脆弱性

DW Question & Answer のバグ・脆弱性について WordPressプラグイン

2019年11月15日

Categories | ブログ(WordPress) DW Question Answer

DW Question & Answer のバグ・脆弱性について

WordPressプラグイン

バージョン1.4

 

3年程前に、バイク系Q&Aサイトを自サイトに作成しました。

ベースのワードプレス(WordPress)上に、

無料のプラグイン「DW Question & Answer」をインストールして構築。

 

1114 01 400x260 DW Question & Answer のバグ・脆弱性について WordPressプラグイン

KAWASAKI Motorcycle Q & A

 

現状 WordPressスペック

  • WordPress5.3
  • テーマ 自作
  • php7.3

現在リリースされているバージョン

  • DW Question & Answer バージョン1.5.7

 

現在、古いバージョン(バージョン1.4.3.4)で稼働していますが、

システムに色々と問題(バグ・脆弱)らしきが発生してまして、

その中でも割と安定している1.4.3.4を利用しています。

また、アップデート(バージョンアップ)してしまうとで、

折角自作したstyle.cssに変更が加わってしまこともあり、

新バージョンへ移行することをためらっています。

でも、今後バージョンアップすることを考え、転ばぬ先の杖ってことで、

備忘録しておきます。

 

 

DW Question & Answer バージョン1.4

バグ・脆弱性とその対策の備忘録。

 

投稿(質問・回答・コメント)の際、テキストエディターが使えない。

1114 03 400x267 DW Question & Answer のバグ・脆弱性について WordPressプラグイン

ビジュアルエディタしか使えない仕様なのか?

他のプラグインとの相性も考えられそうだったので、起動中のプラグインを

停止・削除して検証したが改善されない。

対策しようがない。

見て見ぬふり。

 

 

回答にベストアンサーを選んでも、その質問は閉じられない。

手動で「受付終了」をするシステム?

それだと余り意味をなさないような・・・

デフォルトのベストアンサーボタンはショボイ。

しかし、カスタマイズは難しい。

参考ページをご覧ください。

DW Question Answerをカスタマイズ ベストアンサー偏

 

 

 

バージョン1.4.5は文字化けを連発する

DW Question & Answer バージョン1.4.5 の不具合と対処法

 

 

 

ロボットによるスパム投稿(攻撃)を受けやすい

ひとたび攻撃を受けると、パーミッションでの制御が出来なくなり、

「止めどなくスパム投稿されてしまう」。

DW Question Answer の脆弱性について WordPress プラグイン

 

対策として、

Googleが提供するシステム「reCAPTCHA」を導入することをお勧めする。

実装法を参照。

DW Question & Answer / Google 「reCAPTCHA」 / 実装方法 / ブログ(WordPress)

 

 

今のところこんな感じですが、

「なんだこれ?」みたいな、妙な現象を発見したら追記していきたいと思います。

Comment(0) | Trackback(0)

TAGS: / / / / / | 2019年11月15日 |

DW Question Answer の脆弱性について WordPress プラグイン

2016年12月11日

Categories | ブログ(WordPress) DW Question Answer

前回はDW Question & Answer 1.4.5 のバグについて対処法を説明し、

旧バージョン(バージョン1.4.3.4)をお勧めしましたが、

今度はその旧バーションにも脆弱性が見つかりました。

DWQA設定 パーミッションの、質問・回答・コメントが、

匿名投稿可になっている場合、

ある日突然、ロボットによるスパム投稿(攻撃)を受けてしまいます。

一度ロボットにロックオンされてしまうと、止め処なくスパム投稿されてしまいます。

 

1211 01 400x278 DW Question Answer の脆弱性について Wordpress プラグイン

 

では、この匿名投稿を不可(チェックを外す)にすれば防げそうに思えますが、

先ほど話したように「止めどなくスパム投稿されてしまう」理由は、

パーミッションでの制御が出来なくなると言う事です。

つまり、チェックを外して変更を保存(Save Changes)しても、

チェックを外せなくなります。これは悪質なスパムロボットの仕業です。

※早い段階でスパムに気付けばパーミッション制御は可能かも。

 

パーミッションの制御を回復するには・・・

DWQA設定 > 一般設定 > 質問が表示される前 にチェックを入れ変更を保存する。

 

1211 02 400x238 DW Question Answer の脆弱性について Wordpress プラグイン

 

スパム投稿(質問)を幾つか認証待ちにさせるとパーミッションの制御が可能になります。

その後の処置として、スパム投稿を全て削除する。

スパムなタグを全て削除。

 

1211 03 400x282 DW Question Answer の脆弱性について Wordpress プラグイン

 

スパム回答・コメント(Answers)を全て削除。

 

1211 04 400x255 DW Question Answer の脆弱性について Wordpress プラグイン

 

以上でスパム投稿(質問&回答)は回避できますが、匿名投稿は出来なくなります。

 

ん・・・

登録なしで、誰でも簡単に匿名投稿できるようにしたい!!思いもあり、

現在模索してますが、

試しにプラグイン「Google Captcha (reCAPTCHA) by BestWebSoft」を

インストールしてみました。

これはGoogleが提供するシステムで、ロボットによるスパム投稿を排除させます。

設定を終え、投稿フォームにショートコードを記述する。

 

1211 05 400x286 DW Question Answer の脆弱性について Wordpress プラグイン

 

結果、残念ながら当ブログ(Wordpress)ではうまく起動しませんでした。

ショートコードが利用できない。認識しない。

後に、直接PHPをいじれば実装できることが判明。

その設定方法は追伸↓をご覧ください。

 

追伸

ロボットによるスパム投稿の撃退方法は「Google reCAPTCHA」を実装・・・

Comment(0) | Trackback(0)

TAGS: / / / / / / | 2016年12月11日 |