WordPress Hide My Site プラグインのセキュリティの脆弱性

Last Updated: 2024 年 10 月 01 日 댓글

WordPress サイトをリニューアルしたり、サイトを新しく作成した場合、一般の人がサイトにアクセスできないようにする必要がある場合があります。 Hide My Siteプラグインでは、指定されたパスワードを入力する必要があります WordPress サイトにアクセスできるようになります。

私はテストサイトを作成するときにこのプラグインをインストールして、特定のユーザーだけがアクセスできるようにしています。

別の方法として、サイト建設中またはサイトメンテナンス作業中の画面を表示するComing Soonプラグインを使用できます。

別の方法でログインユーザーのみがサイトにアクセスできるようにする Force Loginなどのプラグインをインストールできます。

WordPress Hide My Siteプラグインのセキュリティ脆弱性を発見

ケミクラウド(ChemiCloud)というコスパ比良い海外ホスティングの WordPress 管理ページから Hide My Site 2.2 バージョンがセキュリティに脆弱 (Vulnerable)は警告が表示されました。

セキュリティ警告が表示されましたが、利用可能なアップデートがないため、このプラグインのホームページにアクセスしてみると、Hide My Site WordPress プラグインリポジトリから削除されたことを確認できました。

このプラグインは2024年8月20日にダウンロードできないように閉鎖され、このパッキングは一時的なものであり、完全なレビューを経て問題がない場合は解放するようです。

Wordfence ドキュメント "Hide My Site <= 2.2 - Unauthenticated Information Exposure「2.2 バージョンまでのすべてのバージョン (2.2 以下すべてのバージョン) でこの問題が存在し、パスワード保護機能がオンになっていてもプラグインが REST API アクセスを制限しないという。このため、認証されていないユーザーもサイトへの不正アクセスが可能になります。

このセキュリティ脆弱性のCVEとCVSSのスコアは次のとおりです。

  • CVE: CVE-2024-5880
  • CVSS: 4.3 (Medium)

Hide My Siteプラグインがインストールされている場合、このプラグインのセキュリティの脆弱性が解決された後 WordPress プラグインリポジトリからダウンロードできるように変更された場合は、再インストールすることを検討してください。代わりに、Coming Soon(サイトの建設中/メンテナンス中)プラグインやForce Loginなどのプラグインを使用できます。

セキュリティの脆弱性を備えたプラグインを使用すると、セキュリティの脆弱性を悪用したマルウェアに感染したり、サイトがハッキングされる可能性があります。

WordPress セキュリティ強化のための3つの方法

WordPress それ自体はセキュリティに強く、セキュリティの脆弱性が発見されたらすぐにパッチが配布されます。アップデートを無視したり、セキュリティの脆弱性が存在するプラグインやテーマを使用したりすると、セキュリティに問題が発生する可能性があります。

  1. 最新バージョンにアップデート: WordPress コア、テーマ、プラグインを常に最新バージョンに更新し、セキュリティ上の問題があるテーマやプラグインは使用しません。
  2. 定期的なバックアップ: サイトを定期的にバックアップして安全な場所にバックアップを保管すると、サイトエラー時に簡単に復元できます。 Cafe24, ファーストコメット、ケミクラウド, クラウドウェイズ などのホスティングでは、自動バックアップ/復元機能を提供します。
  3. セキュリティプラグインのインストール: セキュリティプラグインをインストールすると、セキュリティが強化される可能性があります(オプション)。
  4. セキュリティ慣行の遵守: 強力なパスワードを指定し、IDやパスワード情報を他人と共有しません。

サイトがマルウェアに感染した場合、治療するのは簡単ではないかもしれませんので、事前に準備して安全にサイトを運営してください。

WordPress サイトがマルウェアに感染して削除するのが難しい、またはその他 WordPress またはWebホスティングのトラブルシューティングが必要な場合 ここでサービス(有料)をご依頼することができます。

参照


コメントを残す

コメント