Crazy Bone 終了です。
ログイン・ログアウト時のユーザー名、日時、IPアドレス、ユーザーエージェントを記録してくれていたプラグインで、長らく有用に使えていたけど、Contents of the February 2, 2022 Report によると、もうあかんプラグインらしい。
完全にヤバい輩のログイン未遂などの発見にも役立ってくれていたんですけどね。
WordPress Vulnerability Report – February 2, 2022
重大度:High
スコア認証されていない保存された XSS(Unauthenticated Stored XSS)やて…。
まあこれも、賑わっているのか賑わっていないのかよくわからない WordPress の世界の日々のひとコマですね。
相変わらずわけのわからんアタックの圧が高止まりの中で、こういったプラグインがなくなってしまうのは心もとないことなんですが、Crazy Bone (狂骨) はプラグインの更新もされていないままだし、脆弱性にはパッチも適用されず。
残念ですが、No Fix ならプラグインをアンインストールして削除するしかないですね。
ちなみに、この2日くらいで急増しているのが、あっちこっちのやられたっぽいサーバーからの xmlrpc.php って古典的なアタックですよ、複数の非公開のドメインにも同じようにたくさん来てますので、無差別爆撃ですね。
もうずいぶん昔から REST API の時代になっているはずですけど、いまだにこれだからうんざりしますね。
ていうか、そもそも非公開のとこに普通でない特殊なアクセスを執拗に繰り返してきて撃沈している時点で完全にキチガイなんで、どこぞの自称公共テレビがいうような、世界中おててつないで論みたいなのは外患誘致と一緒、現実を無視した有害ゴミ情報は他人を危険に晒すだけですし、あそこも定期的にガサ入れしてほしいくらいです。
今まで役立ってくれてありがとう、狂骨さようならだ。
あとはまあ reCAPTCHA に頑張ってもらうしかないんですけど、reCAPTCHA の場合だと、ただ使うだけでは狂骨のような表示を自動的に行なってくれるわけではないんですよね、adminコンソールでより詳細なトラフィック情報が表示されるようにするためには、reCAPTCHA 検証を実行するすべての場所でアクション名を指定しないとダメなので、ひと手間かかりますね。
そんじゃあね〜…(´・ω・`)
ログイン・ログアウト時のユーザー名、日時、IPアドレス、ユーザーエージェントを記録してくれていたプラグインで、長らく有用に使えていたけど、Contents of the February 2, 2022 Report によると、もうあかんプラグインらしい。
完全にヤバい輩のログイン未遂などの発見にも役立ってくれていたんですけどね。
WordPress Vulnerability Report – February 2, 2022
SEVERITY SCORE
High
The vulnerability has not been patched and the plugin is closed. You should uninstall and delete the plugin.
High
The vulnerability has not been patched and the plugin is closed. You should uninstall and delete the plugin.
重大度:High
スコア認証されていない保存された XSS(Unauthenticated Stored XSS)やて…。
まあこれも、賑わっているのか賑わっていないのかよくわからない WordPress の世界の日々のひとコマですね。
相変わらずわけのわからんアタックの圧が高止まりの中で、こういったプラグインがなくなってしまうのは心もとないことなんですが、Crazy Bone (狂骨) はプラグインの更新もされていないままだし、脆弱性にはパッチも適用されず。
残念ですが、No Fix ならプラグインをアンインストールして削除するしかないですね。
XSS(Unauthenticated Stored XSS)のヤバさについてわかりやすい一例
CVE-2021–24563 非認証で保存された XSS [フロントエンド アップローダー <= 1.3.2]
CVE-2021–24563 非認証で保存された XSS [フロントエンド アップローダー <= 1.3.2]
ちなみに、この2日くらいで急増しているのが、あっちこっちのやられたっぽいサーバーからの xmlrpc.php って古典的なアタックですよ、複数の非公開のドメインにも同じようにたくさん来てますので、無差別爆撃ですね。
もうずいぶん昔から REST API の時代になっているはずですけど、いまだにこれだからうんざりしますね。
ていうか、そもそも非公開のとこに普通でない特殊なアクセスを執拗に繰り返してきて撃沈している時点で完全にキチガイなんで、どこぞの自称公共テレビがいうような、世界中おててつないで論みたいなのは外患誘致と一緒、現実を無視した有害ゴミ情報は他人を危険に晒すだけですし、あそこも定期的にガサ入れしてほしいくらいです。
今まで役立ってくれてありがとう、狂骨さようならだ。
あとはまあ reCAPTCHA に頑張ってもらうしかないんですけど、reCAPTCHA の場合だと、ただ使うだけでは狂骨のような表示を自動的に行なってくれるわけではないんですよね、adminコンソールでより詳細なトラフィック情報が表示されるようにするためには、reCAPTCHA 検証を実行するすべての場所でアクション名を指定しないとダメなので、ひと手間かかりますね。
そんじゃあね〜…(´・ω・`)
