プラグインが弱いため、何百万ものワードプレスサイトに強制的にパッチを適用する必要があります

過去数日間で、何百万ものWordPressサイトが強制的にパッチの更新を受け取りました。これは、ユーザーがウェブサイトのバックアップを作成して復元することを可能にする人気のあるプラグインであるUpdraftPlusに脆弱性があるためです。

開発者UpdraftPlusは、この脆弱性により、アカウントを持つ誰もがウェブサイトのデータベース全体をダウンロードできるようになるため、必須のパッチを要求しました。

データベースには、多くの場合、顧客やサイトのセキュリティ設定に関する機密情報が含まれ、パスワード、ユーザー名、IP アドレスなどを漏洩する重大なデータ漏洩に対して脆弱な数百万のサイトが残っています。

このバグは、プラグインのセキュリティ監査中にJetpackのセキュリティ研究者Marc Montpasによって発見されました。「このバグは悪用が非常に簡単で、悪用された場合は非常に悪い結果が生じます」とMontpas氏は述べています。

「これにより、低い権限を持つユーザーは、未加工のデータベースバックアップを含むサイトのバックアップをダウンロードできます。

UpdraftPlusは、ウェブサイトデータベースのバックアップと回復のプロセスを簡素化し、WordPressコンテンツ管理システム用のインターネット上で最も広く使用されているスケジュールされたバックアッププラグインです。

これにより、Dropbox、Google ドライブ、Amazon S3、およびその他のクラウド サービスへのデータバックアップが簡素化されます。その開発者は、ユーザーが定期的かつ高速なバックアップをスケジュールし、競合するWordPressプラグインよりも少ないサーバーリソースを使用することを可能にすると言います。

2月21日(月)にEngadgetを起動すると、Montpasは先週火曜日にアップドラフトプラスの開発者にバグについて通知しました。彼らは1日後にそれを修正し、すぐに強制的にパッチをインストールし始めました。

合計170万のサイトが300万人以上のユーザーからパッチを受け取りました。モントパスは、アップドラフトプラスの主な弱点は、ワードプレスの「心拍数」機能を適切に実装していないと説明しました。

プラグインは、ユーザーが管理者権限を持っているかどうかを確認するために適切にチェックしません。もう 1 つの問題は、信頼されていないユーザーが変更できる管理者を検証するために使用される変数です。

WordPressは以前は今年初めに侵害されましたが、120万のアカウントを公開したGoDaddyハックを通じて間接的に行われました。あなたは、アップドラフトプラスプラグインでWordPressを実行している場合は、プラグインが自動的に1.22.4以降に無料版で更新されていることを確認する必要があります 2.22.4 以上のプレミアムアプリで.