Monthly Archives: 9月 2014

LIG社に記事を寄稿【WordPressをXSS攻撃から守るために最低限実施しておきたい対策について】

弊社代表の守井浩司が、LIG社のブログへ
「WordPressをXSS攻撃から守るために最低限実施しておきたい対策について」
を寄稿しました。

2014年8月度
WordPress脆弱性レポート

————————————————————————————————————————-
WordPress 2014年8月_脆弱性集計
————————————————————————————————————————-

2014年8月度のWordPressに関する脆弱性レポートをお知らせします。
8月度全体の脆弱性報告件数としては78件でした。7月度より20件減っております。
個所別の発生件数は、それぞれ本体で4件、プラグインで70件、テーマで4件でした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

特筆すべきトピックスとして、本体であるWordPress3.9.1に3件、脆弱性が見つかりました。そのため、8月6日に3.9.2にアップデート版がリリースされています。

プラグインに関しましては、ご利用中の方が多いかと思います以下のプラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
————————————————————————————————————————-
All In One SEO PackにてXSS
MailPoet Newsletters PluginにてCSRF
wpSS Spreadsheet PluginにてSQLインジェクション、XSSの2件
WP Super Cache PluginにてXSS
WP Source Control Pluginにてディレクトリトラバーサル
Download Shortcode Pluginにてディレクトリトラバーサル
————————————————————————————————————————-

脆弱性の内容別発生件数は、1位がXSSで14件、2位がCSRFで10件、3位がパストラバーサルで5件でした。(実際は、不特定の欠陥が31件で最も多い結果となったが、ランキングから除外しております。)

トピックスとして7月度に17件も発生したSQLインジェクションが1件に減少しておりました。
この要因は、タイミングもありますが、7月度の場合は特定のプラグインに大量に発生していた為です。
またXSSに関しましても7月度に59件発生していましたが今月は14件程度に減少しております。こちらも上記の件が起因しているかと思われます。

以下リストに掲載されている本体バージョン、プラグイン、テーマがある方は、一度診断されることをお勧めいたします。https://wp.kyubi.jp

表:2014年8月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたバージョン
発見日

プラグイン
CSRF
azurecurve RSS Suffix Plugin
1.0.2
2014/8/2

プラグイン
CSRF
azurecurve Series Index Plugin
1.0.1
2014/8/2

プラグイン
CSRF
azurecurve Multisite Favicon Plugin
1.0.0
2014/8/2

プラグイン
CSRF
azurecurve Floating Featured Image Plugin
1.0.1
2014/8/2

プラグイン
入力データのサニタイズ不備
Improved User Search in Backend Plugin
1.2.5
2014/8/2

プラグイン
RCE
Gmedia Gallery Plugin
1.2.1
2014/8/3

プラグイン
XSS
SI CAPTCHA Anti-Spam Plugin
2.7.4
2014/8/3

プラグイン
不特定の欠陥
Custom Contact Forms Plugin
5.1.0.3
2014/8/4

プラグイン
ローカルファイル操作
Favicon by RealFaviconGenerator Plugin
1.2.1
2014/8/4

プラグイン
XSS
WP Super Cache Plugin
1.4
2014/8/5

プラグイン
CSRF
Easy MailChimp Forms Plugin
5.0.3
2014/8/6

プラグイン
SQLインジェクション
wpSS Spreadsheet Plugin
0.62
2014/8/6

プラグイン
XSS
wpSS Spreadsheet Plugin
0.62
2014/8/6

本体
XSS
WordPress3.9.1
3.9.2 未満
2014/8/6

本体
CSRF
WordPress3.9.1
3.9.2 未満
2014/8/6

本体
RCE
WordPress3.9.1
3.9.2 未満の 3.9.x
2014/8/6

プラグイン
不特定の欠陥
BestWebSoft Gallery Plugin
4.2.1
2014/8/7

プラグイン
不特定の欠陥
Google Sitemap Plugin
2.9.1
2014/8/7

プラグイン
不特定の欠陥
Captcha Plugin
4.0.2
2014/8/7

プラグイン
不特定の欠陥
Google +1 Plugin
1.1.6
2014/8/7

プラグイン
不特定の欠陥
Contact Form To DB Plugin
1.4.0
2014/8/7

プラグイン
不特定の欠陥
PDF & Print Plugin
1.7.4
2014/8/7

プラグイン
不特定の欠陥
Twitter Plugin
2.36
2014/8/7

プラグイン
不特定の欠陥
Contact Form Plugin
3.81
2014/8/7

プラグイン
不特定の欠陥
BestWebSoft Google Maps Plugin
1.2.1
2014/8/7

プラグイン
SQLインジェクション
Portfolio Plugin
2.27
2014/8/7

プラグイン
不特定の欠陥
Google Captcha (reCAPTCHA) Plugin
1.05
2014/8/7

プラグイン
不特定の欠陥
Htaccess Plugin
1.4
2014/8/7

プラグイン
不特定の欠陥
Job board Plugin
1.0.0
2014/8/8

プラグイン
不特定の欠陥
User Role Plugin
1.4.1
2014/8/8

プラグイン
不特定の欠陥
Relevant – Related Posts Plugin
1.0.7
2014/8/8

プラグイン
不特定の欠陥
Quotes and Tips Plugin
1.19
2014/8/8

プラグイン
不特定の欠陥
Email Queue Plugin
1.0.0
2014/8/8

プラグイン
不特定の欠陥
Google AdSense Plugin
1.29
2014/8/8

プラグイン
不特定の欠陥
Donate Plugin
2.0.1
2014/8/8

プラグイン
不特定の欠陥
Sender Plugin
0.7
2014/8/8

プラグイン
不特定の欠陥
Limit Attempts Plugin
1.0.3
2014/8/8

プラグイン
SQLインジェクション
GB Gallery Slideshow Plugin
1.5
2014/8/11

プラグイン
不特定の欠陥
Updater Plugin
1.20
2014/8/12

プラグイン
不特定の欠陥
Custom Search Plugin
1.21
2014/8/12

プラグイン
不特定の欠陥
YOP Poll Plugin
4.9.1
2014/8/12

プラグイン
RCE
CK and SyntaxHighlighter Plugin
不特定
2014/8/12

プラグイン
XSS
All In One SEO Pack Plugin
2.2.2
2014/8/13

プラグイン
不特定の欠陥
Post To CSV Plugin
1.2
2014/8/13

プラグイン
不特定の欠陥
Facebook Like Button Plugin
2.33
2014/8/13

プラグイン
CSRF
MailPoet Newsletters Plugin
2.6.10
2014/8/14

プラグイン
不特定の欠陥
WP Ultimate CSV Importer Plugin
3.6.1
2014/8/14

プラグイン
XSS
WP Photo Album Plus
5.4.5
2014/8/16

プラグイン
CSRF
Disqus Comment System Plugin
2.77
2014/8/16

プラグイン
CSRF
Disqus Comment System Plugin
2.77
2014/8/16

プラグイン
設定のリモート操作
Auto Post Scheduler Plugin
1.1
2014/8/19

プラグイン
XSS
Simple Page Ordering Plugin
2.2.1
2014/8/19

プラグイン
ディレクトリトラバーサル
WP Source Control Plugin
3.1.1未満
2014/8/19

プラグイン
RFI
Memphis Documents Library Plugin
2.6.2
2014/8/20

プラグイン
RFI
Memphis Documents Library Plugin
2.6.2
2014/8/20

プラグイン
XSS
Memphis Documents Library Plugin
2.6.2
2014/8/20

プラグイン
RFI
Memphis Documents Library
2.6.2
2014/8/20

プラグイン
XSS
WordPress File Upload Plugin
2.4.3
2014/8/20

プラグイン
XSS
Memphis Documents Library Plugin
2.6.2
2014/8/20

プラグイン
保護パスワード開示
WordPress Mobile Pack Plugin
2.0.1
2014/8/20

プラグイン
不特定の欠陥
Sunny Plugin
1.3.0
2014/8/21

プラグイン
不特定の欠陥
Regular Board Plugin
2.00.0.6
2014/8/21

プラグイン
XSS
Vote It Up Plugin
1.2.3
2014/8/21

プラグイン
XSS
WordPress File Upload Plugin
2.4.3
2014/8/22

プラグイン
不特定の欠陥
SendinBlue Subscribe Form And WP SMTP Plugin
2.0.3
2014/8/22

プラグイン
パストラバーサル
Responsive KenBurner Slider jQuery Plugin
不特定
2014/8/24

本体
XMLに対するリモートDOS
Wordpress本体
不特定
2014/8/26

プラグイン
XSS
WooCommerce Store Exporter Plugin
1.7.5
2014/8/27

プラグイン
XSS
WooCommerce Store Exporter Plugin
1.7.5
2014/8/27

プラグイン
ディレクトリトラバーサル
Download Shortcode Plugin
1.1
2014/8/27

プラグイン
CSRF
Comment Approved Plugin
1.1
2014/8/28

プラグイン
RCE
Page Layout Builder Plugin
1.7.1
2014/8/28

プラグイン
ファイルアップロード
Gallery Bank Plugin
3.0.60
2014/8/29

プラグイン
RCE
Slideshow Gallery Plugin
1.4.6
2014/8/30

テーマ
パストラバーサル
Acento Cultural Theme
不特定
2014/8/31

テーマ
パストラバーサル
FR0_theme
不特定
2014/8/31

テーマ
パストラバーサル
lote27 Theme
不特定
2014/8/31

テーマ
パストラバーサル
NativeChurch Theme
不特定
2014/8/31

 

KYUBIの料金プラン変更のお知らせ:Lite、Pro、Adminの3つの料金体系がご利用可能です。

現行の料金体系では1サイト1回限り、無料でセキュリティ診断を利用できる「トライアルサービス」および、月額7980円で診断回数無制限の「継続監視サービス」を提供しておりましたが、中小企業および個人ユーザーの方々からの多数のお問い合わせにお応えし、新料金体系においては、3つのプランを提供いたします。

・「KYUBI Lite(ライト)」
月に1回まで無料でセキュリティ診断が可能。
・「KYUBI Pro(プロ)」
月に5回までセキュリティ診断が可能。月額980円(税別)
・「KYUBI Admin(アドミン)」
診断回数無制限でセキュリティ診断が可能。月額7980円(税別)(現行の継続監視サービスを改名)

Liteにおいては、KYUBIによるセキュリティ診断のすべての機能を、月に1回まで利用でき、個人ブログやランディングページなどの診断に利用頂くことが可能です。
Proにおいては、月に5回まですべての機能を利用でき、プラグインなどを多数お使いの商用サイトやECサイトなどの診断に活用可能です。
最上位プランのAdminにおいては、診断回数が無制限となるほか、ミドルウェア・ハードウェアにおけるセキュリティ対策に至るまでのセキュリティ専門家による電話サポートが利用可能です。

また、新料金体系の導入に伴い、レンタルサーバー会社への提供も開始致します。