goods and life +

Crazy Bone 終了…

Crazy Bone 終了です。

ログイン・ログアウト時のユーザー名、日時、IPアドレス、ユーザーエージェントを記録してくれていたプラグインで、長らく有用に使えていたけど、Contents of the February 2, 2022 Report によると、もうあかんプラグインらしい。

完全にヤバい輩のログイン未遂などの発見にも役立ってくれていたんですけどね。

WordPress Vulnerability Report – February 2, 2022

SEVERITY SCORE
High


The vulnerability has not been patched and the plugin is closed. You should uninstall and delete the plugin.


重大度:High
スコア認証されていない保存された XSS(Unauthenticated Stored XSS)やて…。
まあこれも、賑わっているのか賑わっていないのかよくわからない WordPress の世界の日々のひとコマですね。

相変わらずわけのわからんアタックの圧が高止まりの中で、こういったプラグインがなくなってしまうのは心もとないことなんですが、Crazy Bone (狂骨) はプラグインの更新もされていないままだし、脆弱性にはパッチも適用されず。
残念ですが、No Fix ならプラグインをアンインストールして削除するしかないですね。

XSS(Unauthenticated Stored XSS)のヤバさについてわかりやすい一例

CVE-2021–24563 非認証で保存された XSS [フロントエンド アップローダー <= 1.3.2]


ちなみに、この2日くらいで急増しているのが、あっちこっちのやられたっぽいサーバーからの xmlrpc.php って古典的なアタックですよ、複数の非公開のドメインにも同じようにたくさん来てますので、無差別爆撃ですね。
もうずいぶん昔から REST API の時代になっているはずですけど、いまだにこれだからうんざりしますね。

ていうか、そもそも非公開のとこに普通でない特殊なアクセスを執拗に繰り返してきて撃沈している時点で完全にキチガイなんで、どこぞの自称公共テレビがいうような、世界中おててつないで論みたいなのは外患誘致と一緒、現実を無視した有害ゴミ情報は他人を危険に晒すだけですし、あそこも定期的にガサ入れしてほしいくらいです。

今まで役立ってくれてありがとう、狂骨さようならだ。



あとはまあ reCAPTCHA に頑張ってもらうしかないんですけど、reCAPTCHA の場合だと、ただ使うだけでは狂骨のような表示を自動的に行なってくれるわけではないんですよね、adminコンソールでより詳細なトラフィック情報が表示されるようにするためには、reCAPTCHA 検証を実行するすべての場所でアクション名を指定しないとダメなので、ひと手間かかりますね。

そんじゃあね〜…(´・ω・`)


お買いもの忘れはないですか?

*
*
* (公開されません)

CAPTCHA


※スパム対策のため、日本語を含まない投稿は無視されます。

Return Top