DW Question Answer の脆弱性について WordPress プラグイン
2016年12月11日
Categories | ブログ(WordPress) DW Question Answer
前回はDW Question & Answer 1.4.5 のバグについて対処法を説明し、
旧バージョン(バージョン1.4.3.4)をお勧めしましたが、
今度はその旧バーションにも脆弱性が見つかりました。
DWQA設定 パーミッションの、質問・回答・コメントが、
匿名投稿可になっている場合、
ある日突然、ロボットによるスパム投稿(攻撃)を受けてしまいます。
一度ロボットにロックオンされてしまうと、止め処なくスパム投稿されてしまいます。
では、この匿名投稿を不可(チェックを外す)にすれば防げそうに思えますが、
先ほど話したように「止めどなくスパム投稿されてしまう」理由は、
パーミッションでの制御が出来なくなると言う事です。
つまり、チェックを外して変更を保存(Save Changes)しても、
チェックを外せなくなります。これは悪質なスパムロボットの仕業です。
※早い段階でスパムに気付けばパーミッション制御は可能かも。
パーミッションの制御を回復するには・・・
DWQA設定 > 一般設定 > 質問が表示される前 にチェックを入れ変更を保存する。
スパム投稿(質問)を幾つか認証待ちにさせるとパーミッションの制御が可能になります。
その後の処置として、スパム投稿を全て削除する。
スパムなタグを全て削除。
スパム回答・コメント(Answers)を全て削除。
以上でスパム投稿(質問&回答)は回避できますが、匿名投稿は出来なくなります。
ん・・・
登録なしで、誰でも簡単に匿名投稿できるようにしたい!!思いもあり、
現在模索してますが、
試しにプラグイン「Google Captcha (reCAPTCHA) by BestWebSoft」を
インストールしてみました。
これはGoogleが提供するシステムで、ロボットによるスパム投稿を排除させます。
設定を終え、投稿フォームにショートコードを記述する。
結果、残念ながら当ブログ(Wordpress)ではうまく起動しませんでした。
ショートコードが利用できない。認識しない。
後に、直接PHPをいじれば実装できることが判明。
その設定方法は追伸↓をご覧ください。
追伸