WordPressってプラグインがあるからちょっとしたカスタマイズが楽でよいですよね。
でもそのプラグイン、闇のプラグインだったらあなたは死ぬ。
みたいな話をします。
WordPressプラグインってDB接続までできてしまう
WordPressのプラグインって、データベースの接続までの権限があります。
えっとWordPressってCMSのファイル部分(wp-admin、wp-contentなど)と、更新を司るデータベース部分からなっています。
CMS部分は大体みんな一緒なので本体はデータベース部分です。
で、このデータベースに接続してテーブルを全部消してやるぜーとかそういうことが、プラグインって実はできてしまいます。
以下はAIより⇩
データベースに登録するタイプのプラグインを作ってて、「あれ、パスワードとか入力してないのになんでつながるんだろう・・」と思って聞いた答えが上の通り。
wp-configというのはパスワードとかの接続情報がベタ書きされてる最重要フォルダの1つで、そこにプラグインからアクセスできてしまいます。
闇のプラグインだったらあなたのサイトは終わり
なので、悪意あるプラグインを有効化していまったら、wp-configの情報を外部に送信されてしまったり、(これはできるのかわからないですが)haccessを書き換えられて謎サイトにリダイレクトされたりとかをされる可能性があります。
また、あるいはプラグイン開発者のサイトが乗っ取られたりした場合、アップデートですといってアプデしたら送信を仕込まれていた・・とかもあり得るかもしれません。
(最近だとSWELLの公式サイトが乗っ取られてましたよね)
つまり何が言いたいかと言うとプラグインめっちゃ危ないよ!って話で、自衛の方法は(プログラムが読めない場合)ほぼないですが、WordPressの公式ディレクトリに登録されてるかどうかなどは1つの基準になるかもです。
謎の野良プラグインみたいなやつを闇の先生的な人が紹介してたからーって無邪気に入れると、マッチポンプ身代金ビジネスの餌食になってしまうかもしれません。
みたいなことを今更知りました。終わり。
コメント