カテゴリー別アーカイブ: WordPress

WordPressテーマの危険性

不正なコードが埋め込まれたテーマが出回っています。

以前、2chでぐだぐだ質問してた内容を色々補足してまとめてくれた方がいました。
対策なども書かれているので、wpを使用されている方はみておいた方がいいと思います。

http://tenderfeel.xsrv.jp/wordpress/837/

感謝。

テーマやプラグイン導入時に考えられる対策としては
・不正なコードが含まれているプラグインやテーマを使用しない
・不正なコードが含まれているプラグインやテーマが動いてしまった時の影響を抑える。
が、考えられます。

具体的な方法
まず、不正なコードが含まれているプラグインやテーマを使用しないについて。
正直、phpがわからなければどうしようもないのですが、知識がなくてもできることいくつか。
1.テーマでぐぐって何かでないか調べる。
2.公式のテーマ配布サイトのように審査を行っているところからダウンロードする。
→ただ、公式のテーマ配布サイトの審査は気休め程度に考えておくべきだと思います。どこまで見てるかわからないのと見逃される可能性があるので。

ぐらいですかね。思い浮かばないです。

次、不正なコードが含まれているプラグインやテーマが動いてしまった時の影響を抑えるについて
1.Webサーバプロセスのユーザに書き込み権限を与えない。
2.管理画面へのアクセス制限を行う。
→管理画面に入られてしまうと、色々できます。ですので、wpのユーザ認証以外で管理画面へのアクセス制限はかけたほうがいいです。うちではwp-admin/にapache側で制限をかけてます。
3.特定のメールアドレス以外にはメールを送信しないようにする
→今回は不正コードの実行をメールでこっそり通知しようとしていたので、悪意のあるユーザによる発見を遅らせるという意味では有効だと思います。たまたまプロバイダのOB25を回避する設定をしていなかったので早めに気付けましたが、いつまでもそれに頼るわけにはいかないのでサーバ側でも対策を行っています。
MTAの設定で送る必要のあるアドレス以外にはメールを送られないように設定しました。ですが、別の方法(リンクの通知とか)をとられるとか、悪意のあるユーザがドメイン内にいる場合は意味ないですね。

phpとか全然わからないので怖いです。他に何かいい方法あるのかな。
必要なプラグインやテーマのみインストールする。ってのは確率を下げるという意味では有効かな。