WordPress Ultimate Memberプラグインのセキュリティの脆弱性を発見
セキュリティ企業 Sucuriによると、人気の WordPress メンバーシップのプラグインである 究極のメンバーいくつかの脆弱性が発見され、パッチされた。 バージョン2.0.45以下のバージョンにセキュリティの脆弱性が存在するため、このプラグインを使用する場合は、必ず最新のバージョン(2.0.46以上)にアップデートしてください。
複数件の脆弱性のうち、悪意のあるユーザーがwp-config.phpファイルを読んで削除できる脆弱性が特に深刻です。 この脆弱性を悪用して、Webサイトを完全に掌握することができます。
今回は、次の3つの脆弱性が発見されました。
- 任意のファイルの読み取りと削除
- 管理者ダッシュボードXSS
- ユーザープロファイルXSS
例えば、(ユーザプロファイルのような)フォームのいずれかにファイルをアップロードまたはアップロード入力フィールドを管理者が追加した場合、ユーザーはこれを悪用して、サーバーの任意のファイルやダウンロードすることができます。
これらの入力フィールドのタイプは、Ultimate MemberプラグインのForm Builderを使用して、管理者が作成することができます。
Ultimate Memberは、現在、10万以上のサイトにインストールされて有効になっており、 WordPressで会員制のサイトを作成することができる無料のプラグインです。
このプラグインは、昨年もセキュリティの脆弱性が公開され、プラグインを更新していない多くのサイトがマルウェアに感染したこともありました(」Ultimate Memberプラグインと Newspaper テーマの脆弱性を悪用したリダイレクトマルウェア"参照)。
会員制サイトを運営する必要がない場合は、あえてこのようなプラグインを使用する必要がありません。 会員サイトを運営する場合は、 WordPress コアとテーマ、プラグインを最新バージョンに維持して、長い間更新ない放置されたプラグインは、使用していない方が安全です。
常に強調する内容であるが、1)サイトを最新のバージョンに更新して保持し、2)定期的にバックアップして、3)可能な場合は、セキュリティプラグインをインストールすると、サイトを安全に運営することができます。 他にも強力なパスワードを使用するなど、一般的なセキュリティ慣行にも準拠する必要があります。