このページは現在建設中です。 改善に取り組んでいます!
WordPress の公式リポジトリには 47 を超えるプラグインがあり、他のさまざまなマーケットプレイスやサイトではさらに数千のプラグインが利用可能であるため、適切に機能するプラグインを見つけるのは困難な作業です。 安全でサイトを危険にさらさない WordPress プラグインを見つけることは、WordPress セキュリティの複雑な性質と、多くの場合、数千行のコードを含む大規模なプラグインのため、さらに困難な作業です。
私たちは、すべての悪いプラグインを回避するお手伝いはできませんが、既知で確認されている脆弱性やセキュリティの問題を特定することはできます。 自分が何をしているのかよくわかっていない場合、ローカル インストールで何かをテストしている場合、または WordPress のセキュリティに興味がある場合を除き、実稼働サイトで以下にリストされている危険なプラグインを使用しないでください。 以下の表で説明されている問題はよく知られており、文書化されているため、悪意のある者がそれらのセキュリティ ホールを悪用してサイトを攻撃することが容易になります。
このページにプラグインをリストすることは、プラグインやその作者を軽視するものではありません。 既知のセキュリティ問題がある特定のバージョンをインストールしないようユーザーに警告したいだけです。 プラグインが問題によりリストに表示されていると思われる場合、またはプラグインの更新にサポートが必要な場合は、お問い合わせください。
このページと脆弱なプラグインのリストの使用方法を教えてください。
リストされているプラグインのいずれかを使用している場合は、バージョン番号を再確認し、既知の問題があるプラグインであることを確認してください。 その場合は、すぐにプラグインを削除してください。 これには、非アクティブ化と削除が含まれます。 無効化するだけではありません。 作成者に連絡して、問題が解決されたかどうかを尋ね、解決されない場合は修正するよう促すこともできます。
脆弱性の種類
WordPress プラグインが直面する最も一般的なセキュリティ ホールと問題を簡単に思い出させます。 ほとんどの問題は、以下に示す XNUMX つ以上のタイプの組み合わせであることに注意してください。
任意のファイル閲覧
特定のファイル ソース (プラグイン テンプレートなど) のみの表示を許可する代わりに、コード内にチェックがないため、攻撃者は wp-config.php などの機密情報を含むファイルを含むあらゆるファイルのソースを表示できます。
任意のファイルのアップロード
ファイル タイプとコンテンツ フィルタリングがないため、実行可能コードを含む可能性のある任意のファイルをアップロードでき、一度実行するとサイト上でほとんど何でもできるようになる
特権エスカレーション
攻撃者がサイト上にアカウントを取得すると、たとえそれが加入者タイプのものであっても、管理権限を含むより高いレベルに権限を昇格させることができます。
SQLインジェクション
SQL クエリに入力されるデータをエスケープおよびフィルタリングしないと、悪意のあるコードがクエリに挿入され、データがデータベースに削除、更新、または挿入される可能性があります。 これは最も一般的な脆弱性の XNUMX つです。
リモートコード実行 (RCE)
攻撃者は、悪意のあるコードをアップロードして実行する代わりに、リモートの場所からそのコードを実行できます。 このコードは、サイトのハイジャックから完全な削除まで、あらゆることを行うことができます。
ハッキングされた、危険な、脆弱な WordPress プラグインのリスト
WordPress サイトがハッキングされたことがありますか?
絶望しないでください。 それは私たちの中で最も優れた人に起こります。 あなたのサイトを見ずに一般的なアドバイスを与えるのは難しいですが、WP 管理者にまだログインできる場合は、 無料のSecurity Ninjaプラグイン。 サイト上で +40 のテストを実行し、Core アドオンを使用すると、WordPress.org に保存されている安全なマスター コピーとコア ファイルを比較することで、コア ファイルの整合性を検証できます。 これは、WordPress サイトにとって非常に貴重なツールです。
ソース
最新の危険で脆弱な WordPress プラグインのリストは、次のようなさまざまなソースから編集されています。
