WordPress ランディングページのプラグインWP Lead Plus Xのセキュリティの脆弱性の一部を変更

コメントを残す
  • Naver ブログを共有する
  • Naver バンドに共有する
  • Facebook 共有する
  • Twitter 共有する
  • 카카오스토리공유하기

WP Lead Plus Xはランディングページとスクイーズページを無制限生成することができるWordPressのプラグインで、現在、7万人以上のサイトに設置されて使用されています。 ワードプレスランディングページのプラグインに深刻なセキュリティの脆弱性が発見された一部をパッチされて完全にパッチされなかったです。 このプラグインを使用している場合は、すぐに最新のバージョンにアップデートして、可能な場合、完全なパッチが出てくるまで、このプラグインを無効にして削除することをお勧めします。

ワードプレスランディングページのプラグインWP Lead Plus X

wp landing page plugin  - ワードプレスランディングページのプラグインWP Lead Plus Xのセキュリティの脆弱性の一部を変更

WPリードプラスXコーディングの知識がなく、無料で無制限のランディングページとスクイーズページを作ることができるワードプレスプラグです。

スクイーズページ(Squeeze Page)という用語は、初めてですよ。 スクイーズページはホームページの訪問者からの電子メールアドレスを「絞るために(squeezing)」に焦点を置いたランディングページのようなものだとします。

A squeeze page is a particular kind of landing page that is singularly focused on squeeeeezing an email address(and perhaps a first name)out of a website visitor。

参考までに、訪問者からの電子メールアドレスと、訪問者の名前を効果的に受信する場合 Diviテーマを作成Elegant ThemesのBloomのようなニュースレター運営のための電子メールアドレスを収集するプラグインを使用することができます。 Diviテーマライセンスがある場合、Bloomプラグインをダウンロードしてインストールすることができます( "ワードプレスメーリングリスト登録フォームのプラグインBloom"参照)。

サイト工事中またはリニューアルいることを示すランディングページを作成したい場合 SeedProdによるページ&メンテナンスモードのようなComing Soonプラグインを使用すると、訪問者にサイトが工事中(またはリニューアル中)であることを知らせることができ、管理者や会員にログインすると、制作中のサイトへのアクセスが可能です。 "工事中/サイト準備中/メンテナンス通知プラグイン」を参照してみてください。

WP Lead Plus Xの使用方法については、WP Lead Plus Xチュートリアルビデオを参照してみてください。

WP Lead Plus Xプラグインで深刻な脆弱性が報告されたが、完全に変更されていない

2020年3月3日、ワードプレスのセキュリティプラグインで有名なWordfenceのThreat intelligence teamがWP Lead Plus Xでいくつかの脆弱性を発見しました。 これらの脆弱性を最小限の権限(例えば、加入者会員)に認定された攻撃者は、サイトの任意のページを不正JavaScript、ホームページ改ざん(Defacement)、リダイレクトが含まれているページに置き換えることができます。 また、認証されていない攻撃者が、このプラグインのプレミアムバージョンを実行している管理者によって使用される場合は、その管理者のブラウザで悪意のあるJavaScriptを実行して、サイトを脱臭することができる悪意のあるページテンプレートをアップロードすることもできます。

3月4日、Wordfenceは、プラグイン開発者に連絡をしようとした3月12日、非公開での脆弱性に関する完全な情報を送信したとします。 3月15日、プラグイン開発者が権限チェック機能が含まれている予備のパッチを公開したが、翌日には、パッチにもかかわらずCSRF(クロスサイトリクエスト変調)にはまだ脆弱であるという事実を通知し、プラグイン開発者は、すぐに、より完全なパッチが公開されると述べてきたします。 しかし、3週間より経ってもまだ完全なパッチはリリースされていない。

ワードフェンスは、このプラグインがサイトの機能に不可欠な場合にもかかわらず、いくつかのセキュリティ問題だけパッチされたが、すぐに0.99以降にアップデートして、可能な場合、完全なパッチが適用されたバージョンが出てくるまで、このプラグインを削除することを勧告しています。

ワードプレスのセキュリティ

ワードプレスは、セキュリティに強いが、セキュリティ欠陥のあるテーマやプラグインを使用したり、セキュリティの脆弱性があるワードプレスのバージョンを使用する場合、セキュリティの問題が発生する可能性があります。

できれば、ワードプレスのコア、テーマ、プラグインを最新バージョンに更新して、セキュリティの脆弱性が報告されたプラグインは、最新のバージョンに更新したり、脆弱性がパッチされていないプラグインは削除しても安全です。 そして、長い間更新されずに放置されているプラ​​グインはなるべく使用しないで、似たような機能の他のプラグインを使用してください。 長い間更新されていない場合、セキュリティ上の問題があることができ、最新のワードプレスのバージョンとPHPのバージョンと互換性がない可能性があります。

参考までに WordPress.orgストアに登録されたプラグインに脆弱性が発見されると、まず、プラグイン開発者に非公開で脆弱性が通知されます。 その後、プラグイン開発者が脆弱性を修正したアップデートを出すことになります。 (脆弱性を修正せずに脆弱性が深刻な場合、パッチが出るまでのワードプレスストアからプラグインが削除されます。)以降に脆弱性の修正の事実が公開されます。 特に多くのユーザーがインストールして使用する人気のプラグインの場合、セキュリティ更新プログラム後に更新をしていないサイトを対象としたマルウェア(マルウェア)を作成して配布することができますので、最新のバージョンに更新することが安全です。

定期的にバックアップを作成、PCやクラウド・ストレージに保管することをお勧めします。 バックアップがあれば、サイトに問題が発生しても、簡単に復元が可能です。 Webホスティングサーバー上のスペースが十分にある場合、プラグインを使用すると、簡単にバックアップを作成することができます。

注:



コメントを残す

コメント