ワードプレス・プラグイン情報 トラブル対応

2020年下半期 WordPressプラグイン脆弱性まとめ

2021年3月31日

2020年下半期はいくつかのプラグインで、脆弱性が報告されています。2020年10月~2021年3月に発表されたJVNの公開情報に基づいて、WordPressプラグイン脆弱性情報をまとめてお伝えします。

2020年下半期 WordPressプラグイン脆弱性まとめ

JVNとは?

日本で利用されているソフトウェアの脆弱性について、情報と対策を発信しているポータルサイト「JVN」は、Japan Vulnerability Notesの略称でIPA(独立行政法人情報処理推進機構)とJPCERT コーディネーションセンターが共同運営しています。

JVNの公開情報に基づいて、2020年下半期のWordPressプラグインに絞り込んで御紹介します。(2020/10~2021/3 最新順)

Paid Memberships Pro

2021/03/17公開

WordPress 用プラグイン Paid Memberships Pro には、SQL インジェクションの脆弱性が存在します。

影響を受けるシステム

Paid Memberships Pro version 2.5.6 より前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

Name Directory

2021/02/05公開

WordPress 用プラグイン Name Directory には、クロスサイトリクエストフォージェリの脆弱性が存在します。

影響を受けるシステム

Name Directory 1.17.4 およびそれ以前

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

Simple Download Monitor

2020/10/21公開

WordPress 用プラグイン Simple Download Monitor には、複数の脆弱性が存在します。

影響を受けるシステム

Simple Download Monitor 3.8.8 およびそれ以前

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

Live Chat – Live support

2020/10/14公開

WordPress 用プラグイン Live Chat – Live support には、クロスサイトリクエストフォージェリの脆弱性が存在します。

影響を受けるシステム

Live Chat – Live support バージョン 3.1.0 およびそれ以前

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

あわせて読みたい

セキュリティ対応が自社では難しい、時間や人員が割けない場合、外部サービスを利用するのも一つの方法です。

Webセキュリティサービス【SiteLock(サイトロック)】

SiteLock

東証一部上場のGMOインターネットのグループ企業であるGMOロジテック株式会社が運営する Webセキュリティサービス「SiteLock」(サイトロック)です。

マルウェアの感染や不正改竄など、サイトの脆弱性に対する攻撃が後を絶たず、自社のブランドを毀損する以上に、ユーザーに被害をもたらす可能性もあります。

「SiteLock」は、年額8,800円(月当たり733円)という低価格で、100ページまでのWordPressで構築したサイトなどのセキュリティ対策を行えるサービスです。
Webサイトおよびアプリケーションの定期的な「脆弱性診断」 や、マルウェアや不正コンテンツを検知する「マルウェア診断」 、そしてサイトの不正な改ざんを定期診断・駆除する「SMART診断」 が行えるほか、Webサイトの信頼性を可視化する安全シールも利用できます。

信用を守るため、ユーザーを守るためにもセキュリティ対策は今や必須です。

SiteLock公式サイトへ

まとめ

WordPressでは4つのプラグインで脆弱性が指摘されていますが、その他のCMSでも複数報告されています。

2020/11/06 XOOPS 用モジュール XooNIps における複数の脆弱性、2020/11/18と2021/02/24 Movable Type におけるクロスサイトスクリプティングの脆弱性、2020/12/03 EC-CUBEにおける複数の脆弱性などが公開されていますので、JVNで詳しい情報を確認し未対応の方は早急にアップデートなどをお勧めいたします。

記事作成者プロフィール

佃 直毅
佃 直毅ITサポート/コンテンツプロデュース
株式会社ストレン 代表取締役社長
MCP,2級知的財産管理技能士
おすすめ情報サイト「マイベスト」レンタルサーバー・ドメイン監修

当サイトでは、ホスティングビジネスの経験を踏まえ、ユーザー視点でレンタルサーバーやドメイン販売サービス・WordPressテンプレートの評価をし、これから始めたい・切り替えたい方の立場に立った記事・比較情報をお届けします。

【仕事略歴】早稲田大商卒。東証一部精密機器メーカー、レコード会社を経て独立後、2001年に動画配信(ストリーミングサーバー)レンタルサービス「ストレン」を立ち上げ、マイクロソフト認定パートナーとしてサーバー構築・運用からPRまで全般に携わる。2015年、東証グロース上場企業・お客様と合意のもと、上場企業サービスへ移行していただき同ビジネス終了、以降はITサポート・コンサルティングとして企業の支援に。

【趣味】プロ野球/MLBなどスポーツ、映画・音楽好き(主に洋楽)