7万以上のサイトに影響を与えるエレメンページビルダーセキュリティ更新プログラム

Last Updated:2021年04月07日| | コメントを残す

Wordfenceは、エレメントで作成されたサイトに存在する脆弱性を発見したと発表しました。 エレメンターページビルダーは開発者によると700万個以上のサイトにインストールされ使用されているそうです。 Elementorを使用している場合は、最新バージョン(3.1.4以降)にアップデートしてください。 エレメンプロを使用する場合は3.2.0以降のバージョンにアップデートする必要が安全です。

7万以上のサイトに影響を与えるエレメンページビルダーセキュリティ更新プログラム

Stored XSSの脆弱性

エレメンページビルダーで発見されたセキュリティ上の問題は、Stored XSS(保存クロスサイトスクリプティング)の脆弱性の一種であり、攻撃者がサイトの制御を掌握する可能性があります。

(XSS Cross Site Scripting)は、攻撃者(ハッカー)が悪意のあるスクリプトをアップロードし、ブラウザに表示されるスクリプトが実行されているWebページを実行する脆弱性のタイプです。

スクリプトはクッキー、パスワードなどを盗むなど、さまざまな作業を行うことができます。

ウェブサイト自体にスクリプトが保存されるので、これらのXSSの悪用(exploit)をStored Cross Site Scripting(保存クロスサイトスクリプティング)の脆弱性と言いますね。 他のタイプのXSSにReflected Cross Site Scriptingというものがありますが、これは(電子メールなどを介して)クリックしたリンクに依存する方式とします。

Stored Cross Site Scriptingは、Webページを訪問するすべての訪問者を攻撃することができるので、より大きな脅威になることがあります。

ElementorのStored XSSの脆弱性

エリーメンターに影響を与えるStored XSSの脆弱性は、管理者のログイン情報を奪取するために悪用されることがあります。 しかし、攻撃者は、最初に文の発行レベルの WordPress ユーザー権限を持っている必要があります。 最も低いユーザーレベルである「貢献者(外部必須; Contributor)」権限を持っていても攻撃を開始できます。

貢献レベルの WordPress 管理者は、サイトで自分の文章を読んで発行して、編集、および削除することができ、低レベルのユーザーです。 しかし、このユーザーの役割は、画像などのメディアファイルをアップロードすることができません。

今回発見された脆弱性を利用して、悪意のある攻撃者は、編集画面で悪意のあるスクリプトをアップロードすることができます。 次の6つのエレメン要素の抜け穴(loophole)が存在します。

  1. アコーディオン(Accordion)
  2. アイコンボックス(Icon Box)
  3. 画像ボックス(Image Box)
  4. ヘディング(Heading)
  5. ディバイダ(Divider)
  6. カラム(Column)

エレメンページビルダーを最新バージョンにアップデートしてください

このブログを通じて、常に強調する内容であるが、セキュリティのために WordPress、テーマ、プラグインを最新バージョンに更新することが望ましい。 そして長い間更新ない放置されたプラグインは、削除することが、セキュリティ上の有利です。

エレメンページビルダーを使用している場合は、3.1.4以降のバージョンにアップデートしてください。 エレメンは人気のプラグインであるため、この脆弱性は、パッチされる場合は、更新されていないサイトを対象とした攻撃が増加します。

何よりもサイトのバックアップを定期的に受けて、PCやクラウドなど、安全な場所に保管することが重要です。 その後、サイトに問題が発生してもバックアップを使用して簡単に復旧が可能です。

最後に、

エレメントの脆弱性は2月に発見されましたが、セキュリティ上の問題を開発者に報告し、パッチが出た後に一般に公開されました。 Wordfenceは3月17日に自社ブログの「Cross-Site Scripting Vulnerabilities in Elementor Impact Over 7 Million Sites (700万を超えるサイトに影響を与えるエレメントでクロスサイトスクリプティングの脆弱性を発見)

エレメンのようなページビルダーを使用すると、コーディングを知らなくても、簡単にサイトを作成できるというメリットがあります。 しかし、サイトのパフォーマンスに負担を与えることができますので、シンプルなブログを運営している場合 GeneratePressのような軽いテーマを使用して作ることも大丈夫なようです。

参照


コメントを残す

コメント