コンテンツへスキップ

【WordPress】脆弱性があるプラグイン使用の一時停止 ”Yuzo Related Posts”

公開日 comment on 【WordPress】脆弱性があるプラグイン使用の一時停止 ”Yuzo Related Posts”

今日、Wordpressのプラグインの脆弱性をチェックしていたら、ギエェェー

自分が使っているプラグインがビンゴしてしまった...と言うか、4月に警告が出ていて、今まで気付かなかった自分もバカとしか言いようが無いんだけど。

因みのWordressのプラグインの脆弱性は、こちらのサイトで調べる事が出来る。

それで、この結果により削除したプラグインは、「Yuzo Related Posts」

現在、WPの公式プラグインページでは、この脆弱性の問題で、このプラグインの配布は停止されている。

本家とこのサイトを立ち上げた時からお世話になって来たプラグインで、かなり気に入っていたプラグインだから残念なんだけど、作者は訂正版を出すと言っているから、それを待ちたいと思う。

(プラグイン作者には、いつも感謝しております)

このプラグインは、現在読者が読んでくれている関連記事を表示するものだったけど、本家とこのサイトでは全く違うデザインで表示出来たし、簡単な設定で色々なデザインが組めるスグレモノに思えていた。

それでこのプラグインにあった脆弱性は、クロスサイトスクリプティングで、またこれか...と言う感じ(怒) サイトのデータとかを勝手に改竄されたりする事がある。

検索で調べたところ、既にこのプラグインからのクロスサイトスクリプティングの被害は出ていて、勝手に違うサイトに飛ばされた...とかあったらしい。自分のサイトは多分大丈夫だった...と思いたいけど、本当に今の世の中ではネットの世界でも「安全」なんて言葉は殆ど存在しない事を痛感させられる。

脆弱性とか聞くと、プラグインの作者とかに問題があるように思えるかもしれないけど、実際は、こういうものを悪用して人のサイトに悪さしようとする人が居るから問題になる。

例えば、鍵が壊れている知らない家があって、普通ならその知らない家の鍵が壊れているかどうかも気付かないだろうし、万が一、その家に自由に入れる事に気付いても、その家に無断に入って何か悪さをしてやろう...なんて殆どの人が考えない筈。こういう人ばっかりだったら、脆弱性とてさほど問題にはならない。しかし、悪用してやろう...と言う人が必ず現れるから問題になる。
 

このプラグインの使用を一時的に止める

それで、既に幾つかのサイトがこの「Yuzo Related Posts」の修正方法を書いてくれているけども、プラグイン作者もWPの公式プラグインのフォーラムでその修正方法を紹介している。

wordpress.org
Remove this plugin immediately | WordPress.org
https://wordpress.org/support/topic/remove-this-plugin-immediately/

これを訳せば、

  1. プラグインを直ちにアンイストール(削除)する
  2. サーバーのデータベース内の wp_options の項目から、yuzo_related_post_options を削除する
  3. Visitsにあるwp_yuzoviews は削除しないで下さい。これは問題に影響しない。
  4. すぐにすべてのユーザーに改良版を提供する予定です

 
と言う事で、プラグインを削除するだけではなく、サーバーのデータベースまで弄くらなくてはいけないのが厄介だけども、自分は滅多にデータベースは触らないから、「えー、どこー?」とか言う状態になってしまったw

WordPressのデータベースは MySQLだから、まずそこに入る。

自分のサーバー(さくら)の場合、左サイドバーの「データベースの設定」と言う箇所を選んで、管理ツールログインを選ぶ。要パスワード&ユーザー名

ここまでは自分もわかっていたけど、ここから「どこー?」が始まったwww

この写真を参考にしてほしいけど、サーバーによっては表示が違うかもしれないけど、wp_options と言うのは、実はデータに振られた英数字が挟まっていて、自分のところは「wp○○○○○○option」みたいになっていた。

それを選んでアルファベット順にでも並べると、作者が消してくれと言っている yuzo_related_post_options が見つかる筈。それを削除。

これで完了。
 

このプラグインの使用停止している間、どうする?

しかし、まだこのプラグインの新しい修正バージョンは来てないみたいだし、更なる問題は、このプラグインの使用を中止している間、どうするのか?って事。

このサイトは、ある意味でテキトーなデザインで自分が好き勝手に書きなぐっているようなところだから、本当のところ「関連記事」を表示するのはどうでも良いんだけど、デザイン重視の本家がね...。

新しいプラグインを入れるのも何となく気が進まないから、ここは公式Jetpackにある「関連記事表示」で暫く代用しておこうと思う。

本家は、実はHueman の有料版のデザインを使っているから、実はそのデザインにも「関連記事」表示は付いている。しかし、イマいちデザインに融通が効かなくて使わないでいたけど、それで代用しておくかもしれない。

暫く見苦しい事にもなる可能性もあるけど、読者の皆さんには了解願いたいと思います。

公開日 カテゴリー Wordpress, WP Pluginタグ

About Makoto

TESシリーズ(Skyrim、ESO等)のファンサイトを運営。しかし、本性は音楽geek(soul,Funk& Jazz他)、中学2年の頃からプログレ・バンドで鍵盤系をやってました。Wordpressは2007年からの古参。 Home:  Rolling Sweet Roll

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)