WordPress Avada テーマと Elementor ページビルダーのセキュリティ更新

Last Updated: 2023 年 07 月 16 日 4のコメント

WordPress ベストセラーのテーマである Avada와 WordPress 人気プラグイン Elementor ページビルダー最新バージョンでセキュリティの脆弱性が修正されました。 Avada テーマや Elementor ページビルダーを使用している場合は、最新バージョンに更新して安全に WordPress サイトを運営してください。

WordPress Avada (Avada)テーマセキュリティ更新プログラム

WordPress Avada テーマセキュリティの脆弱性を修正

Avadaは約60万個のサイトで使われている人気の WordPress テーマです。 Avada テーマバージョン6.2.2以下でいくつかのセキュリティの脆弱性が発見されバージョン6.2.3で修正されました。

のリリースについて Avada 6.2.3 we have fixed a XSS security issue pertaining to Avada versions 6.2.2 and below. The fix is to prevent XSS attacks from a user with a registered contributor role, which would allow them to edit, delete or create posts that don't belong to their user role...

Avada 6.2.3リリースでは、 Avada バージョン6.2.2以下で発見されたXSSセキュリティ問題が修正されました。 登録された外部筆陣(Contributor)のメンバーが、自分たちの役割に対応していない文を編集、削除、または作成することができるXSS攻撃を防ぐように修正がされた。

Avada テーマ開発者は、テーマを最新バージョンにアップデートすることを推奨しています。 そしてFusion Patcherツールを使用して提供されるアップデートでは、全体のテーマを更新することなく、問題を修正と機能強化が提供されるため、頻繁に確認することをお勧めします。

Fusion Patcherツールは WordPress 伝言板> Avada > Fusion Patcherをクリックしてアクセスすることができます。 Avada バージョン6.2.3にアップデートしたら、次のように現在では、パッチがないと表示さね。 パッチが出ればすぐに適用して、常に最新の状態に保つてください。

WordPress Avada テーマFusion Patcher

Elementor ページビルダーでSVG Sanitizer Bypass&Authenticated Stored XSSの脆弱性を修正

WordPress Elementor Page Builderセキュリティの脆弱性を修正 - セキュリティアップデート

Elementorは現在、400万個以上のサイトに設置されて使用されている人気の WordPress ページビルダープラグインです。 Elementorでもセキュリティの脆弱性が発見され、最新バージョンで修正されました。

エレメンタ2.9.8バージョンでSVG Sanitizer Bypassの脆弱性が修正されました。 ElementorSVGの更新を許可するオプションがあります。 この機能は「Settings> Advanced「タブで有効にすることができます。

WordPressで、メディアライブラリにファイルをアップロードするには、ユーザーが必ず upload_files権限する必要があります。 投稿者(ライター)の役割のユーザーは、そのような権利があります。 投稿者(Author)は、ファイルをアップロードして、自分の文章を編集することができますが、JavaScriptコードと、さまざまなHTMLタグのような潜在的に危険な要素をポストに挿入することができません。 しかし、SVGのアップロードを有効にすると(以前のバージョンで)作成者がこれらの制限を回避することができました。

そして エレメンタープロ(Elementor プロ) 2.9.4以前のバージョンでAuthenticated Arbitrary File Upload(0-day、悪用された場合)に問題が発見され、2.9.4のバージョンで修正されました。

Elementor ページビルダーを使用している場合は、必ず最新バージョンにアップデートしてください。

最後に、

人気のテーマやプラグインで、セキュリティの脆弱性が発見され更新される場合は、最新バージョンに更新されていない WordPress サイトを狙うマルウェアが登場することができます。 Avada와 Elementorは特に多くのサイトにインストールされ使用されている有名なテーマやプラグインなので、できるだけ早く最新バージョンにアップデートするのは安全です。

WordPress サイトを安全に運営するために 1)定期的にバックアップしてPCやクラウドに保存し、2)なるべく最新のバージョンに WordPress、テーマ、プラグインを更新してください。 そして WordfenceまたはiTheme■セキュリティなどのセキュリティプラグインをインストールすると、セキュリティの強化に役立つことができます。

参照


4のコメント

コメント

  1. 常に答えていただきありがとうございます。
    作成された文とは関連がありません気になる内容があります。
    現在私が作ったサイト問題があります。

    ドア)サイト訪問ボタンをクリックするか、アドレスバーに入力して入ると、画面上に WordPress マークとカスタマイズする、ページ編集のような「編集バー」が出てきます。
    元そんなか気になります。

    1. WordPress 住所とサイト住所を変更したことがありませんが、両方の住所はもともと同じものですか? インターネットに変更方法がたくさんあり、見て従うと設定になりません。

    2.なぜそうなのかは分からないが、ファイルBugzillaのかアドバンスに入ってファイルを見ると、wpフォルダではなく、public ftpフォルダがありますが。 関係ないですか?

    とりとめなく書いて申し訳ありません。

    応答
    • ログインしたときに上部にツールバーが表示されるのは正常です。
      ツールバーが表示嫌な場合、プラグインを使用して非表示にすることができます。

      次の記事を参照して、ダッシュボードを非表示にしてください。
      https://www.thewordcracker.com/basic/how-to-hide-dashboard-from-non-admin-users-in-wordpress/

      1. WordPress アドレスと WordPress ファイルがインストールされてパスのアドレスが一致すると同じです。 通常は同じに設定するとされ、 WordPressを/ wpまたは/wordpressのようにサブフォルダにインストールする場合には、違っ設定する必要があります。

      2.使用するホストがどこにありますか? Bluehostナ SiteGround などのホスティングでは、public_htmlフォルダの下に WordPress インストールファイルがあり、 Cafe24は、おそらくwwwフォルダの下に WordPress インストールファイルがあるでしょう。 これらのフォルダの外にあるフォルダは触れていないことが安全です。

      応答
      • 回答が遅れました。
        お知らせいただきありがとうございます。 ダッシュボードの問題は解決しました。
        運営者様のリンクを介して割引された金額で購入しました。 Bluehost입니다。 Bluehostのでパブリックファイルですね。
        これから作成してくださった文を見て構築します。
        時間ましたらサイトへどうぞ笑
        ご不明な点あればまた質問してもいいですか?

      • ありがとうございます〜

        質問はいつでも歓迎します。 お気軽にご質問をあげてください。

        ちなみに1) Bluehostで自動的にインストールするプラグイン(MonsterInsight、JetPack、Opt-in Monster...)は重い可能性があるため、無効にすることを検討してください。 2) GeneratePress, Astra、OcenaWP (すべて無料/有料版がある)などのように軽いテーマを使用すると、速度が比較的有望出てくる。 加えて、キャッシュプラグインは、最適化プラグインなどをインストールして、サイトの速度を最適化することができます。