最近攻撃された 8 つの脆弱な WordPress プラグイン

脆弱な WordPress プラグインが Web サイトを危険にさらしていることを懸念していますか?

あなたは知っていますか？脆弱なプラグインは、WordPress サイトがハッキングされる最大の理由です。実際、WordPress に対する攻撃の 55.9% は脆弱なプラグインによるものです。

では、プラグインの使用を完全に停止しますか?ウェブサイトの開発において、プラグインはサイトに機能や機能を追加するため、プラグインなしで WordPress サイトを構築して実行することは困難です。

幸いなことに、プラグインを使用してサイトを安全に保つ方法があります。プラグインの開発者がソフトウェアの脆弱性を発見すると、それを修正し、更新されたバージョンをすぐにリリースします。サイトのプラグインを更新すると、サイトで安全に使用できます。しかし、何百万人もの WordPress ユーザーが更新を遅らせているため、サイトがハッカーに対して脆弱なままになっています.

サイトがハッキングされた場合、ハッカーはそれを使用して、機密データの盗難、不要な広告の実行、Web サイトの改ざんなど、あらゆる種類の悪意のある活動を実行できます.ハッキングはビジネスに壊滅的な結果をもたらし、AdWords アカウントの停止、訪問者、顧客、収益の損失につながる可能性があります。

これが、脆弱なプラグインとそのセキュリティ問題について学ぶことが非常に重要である理由です。この記事では、WordPress Web サイトの所有者が使用する最も脆弱な WordPress プラグインをいくつか紹介します。

TL;DR: WordPress プラグインの脆弱性からサイトを安全に保つには、新しいバージョンが利用可能になったらすぐに更新することが不可欠です。 MalCare セキュリティ プラグインを使用して、一元化されたダッシュボードから更新を追跡します。 WordPress サイトに一括更新を実装すると、更新の管理が非常に簡単になります。

WordPress プラグインが脆弱になる仕組み

WordPress 開発者チームではなく、サードパーティの開発者が WordPress プラグインを作成していることを知っておくことが重要です。ほとんどのプラグインは WordPress リポジトリで入手できますが、CodeCanyon などの人気のあるマーケットプレイスやプラグインの Web サイトでもプラグインを見つけることができます。

50,000 以上の WordPress プラグインが存在し、毎日さらに多くのプラグインが作成されています。開発者は、プラグイン、特にプレミアム プラグインが安全であることを確認するために、プラグインを適切に管理および保守します。

これらのプラグインは特定のガイドラインに準拠しており、ユーザーにとって安全で安全であることを保証します.ただし、開発者は製品を強化し続けており、新機能をリリースするために時間の制約に直面することもあります。場合によっては、プラグインの開発中に、製品を脆弱にするセキュリティ上の欠陥を見逃す可能性があります。

ハッカーが脆弱性を発見すると、それを悪用して多くのハッキングを実行できます。その中には次のようなものがあります:

• 訪問者を他の未知のサイトにリダイレクトする
• サイトにスパム広告やコンテンツを挿入すること。
• サイトに wp-feed.php マルウェアなどのマルウェアをインストールして攻撃を促進する
• 不正な管理者アカウントの作成
• サーバー リソースを使用して DDoS 攻撃を開始し、スパム メールを送信する

このようなハッキング攻撃は、サイトの速度を大幅に低下させ、SEO ランクを低下させます。また、ビジネス、収益、評判も危険にさらします。

脆弱なプラグインは、ほとんどの Web サイト ハッカーにとって最大の根本原因であるため、どのプラグインが最も脆弱で、どの修正が利用可能かを知ることが重要です。

注:WordPress サイトでこのプラグインを使用している場合は、ハッキング攻撃を回避するために、すぐに利用可能な最新バージョンに更新することを強くお勧めします.

脆弱なプラグインは、Web サイトがハッキングされる可能性があります。攻撃を回避し、WordPress サイトを保護するために、常にプラグインを定期的に更新してください。クリックしてツイート

最近攻撃された 8 つの脆弱な WordPress プラグイン

NextGen Gallery、Yoast SEO、Ninja Forms など、多くの一般的な WordPress プラグインが過去に攻撃されました。ここでは、ハッカーによって最近悪用された脆弱な WordPress プラグインのリストに焦点を当てます。

1. Duplicator – WordPress 移行プラグイン

Duplicator プラグインは、主に WordPress のバックアップにも使用される移行プラグインです。ユーザーは自分の WordPress サイトのバックアップを作成し、そのコピーをダウンロードできます。また、サイトを別のドメインまたはホストに複製または移行することもできます。これは、100 万を超えるアクティブなインストールがある非常に人気のあるプラグインです。

最近、このプラグインは、任意のファイル ダウンロードと呼ばれる脆弱性を開発しました。この脆弱性により、攻撃者は、プラグインがインストールされた WordPress サイトのコンテンツをエクスポートすることができました。ハッカーは、機密ファイルをダウンロードして、データベースの資格情報を盗むこともできます。これにより、彼らはサイトに侵入し、それを制御して、攻撃をさらに進めることができました.

開発者は脆弱性を検出し、Duplicator バージョン 1.3.28 および Duplicator Pro バージョン 3.8.71 で重大な WordPress セキュリティ アップデートをすぐにリリースしました。 2020 年 2 月。

Web サイトのセキュリティ専門家によると、500,000 人以上のユーザーが脆弱なバージョンのプラグインを使用しており、まだ新しいバージョンに更新していません。

2. ThemeGrill デモ インポーター

ThemeGrill は、プロフェッショナルな外観のサイトを構築できる無料のプレミアム レスポンシブ テーマを提供します。

ThemeGrill Demo Importer プラグインを使用すると、WordPress ユーザーは ThemeGrill から直接 WordPress ダッシュボードに公式テーマをインポートできます。ユーザーは、コンテンツ、ウィジェット、およびテーマ設定をインポートすることもできます。このプラグインには、200,000 以上のアクティブなインストールがあります。

ただし、このプラグインの脆弱性により、ハッカーが管理者アカウントを制御できるようになります。ハッカーはあなた自身のウェブサイトからあなたを締め出し、あなたのサイトを完全に消し去ることさえあります.

ThemeGrill の開発者は、バージョン 1.6.3 のパッチをすぐにリリースしました 2020 年 2 月。

3.プロファイル ビルダー プラグイン

Profile Builder を使用すると、Web サイトでアカウントを作成するオプションを顧客に提供できます。サイトにフロントエンドのユーザー ログインと登録フォームを作成できます。また、顧客がアカウントをパーソナライズするためのプロファイル フォームもあります。

プラグインには、Free、Pro、Hobbyist の 3 つのバリアントがあります。プロ版とホビイスト版はどちらもプレミアム版です。 Pro では無制限の WordPress Web サイトでプラグインを使用できますが、Hobbyist では 1 つのサイトで使用するライセンスが与えられます。

プラグインの無料の WordPress バージョンには 50,000 を超えるアクティブなインストールがあり、Pro バージョンと ホビーイスト バージョンには合わせて約 15,000 のインストールがあります。

2020 年 2 月に、プラグインのすべての亜種に影響を与える重大な脆弱性が発見されました。プラグインのバグにより、ハッカーが WordPress サイトに無許可の管理者アカウントを登録することが可能になりました。これにより、ハッカーは不正な管理者アカウントを作成し、サイトを完全に制御することができました.

この脆弱性は、3.1.0 までのすべてのバージョンのプラグインに影響します。 バージョン 3.1.1 でセキュリティ パッチがリリースされました。

4. WooCommerce の柔軟なチェックアウト フィールド

この WooCommerce のアドオン プラグインを使用すると、ユーザーはチェックアウト フィールドをカスタマイズできます。これは、ユーザーがチェックアウト ページのデフォルト フィールドを編集し、代わりに独自のラベルを追加できることを意味します。このプラグインには、20,000 以上のアクティブなインストールがあります。

Flexible Checkout Fields プラグインは、開発者によって適切に管理され、定期的に更新されています。

このプラグインには、ハッカーが積極的に悪用し始めた脆弱性があります。この脆弱性により、ハッカーは悪意のあるコードを WordPress サイトに挿入することができました。これにより、不正な WP 管理者アカウントの作成、データの盗用、管理者ユーザーを自分の Web サイトから締め出すなど、あらゆる種類の活動を実行できるようになりました。

開発者は、 バージョン 2.3.2 および 2.3.3 のセキュリティ パッチをすぐにリリースしました。 2020 年 2 月 25 日。それ以来、プラグインは複数回更新されています。利用可能な最新バージョンに更新することを強くお勧めします。

5. ThemeREX アドオン

ThemeREX アドオン プラグインは、ThemeREX によって作成されたさまざまなテーマのコンパニオン プラグインとして設計されています。このアドオンには、テーマの機能を拡張するいくつかの機能とウィジェットがあります。このプラグインは約 44,000 の WordPress サイトにインストールされています。

ハッカーはプラグインの脆弱性を発見し、このプラグインを使用して Web サイトへの攻撃を開始しました。ここでも、ハッカーがプラグインの弱点を悪用して新しい管理者ユーザー アカウントを作成する可能性があります。

ThemeREX はすぐにアップデートをリリースしましたが、ThemeREX Addons のアップデートはもう少し複雑です。プラグインは WordPress リポジトリで利用できないため、WordPress ダッシュボードにプラグインの利用可能な更新が表示されません .プラグインやテーマの更新に関する情報を受け取るには、ThemeREX ニュースレターを購読する必要があります。

さらに、ThemeREX Addon プラグインには多数のテーマがバンドルされています。多くのサイト所有者は、ThemeREX テーマからテーマをインストールしている可能性があり、このプラグインがパッケージの一部としてサイトに自動的にインストールされたことに気付いていない可能性があります.

いずれかの ThemeREX テーマを使用している場合は、最新バージョンに更新することを強くお勧めします。プラグインは ThemeREX アカウントから更新できます。それができない場合は、ThemeREX アップデータ プラグインをインストールする必要があるかもしれません。このプラグインの更新の詳細については、ThemeREX にお問い合わせください。

6.非同期 JavaScript

Async Javascript プラグインは、ページの読み込み時間を短縮し、ページの速度とユーザー エクスペリエンスを向上させます。 WordPress サイトは、PHP、CSS、Javascript などのさまざまなコーディング言語で構成されています。この非同期 Javascript プラグインは、JavaScript がサイトに読み込まれる方法を強化します。プラグインには 100,000 以上のアクティブなインストールがあります。

プラグインの脆弱性により、ハッカーがリモートで攻撃を実行できるようになりました。 推奨読書: クロスサイト スクリプティング (XSS) 攻撃 . これにより、ハッカーが機密情報を盗んだり、被害者のサイトの外観を変更したり、サイトの訪問者をだましてマルウェアをダウンロードさせたり、個人データを開示させたりする可能性が生まれました.

開発者は存在するすべての問題を修正し、プラグインを保護するために追加のセキュリティ対策も講じました。この記事の執筆時点で入手可能な最も安全なバージョンは、バージョン 2.20.03.01 です。

多くの場合、WordPress 開発者は Web サイトの作成中にこのプラグインをインストールしますが、クライアントはサイトにプラグインが存在することを認識していない可能性があります。しかし幸いなことに、このプラグインは WordPress リポジトリで入手でき、WordPress ダッシュボードに更新通知が表示されます。

7.最新のイベント カレンダー ライト

このイベント カレンダー プラグインを使用すると、WordPress Web サイトのイベントを簡単に管理できます。レスポンシブでモバイルフレンドリーなインターフェイスを備えているため、サイトの所有者は適切に設計されたイベント カレンダーをサイトに簡単に表示できます。 Modern Events Calendar Lite は無料で使用でき、アクティブなインストール数は 40,000 を超えています。

2020 年 2 月、このプラグインは、ハッカーが WordPress サイトにマルウェアを挿入して、サイトの外観を変更したり機密データを盗んだりするなどのさらなる攻撃を実行できる脆弱性を経験しました。

5.1.6 までのプラグインのすべてのバージョンが脆弱でした。開発者はすぐにパッチをリリースし、その後プラグインを何度も更新しました.

このプラグインを使用している場合は、できるだけ早く最新バージョンに更新することを強くお勧めします。

8. 10Google マップの Web マップ ビルダー

10Web Map Builder for Google Maps プラグインは、WordPress ユーザーが WordPress ウェブサイトに地図を簡単に追加できるようにします。 20,000 を超えるアクティブなインストールで非常に人気のある強力な機能とカスタマイズを提供します。

最近、プラグインのセットアップ プロセスに脆弱性が現れました。ハッカーが WordPress サイトに悪意のあるスクリプトを挿入することを可能にしました。スクリプトを使用して、管理者やサイト訪問者を攻撃できます。

開発者は 2 月に更新されたバージョン 1.0.64 をリリースしました。サイトにこのプラグインがインストールされている場合、最新バージョンに更新すると、インジェクションの脆弱性にパッチが適用されます。

プラグインの脆弱性が原因で Web サイトがハッキングされた場合は、ハッキングされた WordPress サイトをクリーンアップする方法に関するガイドを読むことをお勧めします。

これで、最近攻撃されたプラグインについては終わりです。このリストは網羅的なものではありません。 10 年以上にわたって WordPress を使用してきた経験から、プラグインは WordPress のセキュリティ脆弱性を時々発生させる傾向があります。脆弱なプラグインによるサイトへの攻撃を軽減する最善の方法は、新しいバージョンが利用可能になったらすぐに更新することです! WordPress コア インストールと WordPress テーマも忘れずに更新してください。

脆弱なプラグインによるサイトへの攻撃を軽減する最善の方法は、新しいバージョンが利用可能になったらすぐに更新することです!クリックしてツイート

この記事が気に入った場合は、WordPress サイトの脆弱性についてもっと読みたいと思うでしょう。クロスサイト スクリプティング、SQL インジェクション、権限昇格の欠陥、リクエスト フォージェリ、任意のファイルのアップロード、閲覧など、ウェブサイトのセキュリティ リスクについて詳しく説明します。

最終的な考え

脆弱性は多くの WordPress プラグインで発生する傾向がありますが、ほとんどの開発者は迅速に対応し、迅速に修正します。それ以降は、プラグインを最新バージョンに直ちに更新する責任は、サイト所有者であるあなたにあります。

したがって、サイトを定期的に更新することで、ハッカーを締め出し、サイトを安全に保つことができます。ただし、更新を追跡するのは必ずしも簡単ではなく、管理が難しくなる可能性があることも理解しています。 WordPress サイトを安全に更新する方法に関するガイドを読むことを強くお勧めします。

MalCare では、特に複数の WordPress サイトを実行している場合に更新に直面する可能性がある問題を理解しています.したがって、物事を簡単にするために、プラグイン MalCare を使用すると、集中管理されたダッシュボードにアクセスして、すべての更新をまとめて管理できます。さらに、WordPress セキュリティ プラグインはサイトをハッキングの試みから保護します。

お試しください MalCare セキュリティ プラグイン 今すぐ!