DW Question Answer の脆弱性について WordPress プラグイン

Comment(0) | Trackback(0)

Categories | ブログ(WordPress) DW Question Answer


前回はDW Question & Answer 1.4.5 のバグについて対処法を説明し、

旧バージョン(バージョン1.4.3.4)をお勧めしましたが、

今度はその旧バーションにも脆弱性が見つかりました。

DWQA設定 パーミッションの、質問・回答・コメントが、

匿名投稿可になっている場合、

ある日突然、ロボットによるスパム投稿(攻撃)を受けてしまいます。

一度ロボットにロックオンされてしまうと、止め処なくスパム投稿されてしまいます。

 

1211 01 400x278 DW Question Answer の脆弱性について Wordpress プラグイン

 

では、この匿名投稿を不可(チェックを外す)にすれば防げそうに思えますが、

先ほど話したように「止めどなくスパム投稿されてしまう」理由は、

パーミッションでの制御が出来なくなると言う事です。

つまり、チェックを外して変更を保存(Save Changes)しても、

チェックを外せなくなります。これは悪質なスパムロボットの仕業です。

※早い段階でスパムに気付けばパーミッション制御は可能かも。

 

パーミッションの制御を回復するには・・・

DWQA設定 > 一般設定 > 質問が表示される前 にチェックを入れ変更を保存する。

 

1211 02 400x238 DW Question Answer の脆弱性について Wordpress プラグイン

 

スパム投稿(質問)を幾つか認証待ちにさせるとパーミッションの制御が可能になります。

その後の処置として、スパム投稿を全て削除する。

スパムなタグを全て削除。

 

1211 03 400x282 DW Question Answer の脆弱性について Wordpress プラグイン

 

スパム回答・コメント(Answers)を全て削除。

 

1211 04 400x255 DW Question Answer の脆弱性について Wordpress プラグイン

 

以上でスパム投稿(質問&回答)は回避できますが、匿名投稿は出来なくなります。

 

ん・・・

登録なしで、誰でも簡単に匿名投稿できるようにしたい!!思いもあり、

現在模索してますが、

試しにプラグイン「Google Captcha (reCAPTCHA) by BestWebSoft」を

インストールしてみました。

これはGoogleが提供するシステムで、ロボットによるスパム投稿を排除させます。

設定を終え、投稿フォームにショートコードを記述する。

 

1211 05 400x286 DW Question Answer の脆弱性について Wordpress プラグイン

 

結果、残念ながら当ブログ(Wordpress)ではうまく起動しませんでした。

ショートコードが利用できない。認識しない。

後に、直接PHPをいじれば実装できることが判明。

その設定方法は追伸↓をご覧ください。

 

追伸

ロボットによるスパム投稿の撃退方法は「Google reCAPTCHA」を実装・・・

TAGS: / / / / / / | 2016年12月11日 |

« »

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です