2020年10月度 WordPress脆弱性レポート

Tweet

Pocket

WordPress　2020年10月_脆弱性レポート　　2020/11/27

2020年10月度のWordPressに関する脆弱性レポートをお知らせします。

10月度全体の脆弱性報告件数としては20件となっており、2020年9月度から8件減少しております。

個所別レポート

個所別の発生件数は、それぞれ本体が8件、テーマが2件、プラグインが10件でした。

本体に関しまして、今月は脆弱性が発生しております。
2020年6月以来の発生となります。

テーマに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。

最多発生はプラグインとなります。プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。

トピックス

前述のとおり本体に関しましては、脆弱性が8件発生しております。

テーマに関しましては、2件脆弱性が発生しております。

該当するテーマについては、「脆弱性一覧」にて後述しております。

プラグインに関しましては先月から16件減少し、10件の脆弱性が発見されました。そのうち1件の有名プラグインに脆弱性が発見されております。

以下、有名プラグインについて詳述します。

アクティブインストール100万以上、総ダウンロード数973万以上の人気プラグイン『Loginizer』にSQLIの脆弱性が発生しております。

このプラグインは、ブルートフォース攻撃への対策としてログインの最大試行回数制限やIP制限をすることができるセキュリティプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン1.6.4以上への更新によって塞ぐことができます。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。

• Child Theme Creator by OrbisiusにてCSRF
• Simple Download MonitorにてXSS
• Simple Download MonitorにてSQLI

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで7件、2位がCSRFで3件、2位がSQLiで2件でした。

トピックス

XSSの発生件数が一番多く、その次にCSRFやSQLiに関する脆弱性が多い傾向です。

脆弱性一覧

2020年10月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。

本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。

表：2020年10月度脆弱性一覧