しばらく放置していたサイトを久々にチェックしたところ、何だか挙動がおかしい。

というのも、トップページにアクセスすると自動的にURLが転送され、スパムサイトへ強制送還されてしまう。

もともとアクセスにはまったく期待していない廃墟のようなサイトだったため、私自身にはダメージはほとんど無いのだけれど、これはよろしくない。何かしら奇跡的な道のりでたどり着いた誰かに迷惑がかかるし、テコ入れしようかなと思った時に上手いこといかなくなる。

何より、意図しないこの状況が怖い。

…と、いうわけで原因を探して、なんとか特定したので書き残しておきます。

原因はWordPressプラグイン『yuzo-related-post』

まずはサイト書き換えやWordPressへの不正ログインを疑って、ファイルやログイン情報を確認してみたがそれらしい形跡は見当たらず。

「もっとプロフェッショナルな方法なのか…？でもサーバーに不正アクセスしてるならレンタルサーバーがいち早く対策を講じているはずだし…そもそもこんな小規模サイトに手間をかけるはずが無いだろうし…」と悩んでいたところに、ひらめく。

以前、「プラグインの脆弱性を突かれて…」という話を見かけた記憶がふとよみがえったのです。

もしやと思い、一つずつプラグインを停止して確かめてみたところ発見！『yuzo-related-post』という関連記事を表示するプラグインが原因となっていました。

ここ最近は関連記事を表示させるときにはプラグインを使わずにコードで対処するか、Googleの関連記事表示ツールを利用していたために、このプラグインがこんなことになっているとはまったく気が付きませんでした。

古いサイトでは使っていたのだった…。もっとこまめに見に来ようと反省、反省…。

WordPressプラグイン『yuzo-related-post』について

『yuzo-related-post』は本来、個別の記事に関する関連記事をプラグインを有効化するだけで表示ができる、初心者～中級者にも優しいプラグインでした。

しかし、プラグイン自体のセキュリティ対策が甘く、今回このように脆弱性を突かれてしまったのです。

『yuzo-related-post』は現在、公式からはダウンロードできなくなっています

This plugin was closed on March 30, 2019 and is no longer available for download. Reason: Security Issue.

Related Posts – WordPress plugin | WordPress.org

WordPress公式のプラグインページ説明欄にも、2019年3月30日にセキュリティ脆弱性の問題で停止しました、と記載されています。

制作者はセキュリティの対策を講じるようですが、いつ頃になるかも不明なため、しばらく利用を控えてプラグインの使用自体を廃止するか、別の関連記事表示プラグインへ乗り換えておいた方が得策です。

『yuzo-related-post』だけが危険なわけではない

注意しておきたいのは『yuzo-related-post』“だけ”にセキュリティの脆弱性があるわけではないということ。

現在はアップデートを重ねて、しっかりと対策が行われていますが、WordPress自体にも“まだ誰も気づいていない”脆弱性がある可能性があります。

また、有志が提供しているプラグインやテーマについても同様です。特に、個人や駆け出しのエンジニアが制作している可能性があるプラグインやテーマについてはじっくりと選ぶクセをつけておいた方が賢明のようです。

…といっても、ウェブ初心者や普段は専門外の分野を担当している人からしたら、セキュリティ対策が成されているかを見極めるのはかなり難しいであろうことが予想されます。私自身も、しっかりと選べているか？と問われたら絶対とは言い切れません。

どちらかと言うと『セキュリティ対策が万全のプラグイン(テーマ)』を見極めるよりも、『セキュリティ対策が甘いプラグイン(テーマ)』を見分ける方がハードルが低いのかもしれません。

脆弱性を含む可能性のあるプラグインやテーマの特徴

yuzo related posts から学ぶ脆弱性を含むプラグインやテーマの特徴と言う素敵な記事を見つけたので、一部引用して特徴だけ挙げます。

• コードが汚い
• 通常あるべき処理の不足
• 必要な処理の不足
• 不適切な情報送信

詳細な解説は元記事の方を是非読んでみてください。例も挙げてあるのでとても分かりやすいです。

要は、コードを書く上で基本的なことが押さえられていないものは、詰めが甘い可能性が高いぞ！といった所でしょうか。

初心者の方だと元記事を読んでも意味がさっぱり分からない…、という方もいるかと思いますが、そのあたりはじっくりとネットで調べていくか、知識のある人にアドバイスをもらうのが適切です。

おわりに

WordPressを触り始めた頃にお世話になったプラグインなのでこんなことになっていて残念です。

古いプラグイン紹介記事ではまだ掲載されている可能性がありますが、幸か不幸か現在はダウンロードができない状態なので被害が拡大する心配はなさそうです。願わくば使っている人たちが早く気が付きますように…！