WordPress Ocean ExtraとWP Statisticsでの脆弱性を修正

  • Naver ブログを共有する
  • Naver バンドに共有する
  • Facebook 共有する
  • Twitter 共有する
  • 카카오스토리공유하기

人気ワードプレスプラグインのいずれかであるOcean Extraで非認証の攻撃者が、いくつかのワードプレスの設定を変更して、CSSコードを注入できるようにすることができる設定の変更とCSSインジェクションの脆弱性が発見され1.5.9のバージョンで問題が修正されました。

Ocean Extraでの脆弱性を修正しました

このプラグインを使用している場合は、すぐに最新バージョンに更新してください。 Ocean Extraは、有名な OceanWPテーマ追加機能を提供するプラグインで、現在40万以上のサイトにインストールされて有効になっています。

Ocean Extraプラグイン

今回発見された脆弱性は、1.5.8以下のバージョンに存在し、この脆弱性のあるコードは、 includes / wizard / wizard.php スクリプトに位置しています。

add_action('admin_init', array($this, 'ocean_wizard_setup'), 99);

数ヶ月前にも不正なユーザー(非認証ユーザー)がadmin_initをトリガーすることができるゼロデイの脆弱性が ワードプレスEasy WP SMTPプラグインで発見され、パッチされたことがあります。

OceanWPは多目的テーマでありながら、軽量、高速ワードプレスのテーマとして、現在までに150万回以上ダウンロードされて、多くのサイトで使われています。 個人的にはOceanWPは、​​初心者が使用するのには少し難しい印象を受けました。

WP StatisticsプラグインでUnauthenticated Stored XSSの脆弱性を修正しました

ちなみにセキュリティ企業 Sucuriによると、人気のWordPressのプラグインのいずれかであるWP Statisticsで、特定の構成でUnauthenticated Stored XSS脆弱性が発見され、最新のバージョンで修正されました。 この脆弱性は、12.6.7以前のバージョンに存在するので、必ず最新版(現在の最新バージョンは12.6.7です)にアップデートしてください。

このプラグインは、50万個以上のワードプレスのサイトに設置されて使用されており、訪問者の流入経路などを簡単に確認することができます。

個人的には、Googleアナリティクスを使用して、訪問者の統計情報を確認しています。 グーグル・アナリティクスを活用すれば、さまざまな統計情報を取得することができます。 このブログではネイバーの流入がほぼゼロになったが、少しずつ回復して、今では10%まで増加した。

グーグル・アナリティクストネイバーvs. グーグル流入
ソース別の訪問者数の割合(グーグルアナリティクスト)

ネイバーの流入が少し上昇したが、それでも、Googleの流入が絶対的フェイスブックなどのソーシャルネットワークの流入はほとんどない状態です。

おわりに

常にワードプレス、テーマ、プラグインを最新バージョンに更新して、安全にサイトを運営してください。 そして、万一の事態に備えて、定期的なバックアップを受け、PCやクラウドに保存することをお勧めします。

そしてWordfence SecurityやiThemes Securityなどのセキュリティプラグインをインストールすると、セキュリティの強化に役立ちます。

注:



コメントを残す