Wordfence Blog | 追記ありAd Inserterに脆弱性

2019年7月16日

2019年7月16日緊急告知・Ad Inserterに脆弱性が発見される

有効インストール数20万以上。日本でも利用者の多いWordPress広告挿入プラグインAd Inserterに深刻な脆弱性が発見されています。バージョン2.4.21以下の利用者は、早急に2日前に更新されている2.4.22にアップグレード推奨。

Critical Vulnerability Patched in Ad Inserter Plugin

セキュリティプラグインWordfenceチームがAd Inserterプラグインの脆弱性を発見。Ad Inserter開発者に非公開で通達後、パッチの充てられた対策済みのバージョン2.4.22が公開されています。

Wordfence Blog

Wordfence WordPress security plugin

原文は英語ですが、Google翻訳でも意味は伝わるので、WordPressのセキュリティ対策に興味のある方は是非一読を。

WordPressブログのセキュリティに関する有益な記事が多く配信されています。

WEBサイトアドレス/?author=1やxmlrpc.php等の外部に知らせる必要のない管理者情報が漏れてしまう危険性について

Analyzing a Week of Blocked Attacks(2018年1月22日)

/?author=数字や/xmlrpc.php、/xmlrpc.php?rsd=、/wp-json/wp/v2/users/等には第3者がアクセス出来ないように対策しましょう。

セキュリティ・プラグインWordfenceは下の画像のように、明らかに不正な情報収集のためのURLへのアクセスをブロックする設定が可能です。

WordPress不正アクセス20190322

制作業者が作ったWordPressサイトでも、これらの公開する必要のない投稿者情報が丸見えになっているWEBサイトも散見します。業者に任せているから、と油断は禁物です。ここ数年で、レンタルサーバー運営会社側の設定により、見えないように徐々に対策されて来つつあります。しかし、知識や技術力、見識の差からでしょうか、所謂”格安WEB制作業者”さんの制作したWordPressサイトに、これらの情報が丸見えになってしまう例が多いような気がします。

脆弱性が見つかったプラグインもWordfence Blogで情報が報告されます。

WordPress Sites Compromised via Zero-Day Vulnerabilities in Total Donations Plugin

A Tale of Two Vulnerabilities: Using Commercial Plugins Responsibly

公式サイトで配布されているプラグインやテーマも100%絶対安全とは言えません。自己責任で使うため、情報収集は欠かせません。

3月12日追記

プラグインAbandoned Cart Lite for WooCommercen旧バージョンにXSSの脆弱性を悪用可能な事を見つける。

XSS Vulnerability in Abandoned Cart Plugin Leads To WordPress Site Takeovers

3月22日追記

WordPress向けプラグインSocial Warfareに脆弱性が存在し、ゼロデイ攻撃が発生していることがわかった。急遽アップデートがリリースされており、利用者には早急な対応が求められる。

Social Warfare Plugin Zero-Day: Details and Attack Data

セキュリティWordfence