実験で分かった事xxxプラグインは使ってはいけない

プラグイン セキュリティ
目的だけを注力してプラグイン採用してはいけない
記事内に広告が含まれています。
PR広告
PR広告

PlugIn

プラグインが悪いのではない(たぶん)

xxxプラグインとは( WP Hide & Security Enhancer)のことです。

Thank you for reading this post, don't forget to subscribe!

WP Hide & Security Enhancerのことを悪く言うつもりは無いんです。

plugin
WP Hide & Security Enhancer

たぶん、と書いたのには理由があります。

このPLuginプラグインは外国製で、
詳しい説明があるのですが全部英語で、筆者がこれを理解できていないせいもあるから。

 但し、このプラグイン、無効化&削除後も一部の記述が残ってしまう弊害がある
いわゆるオンコーディング(焼き付け:ハードコーディングとも)と言われるもの。それは、SQLデータベースに、値(変数名)などを持たずに、php言語上に直接書き出している部分(フォルダ名・・・プラグインの削除時にフォルダそのものは一緒に削除されているにも、かかわらず)が残ってしまう(これらは、導入者があとで別途対処が必要となる。構造に詳しくない人にとっては困難)

PR広告

あまり有用ではないプラグインは削除

何故?外したか・・・結論から先に言うと、

スキン設定が毎回”指定なしの状態“に、戻ってしまうから」を

このプラグインで実現できる目的(筆者が求めたもの)を、あきらめて外したら、

スキン設定が毎回”リセットされる“ということが、回避されたから」

プラグインの目的が本来の目的の一部を妨害

このプラグインは、使用テーマを隠すことが目的だったのですが、

本来のテーマの機能の1つを妨害してしまった
 (スキン表示が、テーマの他の設定都度リセットされてしまう。)

実は、もう一つ記述上に余計なフォルダ名が残ってしまう

もう一つは、ホームイメージ用に余計なフォルダ名が残ってしまい、戻せないことです。
/jn-theme-name/screenshot.jpg の様に、
jn-theme-nameの部分が同じ様に焼き付いていて
プラグイン(WP Hide & Security Enhancer)を無効化して削除しても

フォルダも削除されたが)ホームイメージの画像のパスが治りません

本来の、ホームイメージ:/wp-content/uploads/・・・とならず、

仕方が無いので、WebFTPフォルダを作って、その上、画像も再配置してしのいでいます。

.新しくプラグインを入れる場合は、まず実験サイトに入れてみて不具合などが起こらないことを確認してから、本サイトに導入することが大事です。

これは、ほかのテーマでも起こりうることです。

プラグイン導入で当初の目的を達成したとしても
「他の問題が発生する」かも知れない(本末転倒)ということです。

いきなり本番環境に導入するのも危険・リスクが伴う場合もあります。

プラグイン同士で重複する機能があったりして競合(コンフリクト)してしまったり、

プラグインの数が多くなり管理しきれなくなったりしたら本末転倒です。

実現したいことだけに注力してプラグインを選ばないこと

今回は、
機能には満足したものの、思わぬところに想定外の影響が出たため、
当初目的をあきらめ、
テスト環境に導入していたプラグインを外し、削除したことの顛末をお伝えします。

他の機能との兼ね合い・相性の問題でもある

これは未だ「本サイト運用ではなく、実験サイトでの運用テストのものでした。」

ちょうど、テーマCocoonを触り始めたところでもあり、

Cocoonフォーラムで質問

Cocoonフォーラムで質問したら、何回かのやり取りの後で

わいひらさんに指摘されました「m( _ _ )m

わいひらさん
わいひらさん

よくよく見てみたらjn-theme-name」というフォルダ名が入っています。

    スキン:/jn-theme-name/skins/m-tomato/style.css

本来なら以下のようなファイルパスになるはずです。

    スキン:/wp-content/themes/cocoon-master/m-tomato/style.css

なにか独自カスタマイズをしているとか心当たりはありますか?

私

スキン:/jn-theme-name/skins/m-tomato/style.css は

セキュリティの一環で、プラグインWP Hide&Security Enhancer で使用しているプラグインのテーマを隠すものです。

このプラグインが悪さをしているならWP Hide&Security Enhancerを外してみます

その上で、結果をご連絡したいと思います。

宜しくお願いします。


わいひらさん

ありがとうございます。

悪さをしているWP Hide&Security Enhancerを外しました。

結果はOKですので、WP Hide&Security Enhancerを削除します。

確認したことは

 WordPressから出力されるHTMLのソースの内容でした。

このプラグイン隠すだけじゃなく、ソースも完全に変わってしまうから、なんです

Source
HTMLの一部

データベースに出力して隠すようなことはやってなく、phpの一部を直接変更する様です。

セキュリティの一環で「テーマを隠すことが目的だった」

筆者の場合、セキュリティの一環で

「使用しているテーマを隠したかった」ただそれだけ

いまさらですが、「テーマを隠すまでもなかったのです」他のセキュリティ対策をしっかりしていたら「そんな事必要なかった」

他にも、テーマを隠すプラグインは有るようですが、

  • Advanced File Manager
Advanced File Manager
Advanced File Manager
  • Hide My WP Ghost
Hide My WP Ghost
⇧こっちは、5.4で検証済だって(5.4は20/03/31リリースなのに)
「5.4 Release Candidateならわかるが、まあ外国製だし、おおざっぱなのか?」

「5.4 Release Candidateならわかるが、まあ外国製だし、おおざっぱなのか?」

Plugin以外でもテーマを隠す方法はあるが

ほかにもプラグインでなく、テーマを隠す方法として

  • テーマフォルダーの名前を変更する
  • cssのTheme Name:を変更する

この2つをするだけで推測することができなくなります。・・・が、

やりすぎかも、もう実験する気がしていません

PLuginWP Hide & Security Enhancer)の時の様な悪さをしないかも知れませんが、

Cocoonの機能を犠牲にしてまでやることではないと思っています。

もう実験する気がしていません

筆者の運営するWordPressサイトのテーマの1つがセキュリティ対策であることから、
セキュリティ対策に敏感になりすぎていた

それに、多くのプラグインを入れすぎると

機能が重複する部分もあったりして競合(コンフリクト)したり、管理できなくなってしまうので

出来理限り、導入するプラグインを少なくしてセキュリティを高めたいと思っています。

多くのプラグインで、機能の多くが重複している

Pluginの選択と採用は慎重に

現に、筆者が導入しているプラグインで、

SiteGuard WP PluginSiteGuard WP PluginXO SecurityXO Security機能が重複している部分が多くあります。

だから、 

SiteGuard WP Pluginの方をメインにして、
両方のプラグインに存在する機能は、 SiteGuard WP PluginSiteGuard WP Pluginの方で設定

 XO Securityの方では、XO SecurityXO Securityの方でしか実現出来ない機能のみを使っています。

まとめ

WordPress用には多くの有効なプラグインが存在します。

プラグインを導入する上で一番肝心で気を付けなくてはならないことは、
プラグインで目的を達成したとしても「他の問題が発生する」かも知れないということです。

  • いきなり本番環境に導入するのも危険です。
  • プラグイン同士で重複する機能があったりして競合(コンフリクト)してしまうこともあります。
  • プラグインの数が多くなり管理しきれなくなったりしたら、それはそれで問題になります

今回の問題では、

機能には満足したものの、
プラグイン以外の思わぬところに想定外の影響が出たため、
当初目的をあきらめ、テスト環境に導入していたプラグインを外し削除しました。

   別の問題では他のプラグインとの間で競合(コンフリクト)してしまうことがあり、
管理画面にアクセスできなくなったりもしました
(この件は、また別の記事でご紹介したいと思っています)

プラグインは、

WordPressサイトを運営する上では、必須のものだったり、

便利な機能を実現(WordPressを補完)するものだったりもしますが、

導入(インスト―ル・有効化)には充分な注意が必要です。

出来理限り、導入するプラグインを少なくして

また、

 筆者の様にテスト環境を持っていたとしても、

使わなくなったプラグインは、サイトで無効化するだけじゃなく

「削除」まですることが肝要です。

(使わなくなって放置されたプラグインの脆弱性を突かれないとも限りません)

使わなくなって放置されたプラグインの脆弱性を突かれないとも限りません

以下の記事も参照ください。(定期的にメンテナンスしています。)
ブログカードのクリックで、記事にジャンプします。

ご参考(是非)

SEO関連プラグインの脆弱性履歴

YoastSEOのXSS脅威は過去のものか?

WordPressプラグインYoastSEOは、ユーザーが入力した入力を適切にサニタイズできないため、クロスサイトスクリプティングの脆弱性が発生しやすくなります。攻撃者はこの問題を利用して、影響を受けるサイトのコンテキストで、疑いを持たないユーザーのブラウザで任意のスクリプトコードを実行する可能性があります。これにより、攻撃者Cookieベースの認証資格情報を盗み、他の攻撃を開始する可能性があります。WordPressプラグインYoastSEOバージョン5.7.1は脆弱です。以前のバージョンも影響を受ける可能性があります。

https://translate.google.com/translate?hl=ja&sl=en&u=https://www.acunetix.com/vulnerabilities/web/wordpress-plugin-yoast-seo-cross-site-scripting-5-7-1/&prev=search&pto=aue

YoastSEOの最新バージョンは、 16.0.2(2021/03/21)ですが、
今なお古いバージョンのままのサイトがあります。(15.8)

YoastSEO 16.0.2

Yoast SEO 11.6-RC5 未満に脆弱性

WordPress 用 Yoast SEO プラグインには、入力確認に関する脆弱性が存在します。

想定される影響

情報を取得される情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
JVNDB-2019-006209 JVN脆弱性対策情報データベース
JVNDB-2019-006209 - JVN iPedia - 脆弱性対策情報データベース
脆弱性対策情報データベース

All in One SEO PackにXSS脆弱性

JVNDB-2019-010984
WordPress 用 all-in-one-seo-pack プラグインにおけるクロスサイトスクリプティングの脆弱性

  • All In One SEO PackにXSS脆弱性、3.6.2以降に急ぎ更新を【2020年7月】
  • All in One SEO Pack 3.2.7 未満 2019/10/26時点
    https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-010984.html
  • 脆弱性はAll in One SEO Packの2.3.6.1までのバージョンでも確認された。2016/08
  • All In One SEO PackにXSS脆弱性、2014/08/13

この様に、一度脆弱性が修正されても、新たな脆弱性を突かれる為、
プラグインは、サイト制作時に入れた切りにしないで、
常に、最新バージョンを意識して保守していくことが大事なことになります。


最新バージョンは4.0.17(2021/03/14)

XSS攻撃を受けると、悪意あるスクリプトを仕込まれてサイト訪問者の個人情報を盗まれたり、フィッシングサイトに誘導されたり、新しい管理ユーザーを追加してサイトを乗っ取ったりされる危険性があります。

SEO対策プラグインの導入は必須ではありません

SEO内部対策機能が含まれているWordPressテーマでは不要です。

逆に重複すると、機能が競合して不具合・悪影響を及ぼします。(コンフリクト:競合相反衝突

all in one SEOやYoast SEO プラグインが不要(非推奨)のテーマ

  • Cocoon(機能重複)無償でありながら優れたテーマ(SEO以外も多機能:筆者使用・お薦め)
  • The Thor(相性の悪いプラグインとして)有償テーマ
  • THE SONIC(必要のないプラグインとして)有償テーマ
  • JIN(非推奨プラグインとして)有償テーマ
  • SANGO(あまりおすすめしていません)有償テーマ
  • 賢威(併用を、おすすめしていません)有償テーマ
  • AFFINGER5「WING」(機能重複)有償テーマ(STINGERの上位版)
  • STINGER(機能重複)無償テーマ
  • DIVER(機能重複)有償テーマ

all in one SEOはゴミが残る

all in one SEO
all in one SEO

all in one SEO は、プラグインを削除しても、データベース上にゴミが残る

コメント