ClearfyはAutoptimizeに似ています WordPress 最適化プラグインです。このブログでは現在、Clearfyプラグインが使用されています。 Clearfyプラグインにセキュリティの脆弱性が発見され、2回程度のアップデートがありましたが、その脆弱性はまだ修正されていません。それほど深刻な脆弱性ではありませんが、Clearfyを使用している場合は、サイトをバックアップしてバックアップコピーをPCに保存するか、プラグインをしばらく削除することを検討してください。
WordPress Clearfyプラグインのセキュリティの脆弱性
WordPress サイトが遅い場合は、キャッシュプラグインと一緒に クリアフィなどの最適化プラグインをインストールして設定すると、速度が大幅に向上する可能性があります。 ClearfyやAutoptimizeなどのプラグインを使用するときは、キャッシュプラグインなどと重複しないように注意して設定してください。
Clearfyが5月からクロスサイト要求変調(CSRF)に脆弱なセキュリティ問題が発見され、XNUMX回のアップデートが公開されましたが、まだ修正されていません。
Wordfenceによると、nonce検証が欠落しているか間違っているため、Cross-Site Request Forgery(サイト間要求の改ざん)に脆弱であると説明しています。
この脆弱性により、認証されていない攻撃者がWebサイトで許可されていないタスクを実行する可能性があります。攻撃者は、サイト管理者が悪意のあるリンクをクリックするなどの行動を起こす可能性がある場合は、改ざんされた要求を作成して実行する可能性があります。
ワードフェンスはこの事案の危険度(CVSS)を4.3中等級程度で評価しています。
パッチスタックでは、このセキュリティ脆弱性について重大度が低い方が悪用される可能性が低いと説明しています。
この脆弱性は 2.2.1 で発見され、現在の最新バージョンは 2.2.3 です。プラグインは6日前に更新され、現在のバージョン2.2.3でもCSRFの脆弱性は修正されていません。
ユーザーはこの脆弱性について懸念を示していますが、Clearfyの開発者は約1週間前に更新をリリースした後、あまり反応がありません。
https://wordpress.org/support/topic/vulnerability-cross-site-request-forgery-csrf-in-clearfy-cache-2-2-1/
Patchstackが明らかにしているように、このプラグインがバージョン2.2.3に最近アップデートされた後も残念ながら問題は解決しません。
私はClearfy有料版を使っていたので、開発者にメールを送ってプラグインのアップデートがすぐに出るのか、プラグインを削除するべきかについて質問しましたが、答えを聞くことができませんでした。
私は他のサイトではClearfyをすべて削除し、このサイトでのみ維持しています。もし事態に備えてフルバックアップを取っておきました。
プラグイン開発者はこの問題をそれほど深刻ではないと認識しているようです。深刻なセキュリティ問題が見つかった場合 WordPress.orgでプラグイン開発者に修正を依頼し、一定期間経っても脆弱性を解決するアップデートが行われない場合は、プラグインリポジトリから削除することができます。
セキュリティ上の問題が懸念される場合は、しばらくこのプラグインを削除することを検討してください。
セキュリティ強化対策
次の措置がセキュリティ強化に役立つ可能性があります。
- WordPress コア、テーマ、プラグインを最新バージョンにアップデート
- 定期的なバックアップ
- セキュリティプラグイン
また、あるサーバーに複数のサイトを運営している場合、あるサイトがマルウェアに感染すると、他のサイトにも影響を与える可能性があります。
クラウドウェイズの場合、セキュリティに弱い WordPress バージョンまたはプラグインがインストールされている場合、セキュリティ警告通知メールが送信されます。
問題を解決しないと、サイトへのアクセスがブロックされる可能性があります。これにより、サイトの安全な運営を支援します。
マルウェアに感染しているサイトは、ほとんどの場合、長い間更新を行っていないため、問題が発生します。アップデートをタイムリーにし、バックアップを定期的に行い、強力なパスワードを使用するなど、セキュリティ慣行を遵守することで、サイトを安全に管理できます。
マルウェア感染、 WordPress サイトハッキングなどを含む WordPress またはWebホスティング関連の問題で問題が発生した場合 ここでサービス(有料)をご依頼することができます。
コメントを残す