WordPress Ninja Formsプラグインでは、SQLインジェクションの脆弱性を発見

Ninja Formsプラグインでは、SQLインジェクションの脆弱性（SQL Injection Vulnerability）発見

現在、60万以上のウェブサイトに設置された WordPress用 Ninja Formsプラグインに影響を与えるSQLインジェクションの脆弱性（SQL Injection Vulnerability）が発見されたします。

攻撃者が被害サイトでアカウントを持っている場合に、この脆弱性を利用することができ、加入者（subscriber）アカウントを持っても攻撃が可能だとします。この問題は、ショートコードで提供されるパラメータをSQLクエリに接続する前にエスケープしていないために発生します。

悪意のある攻撃者は、このバグを利用して、 サイトのユーザー名とハッシュされたパスワードを流出することができます。一部の構成では、 WordPress 秘密鍵（secret key）も流出することができます。

現在Ninja Formsが2.9.55.2に緊急アップデートされました。 2.9.55.2以降のバージョンでは、この問題が発生しないので、プラグインを最新バージョンにアップデートしてください。

WordPressを安全に運営するためには、1）常に最新バージョンにアップデートし、2）定期的にバックアップすることが重要です。そしてWordfence Security、iTheme■Securityなどのセキュリティプラグインをインストールすると役に立ちます。

私はBBQというファイアウォールのプラグインをインストールして使用しています。

ここから WordPress セキュリティに関するより多くの記事を確認することができます。