※2012.09.27に追記しました。話題になった機会に、内容を深めてまとめてアウトプットしてしまおう。常識知らないっていろいろな意味で怖い・・・

最近話題になっていた記事に感化されたので、テストしてみました。WPには立ち上げたばかりなのでまあ問題ないかなと思ったけれど、PHP4の環境でしかWPを動かせないとかあったら、ちょっとどころじゃなくヤバイよね・・・と心の片隅で若干gkbrしています。まれによくある話。

参考:無料のWordPressテーマをググって使うのは超ハイリスクなので気をつけよう! | firegoby

元ネタ:Free WordPress Themes: Why You Should Never Search For Them on Google

firegobyさんであえて検証方法を元ネタサイトのWPMUに任せているのは、「エラーを見るために安易にフリーのテーマで試さない方がいい」ということであって「自分のテーマを確認する」ことについては問題ないと判断して、検証用プラグインをインストールしてみました。

1. Theme Authenticity Checker (TAC)

プラグイン公式ページ:WordPress › Theme Authenticity Checker (TAC) « WordPress Plugins

参考:WordPressのテーマファイルを簡単にチェックできるプラグイン -TAC | コリス
参考:WordPressのテーマの不正コードを一発検出プラグイン「Theme Authenticity Checker (TAC)」|アマモ場

WPMUの検証記事でよく使われていた、テーマに不正なソースが仕組まれていないかをチェックするプラグイン。ちなみにWPMUの中の人、相当疲れたご様子。(読んでて途中で噴き出した。こういうテンション好き)
体を張った記事に感謝です。

今使っているテーマは公式から拾ったものをカスタマイズして使っているのですが、このプラグインでの検証結果はテーマ作成元へのリンクがあるだけであとは問題なしと表示されました。
WPMUの記事を読むとわかりますが、リンクがあるだけといってもそのリンクがスパムっぽいものの場合もあるようです。気をつけたいところですね。

ちなみに使い方はインストール後に[外観]→[TAC]で確認するだけの手軽さ。英語だけですが直感的にわかります。詳細も確認できます。(わかりやすい=安全ではありません。2012.09.27追記)

120927追記:
コメントいただきましたので、追記です。解説記事に感謝!

ヤバイWordPressテーマを見分けるための方法 | firegoby

tifに見せかけたphp・・・TACが安心できないというのはこういうことですね。rssって拡張子で実はPHPですってことをやったことがあるので、あー、なるほどーと思いました。
そしてテーマを自作してる人は Theme-Check を一度は確認しておきたいですね。

2. Exploit Scanner

プラグイン公式ページ:WordPress › Exploit Scanner « WordPress Plugins

参考:プラグイン:WordPress Exploit Scanner – WordPress Codex 日本語版(ちと古い)
参考:WordPress › フォーラム » WordPress 日本語版用 Exploit Scanner ハッシュファイル

「ワードプレス脆弱性スキャナー」。WordPressのコアファイルが改ざんされていないか調べたり、怪しいソースを発見してくれるプラグイン。インストール後、[ツール]→[Exploit Scanner]で Run the Scan で実行。
…うん?うん…項目多すぎる……。何か事故があった際に復旧した上で走らせて、「Modified」辺りで調べてみるとかでいいと思う。

3. Theme-Check

プラグイン公式ページ:WordPress › Theme-Check « WordPress Plugins

参考:プラグイン:Theme-Check – WordPress Codex 日本語版

テーマのエラーやコードの対応状況がわかるプラグイン。落としてきたテーマのチェックだけでなく、自作テーマのチェックもできます。当然といえば当然なんですが、「作る側」にとっても必須のプラグインですな。
うちはまだ自作プラグインは出していないものの、今後はチェッカーとして利用したいです。

4. Plugin-Check

プラグイン公式ページ:WordPress › Plugin-Check « WordPress Plugins

参考:マトモなWordPressプラグインを見分けるための簡単そうで簡単でないTips | firegoby

もうひとつ、こっちはプラグインのチェッカー。先にデバッグモードで確認しておいたほうがいいかもしれない。
NOTICEはともかく、WARNINGは対応したほうがいいでしょう。あまりに多いようならそのプラグインは使わないほうが吉。
すべてのプラグインに対してチェックするので、一度メモリが足りなくなってエラーになりました。あふぅ。
指摘箇所が多いので、こっちもテーマチェッカーと同様、調べたいプラグインを指定できればいいんですがね〜。

今回の記事に関して検索して調べたのですが、firegobyさんの記事がほとんど上位を占めていたので、諸々参考になりました。ありがとうございました。

5. TimThumb Vulnerability Scanner(2012.09.27追記)

プラグイン公式ページ:WordPress › Timthumb Vulnerability Scanner « WordPress Plugins

参考:【WordPress.orgにも脆弱性のあるものは存在する】WordPressのテーマやプラグインで脆弱性のある「timthumb.php」を検出する方法 | 今村だけがよくわかるブログ
参考:WordPressのテーマやプラグインでtimthumb.phpをお使いの方は脆弱性が見つかったのでご注意! | め組の小ネタ

timthumb.php は画像リサイズのライブラリのようですね。(うわぉ、初めて聞いた…PHPのリサイズ処理とかじゃダメなんか。使いやすくしたものなんか)
その脆弱性を突かれる可能性があるので、timthumb.php の検出に特化したプラグインです。

考えてみれば、公式にアップされているものでも、前の審査は通ったけれど、作成者が更新していなければ、新たに見つかった脆弱性に対応していないものもあるわけですよね。

テーマが多いのはWPのいいところでもあるし、気に入ったものを使うのは、それはそれでいいと思うけど、リスクを背負った上での自己責任で使いましょう、ってことかな。
Twenty Twelveも発表されるし、やっぱり公式→子テーマで弄るのが一番いいかなー。


2件のコメント

  1. こんにちは。
    リンクありがとうございます。

    ところで、気になったので解説記事を書いたのですが、ここで紹介されているプラグインで検証しても、リスクがあるコードやスパムリンクを完全には検出することはできません。

    特にTACプラグインはほとんど役立たずなので追記していただけるとありがたいです。^^

    http://firegoby.jp/archives/3530

    Reply

    • コメントありがとうございました!追記しました。
      検証記事、面白い(というのも変な話ですが)ですね。悪意のある人はとことんやりますなあ。
      作りこまれたテーマファイルのコード確認なんて、藁束の中から針を探すより大変でしょうし。
      仰るとおりの内容に尽きるかと思います。
      これだけ普及しているからこそ、選択は気をつけたいですね。

      Reply

  2. Pingback: wordpressで同人サイト作ってみた

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA