サポート » 使い方全般 » 脆弱性情報の収集方法について

  • 解決済 non888

    (@non888)


    WordPressのプラグインなどの脆弱性情報の収集について、お聞きしたいことがあります。
    現在、下記サイトのRSSを受信し、脆弱性情報を把握できるようにしております。
    https://www.ipa.go.jp/security/index.html
    https://jvn.jp/jp/

    先日、ITmediaにて下記記事の掲載があったのですが、
    前述したサイトでは情報の掲載はなく、たまたまITmediaを見ていたため把握できたといった事がありました。
    https://www.itmedia.co.jp/news/articles/2301/10/news040.html

    WordPressに関する脆弱性情報など、なるべく漏れを少なくしたいと思っているのですが、
    皆様はどのようにして脆弱性情報を把握されておられますでしょうか?
    前述したページ以外でおすすめのサイトがありましたら、お教えいただけますと幸いです。

5件の返信を表示中 - 1 - 5件目 (全5件中)
  • non888 さん、こんにちは。

    ご指摘の記事は「古いプラグイン、テーマの脆弱性」を網羅して悪用しているという内容ですので、新たな脆弱性の発生ではないため IPA に記載されていないのだと思いますが、いかがでしょう。

    記載されているそれぞれのプラグイン、テーマの個別の脆弱性は過去に IPA にて公表されており、すでに修正されているか、放置されているため使用しない方がよいとの判断になるのではないかと思われます。

    公開されている WordPress サイトのプラグイン、テーマを常に最新に保ち、長期間更新されていないプラグイン、テーマは使用しない、他の物に変更する等で対応し、 IPA の情報をキャッチしているのであれば問題はないように思います。野良プラグインや自作テーマ等に関しては自身でメンテナンスを行うしかないと思いますので、それは別の話になるでしょう。

    個人的な見解ですが、ご参考になれば。

    こんにちは

    WordPress Vulnerability Database API はどうでしょうか。

    トピック投稿者 non888

    (@non888)

    @shokun0803
    ご回答いただきありがとうございます。
    IPAに記載される基準があいまいな認識だったため、再度認識を改めることができました。ありがとうございます。
    いただいた内容をもとに今後、運用を行っていこうと思います。

    Hello @non888

    As @shokun0803 said, the massive attacks are from old vulnerabilities and for sites not updated…

    Moreover, as @ishitaka told you, you have the WPVulnerability API, and also the plugin to check
    https://ja.wordpress.org/plugins/wpvulnerability/

    There are more than 15,000 vulnerabilities processes there.

    トピック投稿者 non888

    (@non888)

    @ishitaka
    ご回答ありがとうございます。
    いただいた情報含め参考にさせていただきます。

    Hi @javiercasares
    Thank you for your response.
    We will make improvements based on the information you provided.


5件の返信を表示中 - 1 - 5件目 (全5件中)
  • トピック「脆弱性情報の収集方法について」には新たに返信することはできません。