WordPress 5.4.2の更新

2020年6月10日（韓国時間6月11日午前）に WordPress 5.4.2アップデートがリリースされました。 今回のアップデートでは、いくつかのセキュリティ上の問題が解決され、23種類のバグが修正されました。

WordPress 5.4.2 アップデート - いくつかのセキュリティ問題とバグ修正

WordPress バージョン5.4とそれ以前のバージョンに影響を与える5つのセキュリティ問題と22種類のバグが今回のバージョンで修正されました。 具体的には、次のようなセキュリティ上の問題が処理されました。

1. 低い権限を持つ認証されたユーザーがブロックエディタでポストにJavaScriptを追加することができるXSS問題
2. アップロード権限を持つ認証されたユーザーがメディアファイルにJavaScriptを追加することができるXSS問題
3. WordPress セキュリティチーム（WordPress Security Team）のBen Bidnerがwp_validate_redirect（）でオープンリダイレクト（open redirect）問題を発見した。
4. テーマアップロードを通じたAuthenticated XSS問題
5. 画面の設定オプション（set-screen-option）このプラグインによって悪用されて、特権の昇格を引き起こす可能性のある問題
6. 特定の条件の下で、パスワードで保護され、ポストとページのコメントが表示されることがある問題

詳細については、 WordPress 文書 WordPress 5.4.2を参照してみてください。

最近のセキュリティアップデートが行われたテーマとプラグイン

常に強調するが、なるべく WordPress、テーマ、プラグインを最新バージョンに更新して、長い間更新ならず、放置されているプラ​​グインやテーマは使用していないことが望ましい。

最近、いくつかの人気のテーマとプラグインでセキュリティの脆弱性が発見され更新されたので、以下のテーマやプラグインを使用している場合は、必ず最新のバージョンにアップデートしてください。

• Avada 6.2.3 未満のバージョン - 許可チェックの欠落により、ランダムポストの作成、編集、削除、およびストアド XSS につながる問題を修正しました。
• Newspaper テーマ 10.3.4 未満のバージョン - Authenticated Reflected Cross-Site Scripting の問題を修正
• Careerfyテーマ 3.9.0 未満のバージョン - Unauthenticated Reflected Cross-Site Scripting (XSS) のトラブルシューティング。 詳細なPoCは6月17日公開予定。
• エレメンページビルダー - Authenticated Stored XSSのトラブルシューティング
• Brizyページビルダー - Ajax呼び出しで不適切なアクセス制御の問題を修正
• bbPress 2.6.5未満のバージョン - 新しいユーザー会員登録を有効にしたときに認証されていない特権の昇格の問題
• Image Photo Gallery Final Tiles Grid 3.4.19 未満のバージョン - Authenticated Stored Cross-Site Scripting (XSS) 問題の修正

そして、定期的にバックアップをして保管しておけば、万が一の事態が発生した場合、簡単に復旧が可能です。

参照

• WordPress ベストセキュリティプラグイン4線