こんにちは!今回はワードプレスでsqlインジェクションが可能となっている脆弱性のあるプラグインで非常にたくさん使用されているものを主にをご紹介したいと思います。お使いの方は、それぞれのバージョンを確認されてもし修正されていないバージョンをお使いの方はアップデートされることを強くお勧めいたします。

2000px-SQL_ANATOMY_wiki.svg

sqlインジェクションとは?

sqlインジェクションとは、簡単に申しますとワードプレスのデータベースの内容(設定や投稿のデータがすべて入っています)を、本来プログラムが意図しない形で書き換えてしまうことのできる方法です。悪意の持ったユーザーがこのsqlインジェクションを利用すると、ワードプレスの投稿の書き換えや、管理権限の奪取、その他設定に関することまで大部分の変更ができてしまいます。

このsqlインジェクションの脆弱性のある、プラグインや、テーマが多数あり、多くの場合バージョンアップで修正されていますので、このプラグインをお使いの場合は最新バージョンにアップデートされることをお勧めいたします。

ワードプレス本体のsqlインジェクション

ワードプレス4.3未満には、コアファイルにSQL Injectionの脆弱性があることが報告されています。サニタイズ関連のバグで4.3以降は修正されています

プラグインのsqlインジェクション

WP Statistics < 12.0.8未満 インストール数 30万

NextGEN Gallery < 2.1.57未満 インストール数 100万

Ninja Forms < 2.9.55.2未満 インストール数 60万

All In One WordPress Security and Firewall < 3.8未満 インストール数 40万

Facebook < 1.01未満 インストール数 10万

SEO Plugin by Yoast < 1.7.3.3未満 インストール数 300万 WP-Slimstat < 3.9.5未満 インストール数 100万 ワードプレスの脆弱性はこちらからもお調べいただけます  WordPress(ワードプレス)脆弱性診断 セキュリティースキャナ

WordPress(ワードプレス)でサイト改ざん被害にあった場合のサイト復旧はワードプレスドクターにご依頼ください。最短1日で復旧、マルウェアの排除、再感染を防ぎます