about

sogo  
fukidasi

  social

Count per Day

  • 4778現在の記事:
  • 435今日の閲覧数:
  • 4現在オンライン中の人数:

WordPressテーマに仕込まれているマルウェアを見つけ出してくれるプラグイン TAC

WordPressでサイトを作っているほとんどの方が無料、有料問わず、配布されているテーマを利用していると思いますが、その配布されているテーマの7割以上が正規の手続きがなされていないものだという事をご存知でしょうか?



つまり、WordPress.orgの認可を取得していないサードパーティというか社外品のテーマという事です。


では、何故そのような社外のテーマが続々と登場してくるかというと、単にニーズが多いからです。

ニーズが多い理由として挙げられるのが、斬新なテーマからミニマルなテーマまで幅広く選び放題というのが一番かと思いますが、どうしてもデフォルトのテーマとかですと、何かカスタマイズを施さないと物足りないものが多い中、社外ですと何も弄らなくてもそのままでカッコいいデザインのテーマも多いですから・・・カスタマイズに自信の無い人にとって社外のテーマは願ったりかなったりでしょうしね。


しかし、残念なことにサードパーティで配布しているテーマに限り(審査されてないから当然ですが)、悪意のあるコード等のマルウェアが巧妙に仕込まれてしまっている事も尋常じゃないほどの割合であるという現実でもあるのです。




マルウェア (Malware) とは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称である。マルウェアには、様々な脅威が含まれる。マルウェアの例としては、ウイルス、バックドア、キーロガー、トロイの木馬、WordやExcelのマクロウイルス、ブートセクタウイルス、スクリプトウイルス (BAT、Windowsシェル、JavaScriptなど)、クライムウェア、スケアウェア、スパイウェア、悪質なアドウェア、ミスリーディングアプリケーションなどがある。日本では、「悪意のある不正ソフトウェア」または「不正プログラム」とも呼ばれる

以上、Wikipediaより引用。





TAC (Theme Authenticity Checker)の導入


そこで、この悪意のあるマルウェアをテーマ適用する前に瞬時で見つけ出してくれるプラグインがいくつかあるのですが、その中でも私が使った感じで一番良かったのが、TAC (Theme Authenticity Checker)で、他の同系のプラグインと比べると至って使い方がシンプルなのでお奨めです。


TAC (Theme Authenticity Checker)ダウンロードはこちら

上記リンクよりダウンロードし、FTPアップするか、管理画面より自動インストールも可能です。

   

*プラグインのダウンロード、インスト方法は割愛させていただきますので過去の記事を参照下さい。



TAC (Theme Authenticity Checker)の使い方


1. プラグインTAC (Theme Authenticity Checker)を有効化します。

2. 管理画面左側の「外観」メニューにTACが追加されますので、そこをクリックします。




3. 以下の画面が表示されますので、緑色で「Theme ok!」と表示されていれば問題なしですが、




このように、赤色で表示されると、悪意のあるコードが埋め込まれているという事になります。



このように、テーマ適用前でも悪意のあるコードを見つけ出してくれて、場所も指定してくれますので該当する記述を削除するか、そのテーマを使わないかを自分で判断します(記述を削除すれば問題なし)



私は実験的に、これは怪しいかなと思うテーマを10個ほどテストしてみましたところ、3個のテーマが該当しました。この結果から見ても、サードパーティ製のテーマの一部には良からぬ物が、巧妙に仕組まれているという事が否定できないという事になります。

WordPress.orgのテーマを使うか、自分で作成したテーマを使うのが一番安全である事は言うまでもありませんが、なかなかそう上手くもいきませんので、このようなプラグインに頼るというのも選択肢の一つと言えると思います。

新規にサードパーティ製テーマを導入するとき以外はTAC (Theme Authenticity Checker)を無効にしておけば、競合や負荷もかかりませんので導入しておく事をお奨めしますし、まだチェックしていない人は早めにチェックしておいたほうがいいかもしれません。


どのような悪意コードが書かれているかわかりませんので、最悪のウィルスだった場合、仕込まれている状態のままWebサイトを公開してしまいますと、自分はもとより訪問者にも危険を撒き散らしてしまう最悪の結果を招いてしまわないとも限りません。


Webサイトを公開している以上、セキュリティ面でも万全な配慮を施すことこそが管理者の責任と義務でもあると私は考えます。


10日でおぼえる WordPress 入門教室 [WordPress 3.x対応](2011/5/17発行)



Pocket

Trackback URL


この記事を共有していただければ嬉しく思います。コメントもお待ちしておりますのでお気軽にどうぞ!
※ドメインを移行しましたら共有数が0にリセットされてしまいましたので、ご協力お願い致します。