UpdraftPlusは300万を超えるサイトにインストールされ使用されている人気 WordPress バックアップ、復元プラグインです。 最近、このプラグインで深刻なセキュリティの脆弱性が発見され、セキュリティ上の問題が修正されたアップデートを提供しました。 しかし、 WordPressこの例では、すべてのサイトでUpdraftPlusプラグインを強制的に更新するための措置を講じました。
WordPress UpdraftPlusプラグインで、非管理者(たとえば、購読者)がバックアップファイルにアクセスする可能性がある深刻な脆弱性を発見
2月15日、重大なリスクのセキュリティ脆弱性が修正されました UpdraftPlusプラグイン バージョン 1.22.3 アップデートが公開されました。
Thanks to Marc-Alexandre Montpas of Automattic for this report (CVE: CVE-2022-23303)。 All versions of UpdraftPlus from March 2019 onwards have contained a vulnerability caused by a missing permissions-level check, allowing untrusted users access to backups. If your site does not have non-admin users, or if your non-admin users are all trusted (and your site does not allow users to sign up themselves), then you are not vulnerable (but we always recommend updating to the latest version in any case)。
上記はUpdraftPlusプラグインの変更ログに収録されており、「2019年3月以降のすべてのUpdraftPlusバージョンには権限レベルのチェックが欠落している脆弱性が含まれており、信頼できないユーザーがバックアップにアクセスできる」と述べています。 会員登録機能がなく、信頼できるユーザーのみを持つサイトの場合、この脆弱性の影響を受けません。
この脆弱性がパッチされていないサイトでは、購読者はUpdraftPlusバックアップファイルをダウンロードして機密性の高いコンテンツを奪う可能性があります。
WordPressから強制的にUpdraftPlusプラグインを更新するためのアクションの断行
WordPressは異例のすべてのサイトのUpdraftPlusプラグインを強制的に更新するための措置を取った。 このプラグインは300万のサイトにインストールされているため、このセキュリティの脆弱性が悪用されると深刻な結果を招く可能性があるため、このような措置を講じたようです。
WordPress プラグインやテーマにセキュリティの脆弱性がある場合は、まず開発者にそのことが報告されます。 その後、プラグイン/テーマ開発者はセキュリティ問題を修正したアップデートを公開します。 アップデートが公開された場合 ユーザーがアップデートをインストールできるようにしばらくしてからセキュリティ上の問題に関する詳細情報を公開します。
セキュリティ問題に関する詳細情報が公開されると、そのテーマやプラグインの脆弱性にパッチを当てていないサイトを対象としたマルウェアが作成され、展開される可能性があります。
したがって WordPress コア、テーマ、プラグインを最新バージョンにアップデートして操作するのは安全です。 そして長い間アップデートができず、放置するテーマやプラグインは使用しないことをお勧めします。 アップデートを怠ると、サイトがハッキングされたりマルウェアに感染する可能性があります。
今回のUpdraftPlusアップデートは、強制的にすべてのサイトに適用される措置が取られたということで、ほとんどのサイトにアップデートになったはずです。 このプラグインを使用しているが最新バージョンでない場合は、必ず最新バージョンにアップデートしてください。
WordPress バックアップ/復元プラグインUpdraftPlus
Webホスティングで自動バックアップ/復元機能を提供している場合は、ホスティング会社からバックアップをダウンロードできます。 ホスティング会社が自動バックアップ機能を提供していない場合は、UpdraftPlusなどのプラグインを使用すると便利です。
このプラグインを使用してバックアップするには十分なスペースが必要です。 十分なスペースがない場合は、FTPを介して頻繁にデータをダウンロードし、このプラグインを使用してデータベース(データベース)をバックアップできます。
バックアップを定期的にPCにダウンロードしてアーカイブすると、予期せぬ事故が発生してもサイトの回復が可能になります。 重要なサイトの場合は、必ずバックアップファイル(データとDB)をコンピュータまたはクラウドに保存するのが安全です。 具体的には、PHP版が低かったり、その他の理由で WordPress、テーマ、プラグインを更新できないサイトは、定期的にフルバックアップを取ることをお勧めします。
マルチサイトの場合、このプラグインの無料版ではバックアップ/復元できません。 プレミアムバージョンを使用する必要があります。 代わりに、Backup Guardが提供する無料のプラグインを使用してマルチサイトをバックアップできます。
しかし、マルチサイト規模が大きい場合 Backup Guardバックアッププラグインでバックアップがうまくいかない場合があります。 私はBackup Guardでバックアップが失敗したため、UpdraftPlusプレミアムバージョンを使用してバックアップしています。 マルチサイトのバックアップ/復元やサイトアドレスが他の場所からの復元など特殊な場合でなければ無料版でも十分です。
参照
コメントを残す