私はインターネット上で自分の強力な小さなコーナーを強化するために WordPress を使用していますが、告白すると、さまざまなプラグインやテーマを最新の状態に保つのが怠けてきました。私のサイトは非常に基本的なものなので、その考えは思いつきませんでした。ただし、ぜひご訪問くださいあなたの今すぐ WordPress サイトを更新し、必要なものをすべて更新してください。特に ThemeGrill の特定のプラグインを使用している場合は、パッチを適用しないままにしておくと大きな脆弱性が発生する可能性があります。
最近の報告によると、WebARX、Wordpress 用の ThemeGrill Demo Importer プラグイン (記事の公開時点で 200,000 件以上インストールされていますが、その数は急速に減少しています) には、1.3.4 から 1.6.1 までのどのバージョンにも脆弱性があります。 WordPress ユーザーがブログ用の ThemeGrill テーマをインストールしてアクティブ化し、WordPress インストールにデフォルトの「管理者」ユーザー アカウントが存在する場合、攻撃者はこの脆弱性を利用して「データベース全体をデフォルトの状態にワイプし、その後データベース全体をデフォルトの状態に戻す」可能性があります。自動的に管理者としてログインされます。」
WebARX は次のように書いています。
「これは深刻な脆弱性であり、多大な損害を引き起こす可能性があります。 InfiniteWP で以前に発見されたのと同様に、疑わしいペイロードは必要ないため、ファイアウォールがデフォルトでこれをブロックすることは期待されておらず、この脆弱性をブロックするには特別なルールを作成する必要があります。」
ThemeGrill Demo Importer プラグインをできるだけ早く少なくともバージョン 1.6.2 に更新する必要があります。これは、WordPress インストールの「プラグイン」ページから簡単に行うことができます。サイトのバックエンドは次のようになっているため、保留中の更新があることを見逃すことはありません。
クレジット: デビッド・マーフィー
自動アップデーターの使用を開始しましょう
あなたが私と同じで、保留中のアップデートの数に驚いたことがある場合、またはプラグインのアップデートが表示されたらすぐにそれを確実に取得したいと考えている場合は、優れたセキュリティ対策です。プラグインの更新を管理するために、セカンダリ プラグインを取得することをお勧めします。プラグインを叩くコンパニオンの自動アップデートを WordPress インストールに組み込むと、WordPress に関するすべての要素 (コア ファイルも含む) が常に最新バージョンで実行されるように自動的に確認されます。
デフォルトでは、コンパニオン自動更新はプラグイン、テーマ、翻訳ファイル、WordPress のマイナーアップデートを自動的に更新します。互換性の問題が心配ない場合は、メジャー アップデートをインストールすることもできます。このプラグインが機能していることを再確認するために、サイト上の何かが更新されるたびにメールを送信するように設定することもできます。
クレジット: デビッド・マーフィー
前述の ThemeGrill Demo Importer を自分のサイトで実行している可能性は低いですが、この脆弱性は、数分かけてサイトの自動更新の設定を確認するための良い口実になると思います。そうすることで、プラグインに脆弱性が発見された場合でも、実は使用すると、必要なパッチが表示されたらすぐに入手できます。
その間、使用をやめるWordPress のデフォルトの「管理者」アカウントも同様です。
