こんにちは!今回はワードプレスでsqlインジェクションが可能となっている脆弱性のあるプラグインで非常にたくさん使用されているものを主にをご紹介したいと思います。お使いの方は、それぞれのバージョンを確認されてもし修正されていないバージョンをお使いの方はアップデートされることを強くお勧めいたします。
sqlインジェクションとは?
sqlインジェクションとは、簡単に申しますとワードプレスのデータベースの内容(設定や投稿のデータがすべて入っています)を、本来プログラムが意図しない形で書き換えてしまうことのできる方法です。悪意の持ったユーザーがこのsqlインジェクションを利用すると、ワードプレスの投稿の書き換えや、管理権限の奪取、その他設定に関することまで大部分の変更ができてしまいます。
このsqlインジェクションの脆弱性のある、プラグインや、テーマが多数あり、多くの場合バージョンアップで修正されていますので、このプラグインをお使いの場合は最新バージョンにアップデートされることをお勧めいたします。
ワードプレス本体のsqlインジェクション
ワードプレス4.3未満には、コアファイルにSQL Injectionの脆弱性があることが報告されています。サニタイズ関連のバグで4.3以降は修正されています
プラグインのsqlインジェクション
WP Statistics < 12.0.8未満 インストール数 30万
NextGEN Gallery < 2.1.57未満 インストール数 100万
Ninja Forms < 2.9.55.2未満 インストール数 60万
All In One WordPress Security and Firewall < 3.8未満 インストール数 40万
Facebook < 1.01未満 インストール数 10万
SEO Plugin by Yoast < 1.7.3.3未満 インストール数 300万 WP-Slimstat < 3.9.5未満 インストール数 100万 ワードプレスの脆弱性はこちらからもお調べいただけます WordPress(ワードプレス)脆弱性診断 セキュリティースキャナ
WordPress(ワードプレス)でサイト改ざん被害にあった場合のサイト復旧はWPドクターにご依頼ください。最短1日で復旧、マルウェアの排除、再感染を防ぎます