Ninja Formsプラグインでは、SQLインジェクションの脆弱性(SQL Injection Vulnerability)発見
現在、60万以上のウェブサイトに設置された WordPress用 Ninja Formsプラグインに影響を与えるSQLインジェクションの脆弱性(SQL Injection Vulnerability)が発見されたします。
攻撃者が被害サイトでアカウントを持っている場合に、この脆弱性を利用することができ、加入者(subscriber)アカウントを持っても攻撃が可能だとします。 この問題は、ショートコードで提供されるパラメータをSQLクエリに接続する前にエスケープしていないために発生します。
悪意のある攻撃者は、このバグを利用して、 サイトのユーザー名とハッシュされたパスワードを流出することができます。 一部の構成では、 WordPress 秘密鍵(secret key)も流出することができます。
現在Ninja Formsが2.9.55.2に緊急アップデートされました。 2.9.55.2以降のバージョンでは、この問題が発生しないので、プラグインを最新バージョンにアップデートしてください。
WordPressを安全に運営するためには、1)常に最新バージョンにアップデートし、2)定期的にバックアップすることが重要です。 そしてWordfence Security、iTheme■Securityなどのセキュリティプラグインをインストールすると役に立ちます。
私はBBQというファイアウォールのプラグインをインストールして使用しています。
ここから WordPress セキュリティに関するより多くの記事を確認することができます。
コメントを残す