인기 WordPress プラグインのいずれかであるOcean Extraで非認証の攻撃者が、いくつかの WordPress 設定を変更して、CSSコードを注入できるようにすることができる設定の変更とCSSインジェクションの脆弱性が発見され1.5.9のバージョンで問題が修正されました。
Ocean Extraでの脆弱性を修正しました
このプラグインを使用している場合は、すぐに最新バージョンに更新してください。 Ocean Extraは、有名な OceanWP テーマ追加機能を提供するプラグインで、現在40万以上のサイトにインストールされて有効になっています。
今回発見された脆弱性は、1.5.8以前のバージョンに存在し、この脆弱性のあるコードは、 includes / wizard / wizard.php スクリプトに位置しています。
add_action('admin_init', array($this, 'ocean_wizard_setup'), 99);数ヶ月前にも不正なユーザー(非認証ユーザー)がadmin_initをトリガーすることができるゼロデイの脆弱性が WordPress Easy WP SMTPプラグインで発見され、パッチされたことがあります。
OceanWPは多目的テーマであり、軽くて速い WordPress テーマとして、現在まで150万回以上ダウンロードされ、多くのサイトで使用されています。 個人的には OceanWPは初心者が使用するのが少し難しいという印象を受けました。
WP StatisticsプラグインでUnauthenticated Stored XSSの脆弱性を修正しました
ちなみにセキュリティ企業 Sucuriによると、人気の WordPress プラグインのいずれかであるWP Statisticsで、特定の構成でUnauthenticated Stored XSS脆弱性が発見され、最新のバージョンで修正されました。 この脆弱性は、12.6.7以前のバージョンに存在するので、必ず最新版(現在の最新バージョンは12.6.7です)にアップデートしてください。
このプラグインは、50万件以上の WordPress サイトにインストールされて使用されており、訪問者の流入経路などを簡単に確認することができます。
個人的には、Googleアナリティクスを使用して、訪問者の統計情報を確認しています。 グーグル・アナリティクスを活用すれば、さまざまな統計情報を取得することができます。 このブログで Naver 流入がほぼゼロになったが、少しずつ回復して、今では10%まで増加した。
Naver 流入が少し上昇したが、それでも、Googleの流入が絶対的 Facebook などのソーシャルネットワークの流入はほとんどない状態です。
最後に、
常に WordPress、テーマ、プラグインを最新バージョンに更新して、安全にサイトを運営してください。 そして、万一の事態に備えて、定期的なバックアップを受け、PCやクラウドに保存することをお勧めします。
そしてWordfence SecurityまたはiTheme■Securityなどのセキュリティプラグインをインストールすると、セキュリティを強化するのに役立ちます。
コメントを残す