100万以上のサイトに設置されて使用されている WordPress 人気ページビルダーのPage Builder by SiteOriginプラグインの2.10.6つの脆弱性が発見され、最新のアップデート(XNUMX版)の問題が修正されました。
인기 WordPress プラグインPage Builder by SiteOriginプラグインセキュリティ更新プログラム
WordPress セキュリティ企業のWordfenceは2020年5月4日に人気の無料 WordPress プラグインのいずれかである SiteOriginによってページ・ビルダーで2020つのセキュリティの脆弱性を発見して、プラグインの開発者に通知し、プラグイン開発者が次の日の5年5月XNUMX日いち早くパッチを出しました。
両方の欠陥すべて攻撃者のサイト管理者に代わって要求(Request)を変調して、管理者のブラウザからマルウェア(Malicious Code)を実行できるようにすることと関連しました。 攻撃が成功するためには、攻撃者は、サイト管理者をだまして、管理者は、リンクや添付ファイルをクリックするのと同じ行動を実行するように誘導します。
今回発見されたセキュリティ上の欠陥は、サイト全体タル(Site Takeover)につながる可能性のあるリスクの高いセキュリティの問題(High-risk Security Issue)です。 Page Builder by SiteOriginを使用している場合は、すぐ最新バージョンにアップデートすることを推奨します。 現在の最新バージョンは2.10.16です。
- 説明:Cross-Site Request Forgery to Reflected Cross-Site Scripting
- 影響を受けるプラグイン:Page Builder by SiteOrigin
- プラグインスラグ:siteorigin-panels
- そのバージョン:<= 2.10.15
- CVE ID:Identifierが提供されると、更新される予定である。
- CVSSスコア:8.8(High)
- CVSSベクトル:CVSS:3.0 / AV:N / AC:L / PR:N / UI:R / S:U / C:H / I:H / A:H
- 完全パッチされたバージョン:2.10.16
詳細な技術的な内容は、 Wordfenceブログ記事(Vulnerabilities Patched in Page Builder by SiteOrigin Affects Over 1 Million Sites)を参照してください。
最新バージョンに更新しなければならない理由
WordPressは、定期的に更新され、セキュリティの脆弱性が継続的に変更されます。 したがって、更新をタイムリーにすると、安全に操作することができます。 そしてテーマとプラグインもできれば最新のバージョンに保つことが望ましい。
特に、人気のテーマやプラグインで、セキュリティの問題が修正された更新が出てくる場合には、悪意のある攻撃者(ハッカー)が更新されていない WordPress サイトやブログをターゲットにマルウェアを作成して配布することができます。
安全 WordPress 運営するために1) WordPress、テーマ、プラグインを最新バージョンにアップデートして(推奨)、2)定期的にバックアップを受けて、PCやクラウド・ストレージに保存することをお勧めします。 そして長い間更新されずに放置されているプラグインを使用せずに、強力なパスワードを設定するなど、一般的なセキュリティ慣行にも準拠してください。
最近ベストセラーのテーマである Avada(Avada)400万個以上のサイトに設置されて使用されている人気のページビルダーである Elementorも更新され、セキュリティの問題が修正されました。
Avadaナ Elementorを使用する場合は必ず最新バージョンにアップデートして安全に WordPress ブログを運営してください。
こんにちは気になる部分がありお問い合わせください。
WordPressで機能やプラグインのオプションなどを選択するときに、無料版を選択して、後で有料版や他のオプションに変更が可能ですか?
それとも最初にサイトを作成する際、選択したオプションは、後に変更が不可ですか?
オプションは、今後の変更が可能です。
ちなみにページビルダーを使用してページを作成する場合は、後日ページビルダーを他のページビルダーに変更すると、ページを再作成します。