに低レベルのユーザーアカウントを持っている攻撃者は、プラグインから機密の設定データや秘密を取得できる可能性があります。これは、他の脆弱性と連鎖する可能性のある脆弱性の一種です — たとえば、ここで公開されたAPIキーは外部サービスにアクセスしたり、さらなる攻撃に移行するために使用される可能性があります。.


誰が影響を受け、なぜこれが重要なのか

影響を受ける:

  • バージョン <= 7.2.1 の WP SMS プラグインがインストールされ、アクティブな任意の WordPress サイト。.
  • 低権限ユーザーが登録できるサイトや、寄稿者/サブスクライバーが存在するサイト。.

なぜ重要なのか:

  • 機密データの露出問題は、情報漏洩だけではありません — 漏洩した認証情報、プロバイダーのAPIキー、または電話番号は、詐欺、アカウント乗っ取り、第三者サービス(SMSゲートウェイ)の悪用、または横移動につながる可能性があります。.
  • 必要な権限が低いため(サブスクライバー)、攻撃面が広がります: 攻撃者はこの問題を悪用するために管理者の資格情報を必要としません。.
  • 脆弱なプラグインバージョンをスキャンする大規模な悪用キャンペーンは、迅速に数千のサイトに影響を与える可能性があり、タイムリーな緩和が重要です。.

11. 技術的分析(何がうまくいかなかったか)

公開されたアドバイザリーは、これを「機密データの露出」と分類し、必要な権限を「サブスクライバー」としており、これは通常、認可制御の問題を示します: 管理者または内部使用のみを意図したリクエストが適切な能力チェックを欠いているか、低権限アカウントに対して過剰なデータを返します。.

このクラスの脆弱性の一般的な根本原因には以下が含まれます:

  • AJAX または REST エンドポイントでの能力チェックの欠如または不正確(current_user_can() または適切な能力がない)。.
  • 機密フィールドをフィルタリングせずに、完全なプラグイン設定またはオプションを返すエンドポイント(APIキーを含む可能性があります)。.
  • 秘密を開示する本番環境で有効のまま残されたデバッグまたは診断エンドポイント。.
  • リクエスターに生のオプション値を返すシリアル化/デシリアル化ロジックまたは直接データベースクエリ。.

悪用の詳細は公開しません。代わりに、実用的な検出と防御ガイダンスに焦点を当てます。短い技術的な話は次のとおりです: WP SMS によって公開されたエンドポイントまたはアクションが、最小限のサイト権限を持つ攻撃者に機密のプラグイン設定を返しました。7.2.2の修正は、適切なアクセス制御を適用し、または応答に秘密フィールドを含めないようにします。.


潜在的な攻撃者シナリオとリスクプロファイル

  1. 認証情報の収集と悪用:
    • 公開されたSMSゲートウェイAPIキーまたは電話プロバイダーのトークンは、攻撃者があなたの費用でメッセージを送信したり、SMSに依存する多要素フローを回避することを可能にします。.
  2. アカウント乗っ取り:
    • 攻撃者は漏洩した情報(例: メールテンプレート、一時コード、または管理者変更ログ)を使用して、サポートを社会工学的に操作したり、認証情報を再利用します。.
  3. サプライチェーン/サードパーティの悪用:
    • プラグインがサードパーティサービスの認証情報を保存している場合、攻撃者はそれらのサービス(SMSプロバイダーポータル)にアクセスでき、財務的および評判の損害を引き起こす可能性があります。.
  4. チェーン攻撃:
    • 低能力の情報漏洩は、しばしば後続のバグ(例:保存されたXSS、管理者側のリクエスト、または権限昇格)を可能にします。攻撃者は、サイト上の他の脆弱性とこの脆弱性を連鎖させようとします。.

低権限アカウントの悪用の容易さを考慮し、登録できるサブスクライバーや寄稿者アカウントが存在するサイトでは、これを緊急の問題として扱うべきです。.


悪用の検出方法と侵害の指標

WPプラグインで一般的に使用されるエンドポイントに焦点を当てた異常な動作を探すべきです(admin-ajax、RESTエンドポイント、またはプラグイン特有のファイル)。以下は確認すべき項目の優先リストです:

ログとリクエストパターン

  • プラグインを参照するアクションパラメータを持つ/wp-admin/admin-ajax.phpへの繰り返しリクエストや、ボットによって使用されるユーザーエージェント文字列を持つリクエスト。.
  • 不明なIPからの/wp-json/または任意のプラグイン特有のRESTルート(例:/wp-json/wp-sms/*)へのリクエストや、異常な頻度のリクエスト。.
  • 設定、オプション、または設定を要求するクエリ文字列やボディパラメータを含むリクエスト。.

13. 異なるトラバーサルパターン(シングルエンコード、ダブルエンコード)での複数の試行。

  • 短時間に多くのリクエストを行う新しいサブスクライバーまたは低権限アカウント。.
  • 予想されるオーディエンスではない少数のリモートIPから発信されるリクエスト。.

WordPressの状態とデータチェック

  • プラグイン設定の予期しない変更や、サイト所有者によって設定されていないAPIキーの存在。.
  • 疑わしい値を含む新しいまたは変更されたwp_optionsエントリ。.

ファイルシステムとマルウェアチェック

  • アップロード、プラグインディレクトリ、またはwp-content内の新しいPHPファイルに難読化されたコードが含まれている。.
  • あなたが変更していないプラグインまたはコアファイルの修正されたタイムスタンプ。.
  • バックドアやウェブシェルの存在(eval/base64_decodeパターンや難読化された関数を探す)。.

管理者の兆候

  • 予期しない送信メッセージ(SMS)やSMSプロバイダーアカウントでの請求の急増。.
  • 疑わしいリクエストの直後に監査ログに記録された説明のない管理者アクション。.

基本的な検出コマンド(例)

  • 疑わしいアクセスのためにサーバーログ(Apache/Nginx)でgrepを使用:
    grep -i "admin-ajax.php" /var/log/nginx/access.log | grep "wp-sms"
  • プラグインのバージョンを確認するためのWordPress CLI:
    wp プラグイン リスト --status=active --format=csv | grep wp-sms
  • 疑わしいファイルを検索:
    find wp-content -type f -name "*.php" -mtime -7 -print

疑わしい活動の兆候を見つけた場合は、以下のインシデントレスポンスセクションに移動してください。.


即時のアクション — ステップバイステップ (更新, ブロック, 検査)

優先度A — 今すぐ更新(最良の選択肢)

  1. WP SMSプラグインをバージョン7.2.2(またはそれ以降)に更新するには:
    • 管理UI:ダッシュボード → プラグイン → 更新
    • またはWP-CLI:
      wp プラグイン 更新 wp-sms
  2. プラグインのバージョンを確認してください:
    wp プラグイン 取得 wp-sms --field=version
  3. サイトの機能を確認し、可能であればステージングサーバーでSMSワークフローをテストしてください。.

優先度B — すぐに更新できない場合

  1. プラグインを一時的に無効にするか、非アクティブにします:
    • ダッシュボード → プラグイン → 無効化(最速)
    • またはWP-CLI: wp プラグイン 無効化 wp-sms
  2. プラグインが必須の場合は、更新できるまで脆弱な動作をブロックするためにWAF / 仮想パッチルールを適用してください(下記参照)。.

優先度C — シークレットと資格情報をローテーションする

  1. WP SMSが保存または使用するAPIキー、トークン、またはプロバイダーの資格情報(SMSゲートウェイキー、電話番号)を特定します。.
  2. プロバイダーコンソールでそれらのキーをローテーションし、プラグインが更新または置き換えられた後にプラグイン設定を更新します。.
  3. 疑わしい活動を検出した場合は、管理者および特権ユーザーのパスワードをリセットします。.

優先度D — スキャンと検査

  1. フルマルウェアスキャンを実行します(WP-Firewallマルウェアスキャナーまたは他の信頼できるスキャナー)。.
  2. IOCのためにウェブサーバーログを検査します(前のセクションを参照)。.
  3. プラグインによって最近作成または変更されたエントリのためにwp_optionsをレビューします。.
  4. 新しいユーザーを確認し、役割と権限をレビューします。.

優先度E — バックアップとスナップショット

  1. 法医学的目的のためにすぐにスナップショットまたはバックアップを作成します(事前のインシデントバックアップを上書きしないでください)。.
  2. 調査のためにログとバックアップのコピーを保持します。.

推奨されるWAF (仮想パッチ) ルールと例

影響を受けたすべてのサイトをすぐに更新できない場合は、Webアプリケーションファイアウォールを介した仮想パッチが時間を稼ぎます。以下は、Apache/ModSecurity、Nginx(ModSecurity付き)、またはアプリケーションレベルのリクエストフィルタリングに適用できる実用的で保守的なWAFルールです。目標:プラグインの設定やエンドポイントにアクセスしようとする無許可の低権限リクエストをブロックします。.

重要: 正当なサイト機能を破壊するルールは避けてください。ブロックする前に、ステージングでルールをテストするか、「ログのみ」モードで監視します。.

1) 一般的なルール:プラグイン固有のRESTエンドポイントへの匿名/低権限リクエストをブロックします。

Nginx + ModSecurity(概念的ルール):

  • プラグイン名パスを含むRESTエンドポイントへのリクエストを検出します(一般的に示された例のパス)。.
  • リクエストメソッドがGETで、ログインユーザーを示すクッキーがない場合(wordpress_logged_in_クッキーがない) — ブロックまたはチャレンジします。.

ModSecurity擬似ルール(例):

SecRule REQUEST_URI "@rx /wp-json/(?:wp-sms|wp_sms|wp-sms-pro)/" \"

2) プラグインデータを要求する疑わしいadmin-ajax呼び出しをブロックまたはレート制限します。

多くのプラグインアクションはadmin-ajax.phpを使用します。認証されていないユーザーからの可能性のあるパラメータ名(settings、get_optionsなど)を含む呼び出しをブロックするルールを適用します。.

例 ModSecurity:

SecRule ARGS_NAMES "@rx (get_settings|get_options|get_config|settings|options)" \"

3) 存在する場合、一般公開からプラグイン管理ファイルへのアクセスをブロックします

プラグインが以下の管理ファイルを公開している場合 /wp-content/plugins/wp-sms/admin/ それは管理者のみがアクセスすべきものであり、IPによる外部アクセスをブロックするか、認証を要求します。.

Nginxのロケーションルールの例:

location ~* /wp-content/plugins/wp-sms/.+\.php$ {

注記: このアプローチは保守的であり、一部の設定では正当な管理AJAX呼び出しを壊す可能性があります — 適用前にテストしてください。.

4) レート制限:同じIP / アカウントからの繰り返しの相互作用を制限します

疑わしいエンドポイントに対してリクエストのスロットリングを実装します:

  • M秒以内にadmin-ajaxまたはRESTエンドポイントにN回以上リクエストを行うIPアドレスをブロックまたは遅延させます。.

Nginx + limit_reqの例:

limit_req_zone $binary_remote_addr zone=wp_ajax:10m rate=30r/m;

5) 悪質なボットをブロックし、疑わしいユーザーエージェントをフィンガープリンティングします

多くの自動化された攻撃試行はスクリプト化されたユーザーエージェントを使用します;プラグインエンドポイントに繰り返しアクセスするユーザーエージェントの拒否リストを作成し、403で応答します。.

6) ロギングとアラート:ブロックされた試行がサイトの所有者/管理者にアラートをトリガーすることを確認します

仮想パッチは一時的なものです。後の調査のために、ブロックされたリクエストのペイロード、IP、ヘッダー、およびタイムスタンプをキャプチャするようにロギングを構成します。.

ガイドライン

  • 新しいルールの評価に「モニター/ログのみ」モードから始めて、誤検知を評価します。.
  • 最小限のブロックを使用します — 認証されていないリクエストにはチャレンジ(CAPTCHA)または403ブロックを優先します。.
  • 幅広く展開する前にステージングでテストします。.

WP-Firewallを使用している場合、管理されたルールセットにはこのクラスの問題に対する仮想パッチが含まれており、アップグレード中にサイトを保護するためにすぐにオンにできます。.


強化、監視、長期的な修復

更新または仮想パッチを適用した後は、セキュリティ姿勢を広く見直します。推奨されるコントロールは次のとおりです:

  1. 最小権限の原則
    • 必要ない場合はユーザー登録を制限します; 登録が必要な場合のみデフォルトの役割を「購読者」に設定します。可能な場合は、ユーザー登録を無効にします(設定 → 一般)。.
    • 定期的にユーザーを監査し、未使用のアカウントを削除します。.
    • プラグインで管理者レベルのAPIキーを使用するのは避けます。制限された権限のスコープ付きキーを使用します。.
  2. プラグインのメンテナンスを確保します。
    • すべてのプラグイン、テーマ、コアを更新し続けます; サイトにカスタマイズがある場合は、更新テストにステージングを使用します。.
    • 未使用のプラグインとテーマを削除します — 未使用のコードは攻撃面を増加させます。.
    • 信頼できるプラグインのみに登録し、統合に使用される高リスクプラグインのコード監査を実施します(SMS、決済ゲートウェイ)。.
  3. RESTおよびAJAXエンドポイントを保護します。
    • 機能チェックを強制する(現在のユーザーができる()) 機密データを返すエンドポイントのために。.
    • レスポンスに秘密(APIキー、トークン)を返すのは避けます; 機密フィールドをマスクまたは削除します。.
    • フォーム送信にはノンスを使用し、機密アクションを処理する前にそれらを要求します。.
  4. 秘密管理
    • 暗号化なしでwp_optionsまたはプラグイン設定に長期間の秘密を保存するのは避けます。.
    • 実用的な場合は、サーバーレベルで秘密のために環境変数を使用し、サポートされている場合はプラグイン内で読み込みます。.
  5. 監視とアラート
    • 異常なリクエストパターンや失敗した認証試行のためにログを監視します。.
    • WAFブロックやadmin-ajaxまたはRESTリクエストの急激なスパイクに対してメール/SMSアラートを設定します。.
  6. バックアップと不変アーカイブ
    • 定期的なオフサイトバックアップを維持し、定期的に復元テストを行います。.
    • 疑わしい侵害の前の安全な不変バックアップを保持し、法医学分析のために使用します。.
  7. 自動スキャンと定期監査
    • プラグインやテーマに対して自動脆弱性スキャンを実行します。.
    • 外部資格情報を管理するプラグインや特権アクションを実行するプラグインについて、定期的な手動監査をスケジュールします。.

もしあなたのサイトがすでに侵害されている場合 — インシデントレスポンスプレイブック

侵害の兆候(異常なリクエスト、新しい管理者ユーザー、変更されたファイル)を発見した場合は、直ちに以下のインシデント対応手順を実行します。.

隔離と封じ込め

  1. 活動を封じ込められない場合は、サイトをメンテナンスモードにするか、オフラインにします。.
  2. 脆弱なプラグインを一時的に無効にします(wp プラグイン 無効化 wp-sms)または、攻撃トラフィックをブロックするために厳格なWAFルールを適用します。.

証拠を保存する

  1. 完全なバックアップスナップショットを作成します(ログ、データベースダンプ、ファイルシステムコピーを保存)。.
  2. インシデントの30日前までのウェブサーバーログをエクスポートします。.

根絶

  1. ウェブシェルや悪意のあるファイルをスキャンし、バックドアを削除します。.
  2. 変更されたコア/プラグインファイルを信頼できるソースからのクリーンなコピーに置き換えます。.
  3. 潜在的に露出したすべての資格情報をローテーションします:WordPressユーザー、APIキー、プロバイダー資格情報。.

回復

  1. 侵害の痕跡が残っている場合は、最新のクリーンバックアップからサイトを復元します。.
  2. すべてのソフトウェアを更新します:WordPressコア、プラグイン、テーマ。.
  3. 再感染を注意深く監視します:ログをチェックして繰り返しの攻撃パターンを確認します。.

事後対応

  1. 根本原因分析を実施します:攻撃者はどのように侵入したのか?どのデータがアクセスされたのか?
  2. 財務データや顧客データが漏洩した場合は、第三者のフォレンジック分析を検討してください。.
  3. 影響を受けた利害関係者に通知し、法律で要求される場合は、違反通知要件に従ってください。.

WP-Firewallがあなたを守る方法

WP-Firewallのチームとして、私たちのアプローチは層状防御に焦点を当てています:

  • 管理されたWAFルール: 新たに開示されたプラグインの脆弱性に対して仮想パッチとルールを公開し、更新が展開される間にサイトを保護するために迅速に展開します。.
  • マルウェアスキャンと削除: 私たちのスキャナーは、侵害の指標、疑わしいファイル、および一般的なバックドアパターンを探します。上位プランには自動マルウェア除去が含まれています。.
  • 自動脆弱性仮想パッチ: 高影響の脆弱性に対しては、ベンダーパッチが適用されるまで保護されたサイト全体に仮想パッチを適用できます。.
  • リアルタイムブロッキングとレート制限: 悪意のあるトラフィックパターンを制限し、既知の悪意のある行為者をブロックすることで、大規模な悪用キャンペーンから保護します。.
  • 継続的な監視と報告: 迅速に対応できるようにログとアラートを提供します。.

直ちに保護が必要でWAFがない場合は、上記のように保守的な仮想パッチルールを適用し、重要なAPIキーをローテーションすることをお勧めします。多くのサイトオーナーにとって、管理されたファイアウォールとマルウェアスキャナーは運用負荷を軽減し、安心感を提供します。.


WP-Firewallで無料保護を開始

すぐにWordPressサイトを保護したい場合は、WP-Firewall Basic(無料)プランから始めることを検討してください。管理されたファイアウォール、WAF、無制限の帯域幅、マルウェアスキャナー、OWASP Top 10リスクへの緩和を含む基本的な保護を提供します。更新や調査中にWP SMSの機密データ漏洩のような一般的な悪用試行をブロックするために必要なすべてが揃っています。ここから始めることができます: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

より自動化された応答が必要な場合は、自動マルウェア除去と制限されたIPホワイトリスト/ブラックリストがスタンダードプランで利用可能です。複数のサイトを管理するチームや代理店向けに、プロプランには自動仮想パッチと月次セキュリティレポートが含まれており、インシデント対応がはるかに迅速になります。.


詳細な例:安全なWAFルールスニペットと検出パターン

以下は、あなたの環境に適応できる長い例です。これらはガイドラインです — あなたのサイトに合わせて調整してください。.

A. ModSecurity:疑わしいRESTエンドポイントへの認証されていないリクエストをブロック(最初は監視モード)

# ルール 900100 - WP-SMS RESTエンドポイントへのアクセスを監視"

B. Admin-ajaxパラメータ監視(疑わしいadmin-ajaxエントリをログに記録)

SecRule REQUEST_URI "@streq /wp-admin/admin-ajax.php" "id:900110,phase:2,pass,nolog,chain"

C. Nginx: プラグイン管理フォルダへの直接アクセスを拒否(内部のみ許可)

location ~* ^/wp-content/plugins/wp-sms/admin/ {

注記: 内部を慎重にテストして使用 — 直接の公開アクセスを拒否します。一部の内部プラグイン資産にはアクセスが必要な場合があります — まず検証してください。.

D. 管理者-ajaxのレート制限でプローブを遅くする

limit_req_zone $binary_remote_addr zone=ajax_zone:10m rate=60r/m;

監視アラート

  • 上記のルールがモニターからブロック状態に移行したときや、admin-ajaxまたはRESTエンドポイントの閾値に達したときにアラートを送信するようにWAFを設定してください。.

ホスティングプロバイダーまたは開発者に尋ねるべき質問

  • WP SMSプラグインが私たちの環境でアクティブに動作しているか、どのバージョンかを確認しましたか?
  • 脆弱なリクエストパターンをブロックするために、すべてのサイトに中央で一時的なWAFルールを適用できますか?
  • 法医学分析のために、最近のバックアップと少なくとも30日間のログ保持がありますか?
  • このプラグインにリンクされているサービス(SMSゲートウェイプロバイダー)はどれで、今すぐそれらのキーをローテーションできますか?
  • パッチを適用するまでユーザー登録を無効にするか、デフォルトの役割を変更できますか?

最終的な推奨事項とチェックリスト

即時チェックリスト(最初の24時間)

  • [ ] WP SMSがインストールされているか確認する(wp plugin list)。.
  • [ ] 可能であればWP SMS 7.2.2以降に更新する。.
  • [ ] 更新できない場合は、プラグインを無効にするか、説明された仮想パッチルールを有効にする。.
  • [ ] SMS/ゲートウェイの資格情報と公開されたAPIキーをローテーションする。.
  • [ ] 過去30日間のウェブサーバーログをエクスポートして保護する。.
  • [ ] フルマルウェアおよび整合性スキャンを実行します。.

24〜72時間のフォローアップ

  • [ ] バックドアや疑わしいPHPファイルの詳細スキャンを実施します。.
  • [ ] 新しいユーザーや権限の昇格を確認します。.
  • [ ] WAFログを監視し、繰り返しのヒットに対してアラートを設定します。.
  • [ ] 実施したアクションを文書化し、必要に応じて利害関係者に通知します。.

長期的

  • [ ] 管理されたWAFまたはプロフェッショナルなセキュリティ監視を実装します。.
  • [ ] 使用していないプラグインを削除して攻撃面を減らします。.
  • [ ] 外部認証情報を保存するサードパーティプラグインを監査します。.

最後に

このWP SMSの機密データ露出は、プラグインの認証エラーが大きな影響を及ぼす可能性があることを思い出させます — 特に、低権限のユーザーが秘密を抽出できる場合に。最も迅速で効果的な防御は、ベンダーパッチ(7.2.2)を直ちに適用することです。パッチをすぐに適用できない場合は、適切に構成されたWAFを介した仮想パッチ、秘密のローテーション、およびターゲットを絞った監視が、時間を稼ぐための確実な緩和策を提供します。.

上記のルールの実施、修正の検証、または仮想パッチのオンボーディングに関して支援が必要な場合は、WP-Firewallのセキュリティチームがサポートできます。私たちの管理されたシールドとスキャンは、緊急時にサイトを保護するために迅速にオンにすることができ、再発する脅威を抑えることができます。.

安全を保ち、あなたのWordPressサイトのいずれかでWP SMSを実行している場合は、これを高優先度として扱ってください。.

— WP-Firewall セキュリティチーム


wordpress security update banner

WP Security Weeklyを無料で受け取る 👋
今すぐ登録
!!

毎週、WordPress セキュリティ アップデートをメールで受け取るには、サインアップしてください。

スパムメールは送りません! プライバシーポリシー 詳細については。