WordPressを使っている立場としてexec-PHPについて言ってみる

なんか急に熱を帯びてる「exec-PHP」問題です。
いくつかの記事を見たところ、きっかけとなる記事があって、その内容があまりに挑発的というか扇動気味だったため炎上中、という感じでしょうか。
ただ、中にはちょっと目に余る発言も見られるので、ちょっとだけサーバエンジニアの立場も踏まえて書いてみたいと思います。
個人的見解ではありますが、そうそうおかしなことを書くつもりも煽るつもりもありません、念のため。

WordPressって便利だよね

By: Heisenberg Media
WordPressを使い始めてもう随分経ちますが、どんどん便利になってきてますよね。
どんどん使う人も増えてきて、WordPress使ったサイトもどんどん増えています。これはとてもいいことですし、もっと使う人が増えて欲しいと思っています(但し、きちんとした形で)。
プラグインで機能拡張が簡単にできて、デザインへの反映もそれほど難しくないですし、初心者でもhtml/cssが分かっていればある程度のところまでは使えるようになります。
PHPなんて難しいモノを覚えなくても、意外とどうにかなるかもしれません、「exec-PHP」を使えばね。
という感じで「exec-PHP」の需要ってあるんだろうな、と思います。紹介しているブログも多いですし、使い方を親切に書いている記事もいくつもあります。

WordPressってどんなアプリケーションだっけ?

ここで一度、WordPressがどんなアプリケーションが考え直してみましょう。
そう、これは「オープンソース」です。無料で提供されていて、誰でも「ソースコード」を閲覧することが出来ます。
「ソースコードが閲覧出来る」ということは、WordPressというアプリケーションの仕組みを誰でも理解することが出来ます、PHPを知っていればね。
同様にプラグインもPHPで書かれています。ソースは基本的に公開されています。ということは、ソースコードを読むことで仕組みを誰でも理解することが出来ます。
つまり、もしもWordPressにセキュリティ上まずい箇所があった場合、プラグインにまずい箇所があった場合、ソースコードを読み解くことが出来れば誰でもそれを知ることが出来ます。
また、無料で入手できますので、自分でいろいろと実験をすることが出来ます。
それは善意の実験だけではありません、悪意ある実験、つまりセキュリティ的にまずい箇所を探すような実験も可能です。

WordPressの需要が増え、サイトが増えたことによる弊害

嬉しいことにWordPressを使ったサイトはどんどん増え続けています。しかし、それによる弊害も出始めました。
WordPressを狙ったアタックがどんどん増えています。
最近、騒がれたのは管理画面からの”admin”アカウントを使ったアタックですが、その前からプラグインを介したアタックは始まっていました。
“exec-PHP”って何でしたっけ?そうですよね、プラグインです。
“exec-PHP”に対するアタック、あったかもしれませんね。

別に攻撃されても大したことないでしょ?ってことは一切ない

実は今回の件で見たサイトの中に「自己責任で使ってるから別に関係ないじゃない」と書いてるサイトがいくつか見られました。
確かに「インターネットじゃなければ」関係ありません。
なぜWordPressを使ったサイトへのアタックがそんなに増えてるのでしょうか?
愉快犯でしょうか?
それともサイトに恨みのある人がアタックしてるのでしょうか?
どちらも違います。
彼らの目的の多くは、スパムメールの中継先を作ることであったり、他のもっと大きなサイトへ侵入することなど、何らかの「別の目的」がある場合がほとんどです。
「自己責任」と思ってるあなたの作ったWordPressサイトを介して、たくさんの人にスパムメールを送信される、もしくは他のサーバへ侵入するための踏み台にされるわけです。
つまり、犯罪の手助けをすることになるかもしれません。
それだけならまだいいですが、例えば、クライアントに納品したサイトでこのようなことが起きたらどうなりますか?
「初心者だからexec-PHP使ってる」あなたに対応ができますか?
これらまで含めて「自己責任」と言ってるのであれば、何を言ってもムダでしょう。

状況は日々変化しています

WordPressを取り巻く状況は1〜2年前とは大きく変わりました。
・使う人が爆発的に増えて、一般化したこと。
・それに伴い、セキュリティに明るくない人、インターネットに明るくない人がたくさん使用し始めたこと。
つまり、攻撃者(クラッカー)にとっては絶好の「ターゲット」が今のWordPressです。

使いたいならもっと勉強して欲しい

“Exec-PHPを使うな”とは言いません、多分便利なのでしょう。
「多分」と書いたところで気付いた人もいるでしょう、私は公開サイトで使ったことがありません。
もちろんインストールして動作を確認したことはありますが、「危険」と判断して使っていません。
簡単にユーザのパスワードが抜けるようなプラグインは危険以外の何ものでもありません(今は改善されてるのでしょうか・・・でも、最後に試した時期からアップデートされてないようなので、多分そのままなのでしょうね)。
もしも使いたいのであれば、どういう使い方をすれば危険なのか、危険じゃない使い方はどうすればいいのか、をしっかりと勉強して下さい。
初心者だからこそ、きちんと「セキュリティとはなんぞや」というところを勉強して「人に迷惑をかけることがない」ようにして下さい。もしくは何か問題が起きても対処できるように「日々勉強」して下さい。
「初心者だから分からない」と言うのであれば、使わないに越したことはないです。
インターネット上で何かやろうとしている、既にやっているのであれば「初心者」という言葉は通用しません。
世界中の攻撃者(クラッカー)はそんなこと関係なく攻撃してきます。むしろ初心者だと喜んで攻撃してくるかもしれません。
そういう人たちに対応するには自分自身のスキルを上げるしかありません。
スキルを上げる時間がない、それが難しいのであれば、「危険なプラグイン」は極力排除するようにしましょう。
誰もが「安心して」WordPressを、インターネットを使えるように、もっといろいろなTipsを提供出来ればと考えています。
この本は洋書ですが、WordPressを使う上でのかなり広範囲なセキュリティについて書かれています。
Kindleではかなり安くなっています(私が買ったときは379円でした)。お勧めです。
[tmkm-amazon]B007TTSU0W[/tmkm-amazon]

Share this post

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on pinterest