100万個以上のサイトに設置されたGutenberg Template Library&Redux Frameworkのセキュリティの脆弱性を解決
WordPress セキュリティ専門企業であるWordfenceが去る8月に100万個以上のサイトに設置された人気 WordPress プラグインGutenberg Template Library&Redux FrameworkのXNUMXつの脆弱性を発見し、プラグインの出版社によっては、セキュリティ上の問題が修正されました。 このプラグインを使用する場合は、必ず最新のバージョンに更新してください。
WordPress Gutenberg Template Library&Redux Frameworkプラグイン
WordPress バージョン5.0からデフォルトのエディタとして Gutenberg(ブロックエディタ)が導入されました。 WordPressがバージョンアップを続けながら、 Gutenbergが初期の懸念とは異なり、今は多くの安定化された速度も向上しました。
Avada, Enfold, Newspaper など、いくつかのテーマでは、独自のページビルダーを使用しており、ページビルダープラグインでは、有名な エレメンが人気を得ています。 ページビルダーを使用すると、コーディングの知識がなくても容易に目的のレイアウトのサイトを作成することができるという利点があります。
ページビルダーなく Gutenbergだけでサイトを作成する場合はGutenberg Template Library&Redux Frameworkのようなプラグインを使用すると、事前に製作されたテンプレートをロードして、より簡単にページを作成することができます。
ページビルダーを使用している場合は、ページビルダーを変更するページを新たに作成する必要が、しかし、このプラグインで提供されるテンプレートをロードして、ページを作成すると、テーマを変更してもページのコンテンツが維持されます。 ただし、上記の映像で見ることができるようテーマで提供されるページテンプレートの影響を受けてレイアウトがテーマごとに若干の違いが出ることがあります。
互換性のある WordPress テーマ
このプラグインは、次の WordPress テーマと互換性があります。 (2021年9月2日現在)
- Astra テーマと Astra Proアドオンプラグイン - カスタムレイアウト(for Layouts、Headers、Footers、Hooks)
- GeneratePress テーマとGP Premiumアドオンプラグイン - Elements(Layouts、ヘッダ、フック用)
- OceanWP テーマとOcean Extra無料アドオンのプラグイン - My Library(for Layouts、Hooks etc.)
- Kava Proテーマ/ CrocoBlock ServiceとJetThemeCoreプラグイン – My Library(レイアウト、ページ、ヘッダ、フッタ、シングル、アーカイブ用)
- Genesis FrameworkとGenesisチャイルドテーマ - Blox LitとBlox(Pro)のプラグインを介して - Global Content Blocks(セクションでは、フクヨン)
- Page Builder Framework with WPBF Premiumアドオンプラグイン - カスタムセクション(セクションでは、レイアウト、フックなど)
- CustomifyとCustomify Proアドオンプラグイン - フック(レイアウト、セクション、フックなど)
- SukiとSuki Proアドオンプラグイン - カスタムブロック(レイアウト、セクション、フックなど)
- NeveとNeve Proアドオンプラグイン - カスタムレイアウト(レイアウト、セクション、フックなど)
- WoostifyとWoostify Proアドオンプラグイン - ヘッダフッタビルダー(Elementor theming領域 - ヘッダ/フッタ)
- Avada テーマと Avada Fusionビルダー - ライブラリ(テンプレート、ページ、レイアウト、列、行)
- DiviテーマとDiviビルダー - ライブラリ(テンプレートなど)
- ExtraテーマとDiviビルダー - ライブラリ(テンプレートなど) - カテゴリーのテンプレート(レイアウト、テンプレートなど)
100万個以上のサイトに設置されたGutenberg Template Library&Redux Frameworkのセキュリティの脆弱性を解決
現在、100万を超える WordPress サイトにインストールされて Gutenberg Template Library&Redux FrameworkプラグインのXNUMXつのセキュリティの脆弱性が 発見され、最近の問題が修正されました。
2021年8月3日、WordfenceのThreat Intelligenceチームは、このプラグインのXNUMXつのセキュリティ問題を発見した。 WordPress プラグインやテーマに、セキュリティの問題が発見されるとすぐに、一般に公開されることはありません。 まず、プラグイン開発者に問題を通知して、問題を修正する時間を与えます。
もしプラグイン開発者がセキュリティの脆弱性に関する情報を提供してい受けても何の措置も取らないか、または問題を修正しないようにすると、そのプラグインは、 WordPress ストアから削除される場合があります。
このような過程を経ずに、すぐに一般にセキュリティの脆弱性が公開される場合、悪意のあるハッカーによって、この脆弱性が悪用される可能性があります。 実際に数年前にしたセキュリティ会社で自分を促進する目的で、手順に従わずにセキュリティの脆弱性を自分たちのブログで公開できる物議をかもしたことがあります。
Gutenberg Template Library&Redux Frameworkでは1)権限の低いユーザー(例えば、外部筆陣)が任意のプラグインをインストールすると、有効にすることを許可してREST APIを使用して、任意のポストやページを削除できるようにする脆弱性と2)認証を受けていない攻撃者が、サイトの構成と同じ敏感することができる情報にアクセスできるようにする脆弱性が発見されました。
プラグインの出版社であるRedux.ioはWordfenceの連絡にすぐに返信をし、Wordfenceチームは同日(2021年8月3日)にすべての情報を提供しています。 以降、セキュリティの問題がパッチされた4.2.13バージョンが2021年8月11日にリリースされました。
8月11日にセキュリティ上の問題が解決された更新が公開されたが、発見された脆弱性の詳細については、昨日のWordfenceブログを介して公開された。 これは、更新されたバージョンが出てきた後、ユーザーが更新することができる時間を与えるためのものです。
WordPress サイトを安全に運営する方法
100万を超えるサイトにはプラグインがインストールされているので、このような人気のプラグインやテーマでセキュリティの脆弱性が発見され、その脆弱性に関する情報が公開される場合、悪意のあるハッカーがこれを悪用したマルウェア(マルウェア)を作成して配布することができます。 したがって、このプラグインを使用する場合は、必ず最新のバージョンに更新する必要が安全にサイトを運営することができます。
常に強調する内容だが WordPressセキュリティに強いが誤った慣行により、サイトがハッキングされたり、マルウェアに感染することができます。 次のような措置が安全に WordPress サイトを運営するのに役立ちます。
- 常に WordPress コア、テーマ、プラグインを最新バージョンに更新します。
- 長い間アップデートされずに放置されたプラグインは、削除します。
- セキュリティプラグインをインストールします。 (オプション)
- 定期的にバックアップして、安全な場所(PCやクラウド)に保存します。 バックアップは、Webホスティングで提供するサービスを利用したり、 バックアッププラグインを使用することができます。
- 強力なパスワードを使用します。
- パスワードを他人と共有しません。
私のブログのセキュリティセクション関連記事を読んだことがあれば、上記の内容を既に触れたと思います。 同じ言葉を繰り返すことに消極的がひょっとして、このような内容を初めての方おらかたい老婆心に繰り返し言及しています。
上記の内容は、非常に重要です。 長い間更新がないがマルウェアに感染したり、バックアップがなくて狼狽を見る方をたまに接しています。 しかし、幸いなことに、数年前に比べてはハッキングやマルウェア感染を訴えるユーザーが減ったように見えます
