Duplicatorは WordPress サイトを移転する際に使用される無料の移行ツールです。 このプラグインを使用すると、簡単に WordPressを移転することができ、現在の100万人以上のサイトにインストールされて有効になっているほどの人気があります。
最新バージョンの 複写機で深刻なリモートでコードが実行さ(Remote Code Execution:RCE)の脆弱性が修正されました。
Duplicatorプラグインのセキュリティの脆弱性
この脆弱性で注目すべき点は、プラグインフォルダ自体には影響を受けるコードが存在しません。 Duplicatorを使用して WordPress サイトバックアップを前または復元するときに脆弱性が公開されます。
サイトをバックアップすると、圧縮されたzipファイルと、圧縮ファイルを展開し構成するスクリプトファイル installer.php などXNUMXつのファイルが生成され、これらのファイルが必要サイトのコンテンツを復元することができます。
これらのファイルを以前しようとする新しいサーバー内の適切なディレクトリにコピーすることができます。 これにより、管理者は、ブラウザで installer.php ファイルを実行して、サイトのファイルとデータベース(DB)を復元する手順を開始します。
復元が完了すると、新しいサイトにログインするように指示します。 ログインすると、サイトが正常に前のことを通知するページが表示されます。
このページでは、ユーザーに新しいサーバーにコピーしたDuplicator関連ファイルを削除することを想起させます。 事実、以前に使用したファイルを削除しないと、 WordPress 伝言板に迷惑なメッセージが表示されます。
インストールスクリプトをWeb上でアクセス可能な場所に残すことは 非常に 危険です。 パッチされていないDuplicatorバックアップの場合installer.phpスクリプトとinstaller-backup.phpようなバックアップは、インジェクションの脆弱性(injection vulnerability)にさらされることがあります。
これに関連し詳細な技術的事項は、 WordPress セキュリティ会社のWordfenceの「Duplicator Update Patches Remote Code Execution Flaw「を参考にしてください。
最後に、
以前にDuplicatorを使用してサイトをバックアップしたことがある場合、サーバーにDuplicatorバックアップが残っていないことを確認してください。 Duplicatorプラグインを使用してバックアップした後は、必ず復元に使用したバックアップファイルをすべて削除しても安全です。
そして WordPress サイトを安全に運営するためには、プラグインやテーマ、そして WordPress コアファイルを常に最新のバージョンにアップデートすることが重要です。
参考までにDuplicatorを使用して、サイトを移転することができれば便利ですが、場合によっては、Webホスティングの制限のために、あるいは、以前しようとするデータ/ DBの容量が大きすぎて、以前に失敗することがあります。 そのような場合、手動で移行する必要があります。 手動で、以前に問題がある場合 ここ以前のサービス(有料)を求めることができます。
コメントを残す