実験で分かった事xxxプラグインは使ってはいけない

プラグインセキュリティ
目的だけを注力してプラグイン採用してはいけない

プラグインが悪いのではない(たぶん)

xxxプラグインとは( WP Hide & Security Enhancer)のことです。

WP Hide & Security Enhancerのことを悪く言うつもりは無いんです。

plugin
WP Hide & Security Enhancer

たぶん、と書いたのには理由があります。

このPLuginプラグインは外国製で、
詳しい説明があるのですが全部英語で、筆者がこれを理解できていないせいもあるから。

 但し、このプラグイン、無効化&削除後も一部の記述が残ってしまう弊害がある。
いわゆるオンコーディング(焼き付け)と言われるもの。ハードコーディングとも、
SQLデータベースに、値(変数名)などを持たずに、php言語上に直接書き出している部分(フォルダ名・・・プラグインの削除時にフォルダそのものは一緒に削除されているにも、かかわらず)が残ってしまう(これらは、導入者があとで対処が必要となる。)

あまり有用ではないプラグインは削除

何故?外したか

結論から先に言うと

スキン設定が毎回”指定なしの状態“に、戻ってしまうから」を

このプラグインで実現できる目的(筆者が求めたもの)を、あきらめて外したら、

スキン設定が毎回”リセットされる“ということが、回避されたから」

プラグインの目的が本来の目的の一部を妨害

このプラグインは、使用テーマを隠すことが目的だったのですが、

本来のテーマの機能の1つを妨害してしまった
 (スキン表示が、テーマの他の設定都度リセットされてしまう。)

実は、もう一つ記述上に余計なフォルダ名が残ってしまう

もう一つは、ホームイメージ用に余計なフォルダ名が残ってしまい、戻せないことです。
/jn-theme-name/screenshot.jpg の様に、
jn-theme-nameの部分が同じ様に焼き付いていて
プラグイン(WP Hide & Security Enhancer)を無効化して削除しても

フォルダも削除されたが)
ホームイメージの画像のパスが治りません

このサイトでのことではないのですが、

本来なら、
ホームイメージ:/wp-content/uploads/・・・となるハズなのですが、

仕方が無いので、WebFTPフォルダを作って、
その上、画像も配置してしのいでいます。

.新しくプラグインを入れる場合は、まず実験サイトに入れてみて不具合などが起こらないことを確認してから、本サイトにも導入

これは、ほかのテーマでも起こりうること

 なにも、このプラグインに限ったものでもないと思います。

プラグイン導入で当初の目的を達成したとしても
「他の問題が発生する」かも知れないということです。

いきなり本番環境に導入するのも危険・リスクが伴う場合もあります。

プラグイン同士で重複する機能があったりして競合(コンフリクト)してしまったり、

プラグインの数が多くなり管理しきれなくなったりしたら本末転倒です。

実現したいことだけに注力してプラグインを選ばないこと

今回は、
機能には満足したものの、思わぬところに想定外の影響が出たため、
当初目的をあきらめ、
テスト環境に導入していたプラグインを外し、削除したことの顛末をお伝えします。

他の機能との兼ね合い・相性の問題でもある

これは未だ「本サイト運用ではなく、実験サイトでの運用テストのものでした。」

ちょうど、テーマCocoonを触り始めたところでもあり、

Cocoonフォーラムで質問

Cocoonフォーラムで質問したら、何回かのやり取りの後で

わいひらさんに指摘されました「m( _ _ )m

わいひらさん
わいひらさん

よくよく見てみたらjn-theme-name」というフォルダ名が入っています。

    スキン:/jn-theme-name/skins/m-tomato/style.css

本来なら以下のようなファイルパスになるはずです。

    スキン:/wp-content/themes/cocoon-master/m-tomato/style.css

なにか独自カスタマイズをしているとか心当たりはありますか?

私

スキン:/jn-theme-name/skins/m-tomato/style.css は

セキュリティの一環で、プラグインWP Hide&Security Enhancer で使用しているプラグインのテーマを隠すものです。

このプラグインが悪さをしているならWP Hide&Security Enhancerを外してみます

その上で、結果をご連絡したいと思います。

宜しくお願いします。


わいひらさん

ありがとうございます。

悪さをしているWP Hide&Security Enhancerを外しました。

結果はOKですので、WP Hide&Security Enhancerを削除します。

確認したことは

 WordPressから出力されるHTMLのソースの内容でした。

このプラグイン隠すだけじゃなく、ソースも完全に変わってしまうから、なんです

Source
HTMLの一部

データベースに出力して隠すようなことはやってなく、phpの一部を直接変更する様です。

セキュリティの一環で「テーマを隠すことが目的だった」

筆者の場合、セキュリティの一環で

「使用しているテーマを隠したかった」ただそれだけ

いまさらですが、「テーマを隠すまでもなかったのです」他のセキュリティ対策をしっかりしていたら「そんな事必要なかった」

他にも、テーマを隠すプラグインは有るようですが、

  • Advanced File Manager
Advanced File Manager
Advanced File Manager
  • Hide My WP Ghost
Hide My WP Ghost
⇧こっちは、5.4で検証済だって(5.4は20/03/31リリースなのに)
「5.4 Release Candidateならわかるが、まあ外国製だし、おおざっぱなのか?」

「5.4 Release Candidateならわかるが、まあ外国製だし、おおざっぱなのか?」

Plugin以外でもテーマを隠す方法はあるが

ほかにもプラグインでなく、テーマを隠す方法として

  • テーマフォルダーの名前を変更する
  • cssのTheme Name:を変更する

この2つをするだけで推測することができなくなります。・・・が、

やりすぎかも、もう実験する気がしていません

PLuginWP Hide & Security Enhancer)の時の様な悪さをしないかも知れませんが、

Cocoonの機能を犠牲にしてまでやることではないと思っています。

もう実験する気がしていません

筆者の運営するWordPressサイトのテーマの1つがセキュリティ対策であることから、
セキュリティ対策に敏感になりすぎていた

それに、多くのプラグインを入れすぎると

機能が重複する部分もあったりして競合(コンフリクト)したり、管理できなくなってしまうので

出来理限り、導入するプラグインを少なくしてセキュリティを高めたいと思っています。

多くのプラグインで、機能の多くが重複している

Pluginの選択と採用は慎重に

現に、筆者が導入しているプラグインで、

SiteGuard WP PluginSiteGuard WP PluginXO SecurityXO Security機能が重複している部分が多くあります。

だから、 

SiteGuard WP Pluginの方をメインにして、
両方のプラグインに存在する機能は、 SiteGuard WP PluginSiteGuard WP Pluginの方で設定

 XO Securityの方では、XO SecurityXO Securityの方でしか実現出来ない機能のみを使っています。

まとめ

WordPress用には多くの有効なプラグインが存在します。

プラグインを導入する上で一番肝心で気を付けなくてはならないことは、
プラグインで目的を達成したとしても「他の問題が発生する」かも知れないということです。

  • いきなり本番環境に導入するのも危険です。
  • プラグイン同士で重複する機能があったりして競合(コンフリクト)してしまうこともあります。
  • プラグインの数が多くなり管理しきれなくなったりしたら、それはそれで問題になります

今回の問題では、

機能には満足したものの、
プラグイン以外の思わぬところに想定外の影響が出たため、
当初目的をあきらめ、テスト環境に導入していたプラグインを外し削除しました。

   別の問題では他のプラグインとの間で競合(コンフリクト)してしまうことがあり、
管理画面にアクセスできなくなったりもしました
(この件は、また別の記事でご紹介したいと思っています)

プラグインは、

WordPressサイトを運営する上では、必須のものだったり、

便利な機能を実現(WordPressを補完)するものだったりもしますが、

導入(インスト―ル・有効化)には充分な注意が必要です。

出来理限り、導入するプラグインを少なくして

また、

 筆者の様にテスト環境を持っていたとしても、

使わなくなったプラグインは、サイトで無効化するだけじゃなく

「削除」まですることが肝要です。

(使わなくなって放置されたプラグインの脆弱性を突かれないとも限りません)

使わなくなって放置されたプラグインの脆弱性を突かれないとも限りません

コメント

タイトルとURLをコピーしました