WP Lead Plus Xはランディングページとスクイーズページを無制限生成することができる WordPress プラグインでは、現在、7万人以上のサイトに設置されて使用されています。 この WordPress ランディングページのプラグインに深刻なセキュリティの脆弱性が発見された一部をパッチされて完全にパッチされなかったです。 このプラグインを使用している場合は、すぐに最新のバージョンにアップデートして、可能な場合、完全なパッチが出てくるまで、このプラグインを無効にして削除することをお勧めします。
WordPress ランディングページのプラグインWP Lead Plus X
WPリードプラスXコーディングの知識がなく、無料で無制限のランディングページとスクイーズページを作ることができる WordPress プラグです。
スクイーズページ(Squeeze Page)という用語は初めてです。 スクイーズページは、ホームページの訪問者から電子メールアドレスを「絞り込む」ことに焦点を当てたランディングページの一種です。
A squeeze page is a particular kind of landing page that is singularly focused on squeeeeezing an email address(and perhaps a first name)out of a website visitor。
参考までに、訪問者からの電子メールアドレスと、訪問者の名前を効果的に受信する場合 Diviテーマ作成した Elegant ThemesのBloomなどのニュースレターを操作するためにEメールアドレスを収集するプラグインを使用できます。 Diviテーマライセンスがある場合は、Bloomプラグインをダウンロードしてインストールできます(「WordPress メーリングリストに登録フォームのプラグインBloom"参照)。
サイト工事中またはリニューアルいることを示すランディングページを作成したい場合 Coming Soon Page&Maintenance Mode by SeedProdなどのComing Soonプラグインを使用すると、訪問者にサイトが建設中(またはリニューアル中)であることを知らせることができ、管理者または会員としてログインすると制作中のサイトにアクセスできます。 」工事中/サイト準備中/メンテナンス通知プラグイン「を参考にしてください。
WP Lead Plus Xの使用方法については、WP Lead Plus Xチュートリアルビデオを参照してみてください。
WP Lead Plus Xプラグインで深刻な脆弱性が報告されたが、完全に変更されていない
2020年3月3日、 WordPress セキュリティプラグインで有名なWordfenceのThreat intelligence teamがWP Lead Plus Xでいくつかの脆弱性を発見しました。 これらの脆弱性を最小限の権限(例えば、加入者会員)に認定された攻撃者は、サイトの任意のページを不正JavaScript、ホームページ改ざん(Defacement)、リダイレクトが含まれているページに置き換えることができます。 また、認証されていない攻撃者が、このプラグインのプレミアムバージョンを実行している管理者によって使用される場合は、その管理者のブラウザで悪意のあるJavaScriptを実行して、サイトを脱臭することができる悪意のあるページテンプレートをアップロードすることもできます。
3月4日、Wordfenceは、プラグイン開発者に連絡をしようとした3月12日、非公開での脆弱性に関する完全な情報を送信したとします。 3月15日、プラグイン開発者が権限チェック機能が含まれている予備のパッチを公開したが、翌日には、パッチにもかかわらずCSRF(クロスサイトリクエスト変調)にはまだ脆弱であるという事実を通知し、プラグイン開発者は、すぐに、より完全なパッチが公開されると述べてきたします。 しかし、3週間より経ってもまだ完全なパッチはリリースされていない。
ワードフェンスは、このプラグインがサイトの機能に不可欠な場合にもかかわらず、いくつかのセキュリティ問題だけパッチされたが、すぐに0.99以降にアップデートして、可能な場合、完全なパッチが適用されたバージョンが出てくるまで、このプラグインを削除することを勧告しています。
WordPress セキュリティ
WordPressセキュリティに強いが、セキュリティ欠陥のあるテーマやプラグインを使用したり、セキュリティの脆弱性がある WordPress バージョンを使用する場合、セキュリティの問題が発生する可能性があります。
できれば WordPress コア、テーマ、プラグインを最新バージョンに更新して、セキュリティの脆弱性が報告されたプラグインは、最新のバージョンに更新したり、脆弱性がパッチされていないプラグインは削除しても安全です。 そして、長い間更新されずに放置されているプラグインはなるべく使用しないで、似たような機能の他のプラグインを使用してください。 長い間更新されていない場合、セキュリティ上の問題があることができ、最新の WordPress バージョンとPHPのバージョンと互換性がない可能性があります。
参考までに WordPress.orgストアに登録されたプラグインに脆弱性が発見されると、まず、プラグイン開発者に非公開で脆弱性が通知されます。 その後、プラグイン開発者が脆弱性を修正したアップデートを出すことになります。 (脆弱性を修正せずに脆弱性が深刻な場合、パッチが出るまで WordPress ストアからプラグインが削除されます。)以降に脆弱性の修正の事実が公開されます。 特に多くのユーザーがインストールして使用する人気のプラグインの場合、セキュリティ更新プログラム後に更新をしていないサイトを対象としたマルウェア(マルウェア)を作成して配布することができますので、最新のバージョンに更新することが安全です。
定期的にバックアップを作成、PCやクラウド・ストレージに保管することをお勧めします。 バックアップがあれば、サイトに問題が発生しても、簡単に復元が可能です。 Webホスティングサーバー上のスペースが十分にある場合、プラグインを使用すると、簡単にバックアップを作成することができます。
コメントを残す