ベストセラー人気 WordPress テーマTop 30 詳細

WooCommerce 複数の通貨のプラグインのセキュリティアップデート

Last Updated:2021年9月22日| コメントを残す
  • Naver ブログを共有する
  • Naver バンドに共有する
  • Facebook 共有する
  • Twitter 共有する
  • 카카오스토리공유하기

WooCommerce 複数の通貨プラグインWooCommerce Multi Currencyで最近ショッパーが商品価格を任意に変更することができる致命的なセキュリティの脆弱性が発見されて更新されました。 このプラグインを使用している場合、店の商品の価格が、悪意のあるユーザーによって変更されたことがないかチェックして、必ず最新のバージョンに更新してください。

WooCommerce 複数の通貨のプラグインのセキュリティアップデート

WooCommerce 複数の通貨のプラグインWooCommerce Multi Currencyセキュリティ更新プログラム

WordPress WooCommerce Multi Currencyプラグイン

WooCommerce 複数の通貨のプラグインWooCommerce Multi Currencyセキュリティ更新プログラム

WooCommerceマルチ通貨は、顧客が通話を変換できるようにする、複数の通貨での支払いを受けることができようにする WooCommerce用のプラグインです。 為替レート(exchange rate)は、自動または手動での設定が可能です。 このプラグインは、お客様の地理的位置を自動的に検出し、価格をお客様の現在の通貨で表示されます。

このプラグインの為替レートの自動更新機能を使用して自動的にレートを更新する場合、30分、1時間、6時間、1日、2日、3日、1週間または1ヶ月に更新間隔を設定することができます。

同様のプラグインとしてYITHで販売しているYITH Multi Currency Switcherがあります。

WooCommerce 複数の通貨のプラグインWooCommerce Multi Currencyセキュリティの脆弱性のパッチ

Envato市場で販売されている WooCommerce用マルチ通貨プラグインWooCommerce Multi Currencyでは、顧客が店の商品の価格を変更することができるセキュリティ問題が発見されて更新されました。

Ninja Technologies Networkによると、このプラグインの2.1.17以下で存在するアクセス制御の脆弱性は、Multi Currencyの「Import Fixed Price "機能に影響を与えるためには、この機能を使用してショッピングモールサイトでカスタム価格を設定することができ、為替レートによって自動的に計算された価格を変更することができます。

NinTechNet分析によると、「インポート関数である import_csv()woocommerce-multi-currency / includes / import-export / import-csv.php スクリプト内の wmc_bulk_fixed_price AJAXフックによってロード "されるために"この関数が権限チェック(capability check)とセキュリティnonceが不足して WooCommerce 顧客を含むすべての認証されたユーザーにアクセスが可能になる」とします。

この問題を悪用するには、サイバー攻撃者が商品の現在の通貨と商品IDを使用する特別な形式で作成されたCSVファイルをサイトにアップロードする必要があります。 指定された形式でCSVファイルをアップロードすると、1つの商品または複数の商品の価格を変更することができます。

この脆弱性は、特に、デジタル商品を販売するオンラインショップに損害を与えることができます。 顧客が支払い後に商品をダウンロードすることができる時間があるからです。 バックエンドでの商品の価格が変更されていないことを各注文を確認してください。

このプラグインを使用している場合、パッチが含まれている最新バージョンの2.1.18に更新する必要があります。

最後に、

WordPressを安全に運営するには、 WordPress コア、テーマ、プラグインを常に最新のバージョンにアップデートすることが重要です。

WordPressは、セキュリティの脆弱性が発見されるとすぐに、一般に公開されず、テーマやプラグイン開発者にバグを発表し、この脆弱性が修正されたパッチを出すことになります。 更新されたバージョンをリリースした後、一定期間が経過すると脆弱性の詳細情報が公開されます。

したがって、アップデートが出た時、すぐにアップデートすると、その脆弱性による被害を防ぐことができます。 アップデートをタイムリーにしていない場合は、これを悪用したマルウェア(マルウェア)に感染することができます。

付け加える言葉

ちなみにこのWooCommerce Multi Currencyプラグインのセキュリティの脆弱性に関連して、国内のセキュリティニュースに WooCommerceセキュリティの脆弱性が発見されショッパーが商品価格を任意に変更することができるという記事が上がってきました。 しかし、 WooCommerceセキュリティの脆弱性があるのではなく WooCommerce用アドオンプラグインに関連する問題であり、このプラグインは有料プラグインとして世界的に販売された数がそれほど多くない方です。 また、前述のように、悪意のあるユーザーがこの脆弱性を悪用するには、特定の条件が満たされる必要があります。

WordPressには、あまりにも多くのテーマとプラグインがあります。 WordPress 自体は、セキュリティに強いが更新さを無視したり、セキュリティ上の問題があるテーマやプラグインを使用する場合は、セキュリティに穴が生じることがあります。

そして長い間アップデートがないされて放置されたプラグインは、使用していない方が安全です。 例えば、国内の開発者が作成したBBS e-Popupプラグインは、更新がないされてから3年が過ぎたが、まだ多くのユーザーが使用しています。 このプラグインを使用している場合は削除して、別のポップアッププラグインに交換することが望ましい(「WordPress BBS e-Popupプラグインユーザーの注意事項(+ポップアップエラー)"参照)。

参照



コメントを残す

コメント