トップページ > WordPressセキュリティ対策 > セキュリティ対策 exec-PHPプラグインを使わない

セキュリティ対策 exec-PHPプラグインを使わない

2013/07/29 7:15:21

テーマ: Wordpressセキュリティ対策

WordPress を利用する際、記事本文内(the_content)でテンプレートタグが使えたら便利になりますね。
テーマフォルダに格納している画像を呼び出すのによく利用されていたり、記事本文内にPHPが書けるようになるので、カスタムフィールドを呼び出すときや、特定カテゴリの一覧を表示させたりなど、機能が充実する便利なプラグインです。

このように、「exec-PHP」プラグインは、投稿や固定ページの本文に書いたPHPコードを実行できるようにするわけですが、エディタ内でphpを実行できるようにしてしまう=セキュリティホールを自ら大きく広げているということに繋がります。eval() 系のプラグインは初心者こそ使うべきではなく、全ユーザーが完璧なPHPコードを書ける・扱えるという状況の場合のみ使いましょう。

WordPressはデータベースを利用しています。

データベースには管理者情報、顧客情報、非公開データ等、様々な情報が格納されています。
Exec-PHPとは、エディタ内でもPHPを使えるようにしてしまいます。

  • (管理者パスワード漏洩/ブルートフォースアタック等で)不正ログインされた後、投稿本文にコードを書き込まれる
  • SQLインジェクション/CSRF脆弱性があると、悪意あるコードを投稿本文に埋め込まれる

等により、攻撃者が埋め込んだコードを実行してしまう、という危険が考えられます。
小さな抜け穴がどこかにあった場合に、「任意の PHP コードができる」ことが重大な影響を及ぼします。

本文中で動的な要素を埋め込みたい場合は、「ショートコード」を利用しましょう。

 

 

この記事を気に入っていただけましたら下記ソーシャルボタンのクリックや、RSSやFacebookでの購読、Twitterのフォロー等よろしくお願いします!

アメブロからWordPressに移行・引越し

Wordpress移行本