DW Question & Answer のバグ・脆弱性について

WordPressプラグイン

バージョン1.4

３年程前に、バイク系Ｑ＆Ａサイトを自サイトに作成しました。

ベースのワードプレス（WordPress）上に、

無料のプラグイン「DW Question & Answer」をインストールして構築。

KAWASAKI Motorcycle Q & A

現状 WordPressスペック

• WordPress5.3
• テーマ 自作
• php7.3

現在リリースされているバージョン

• DW Question & Answer バージョン1.5.7

現在、古いバージョン（バージョン1.4.3.4）で稼働していますが、

システムに色々と問題（バグ・脆弱）らしきが発生してまして、

その中でも割と安定している1.4.3.4を利用しています。

また、アップデート（バージョンアップ）してしまうとで、

折角自作したstyle.cssに変更が加わってしまこともあり、

新バージョンへ移行することをためらっています。

でも、今後バージョンアップすることを考え、転ばぬ先の杖ってことで、

備忘録しておきます。

DW Question & Answer バージョン1.4

バグ・脆弱性とその対策の備忘録。

投稿（質問・回答・コメント）の際、テキストエディターが使えない。

ビジュアルエディタしか使えない仕様なのか？

他のプラグインとの相性も考えられそうだったので、起動中のプラグインを

停止・削除して検証したが改善されない。

対策しようがない。

見て見ぬふり。

回答にベストアンサーを選んでも、その質問は閉じられない。

手動で「受付終了」をするシステム？

それだと余り意味をなさないような・・・

デフォルトのベストアンサーボタンはショボイ。

しかし、カスタマイズは難しい。

参考ページをご覧ください。

DW Question Answerをカスタマイズ　ベストアンサー偏

バージョン1.4.5は文字化けを連発する

DW Question & Answer　バージョン1.4.5 の不具合と対処法

ロボットによるスパム投稿（攻撃）を受けやすい

ひとたび攻撃を受けると、パーミッションでの制御が出来なくなり、

「止めどなくスパム投稿されてしまう」。

DW Question Answer　の脆弱性について　WordPress　プラグイン

対策として、

Googleが提供するシステム「reCAPTCHA」を導入することをお勧めする。

実装法を参照。

DW Question & Answer / Google 「reCAPTCHA」 / 実装方法 / ブログ（WordPress)

今のところこんな感じですが、

「なんだこれ？」みたいな、妙な現象を発見したら追記していきたいと思います。

WordPress プラグイン「BackWPup バージョン 3.5.0」はバグってるかも

ワードプレス プラグイン「BackWPup 」をバージョンアップしました。

バージョン 3.4.5　⇒　3.5.0

直後にダッシュボードが真っ白くなり、何も表示されなくなりました。

サイトに戻っても、何も表示されません。

新バージョンにはバグがあったよう。

原因は・・・

/plugins/backwpup/vendor/guzzlehttp/promises/src/functions.php on line 45

自作テーマもしくは、導入中のプラグインとの愛称があるかもしれませんが、

何かしらエラーがあることが判明。

しかし、修正方法がさっぱり分からず、「BackWPup」を削除しました。

削除後は問題なく表示されました。

削除方法は、

ダッシュボードが表示されなくなったら、FFFTP等で直接サーバーにアクサスし、

プラグインを削除するしか手はないと思う。

こりゃ便利だなぁ～と、長い間利用していましたが、

【UpdraftPlus】に乗せ換えました。

バックアップ方法（プラグイン）を【BackWPup】から【UpdraftPlus】に移行

2017年8月1日にBroken Link Checkerがバージョンアップされました。

バージョン 1.11.3　→　バージョン 1.11.4

現在使用中の当ブログ「WordPress（バージョン 4.3）」では、互換性があるとのことで、

アップロードしましたが、ダッシュボード（管理パネル）が開かなくなりました。

あくまでも当ブログ（自作）でのエラーですが、念のためアップロードする前に、

Broken Link Checkerの旧バージョン「バージョン 1.11.3」の

バックアップをオススメします。

WP Social Bookmarking Light　バージョン2.0.0 はバグっているようです。

当ブログではエラー表示され、うまく表示されませんでした。

バージョンは 1.9.2までは問題ないようですので、

2.0.0が改善されるまで旧バージョンをオススメします。

追伸

数日後バージョンアップされましたが、バージョン 2.0.1　は問題ないようです。

前回はDW Question & Answer　1.4.5 のバグについて対処法を説明し、

旧バージョン（バージョン1.4.3.4）をお勧めしましたが、

今度はその旧バーションにも脆弱性が見つかりました。

DWQA設定 パーミッションの、質問・回答・コメントが、

匿名投稿可になっている場合、

ある日突然、ロボットによるスパム投稿（攻撃）を受けてしまいます。

一度ロボットにロックオンされてしまうと、止め処なくスパム投稿されてしまいます。

では、この匿名投稿を不可（チェックを外す）にすれば防げそうに思えますが、

先ほど話したように「止めどなくスパム投稿されてしまう」理由は、

パーミッションでの制御が出来なくなると言う事です。

つまり、チェックを外して変更を保存（Save Changes）しても、

チェックを外せなくなります。これは悪質なスパムロボットの仕業です。

※早い段階でスパムに気付けばパーミッション制御は可能かも。

パーミッションの制御を回復するには・・・

DWQA設定 ＞ 一般設定 ＞ 質問が表示される前　にチェックを入れ変更を保存する。

スパム投稿（質問）を幾つか認証待ちにさせるとパーミッションの制御が可能になります。

その後の処置として、スパム投稿を全て削除する。

スパムなタグを全て削除。

スパム回答・コメント（Answers）を全て削除。

以上でスパム投稿（質問＆回答）は回避できますが、匿名投稿は出来なくなります。

ん・・・

登録なしで、誰でも簡単に匿名投稿できるようにしたい！！思いもあり、

現在模索してますが、

試しにプラグイン「Google Captcha (reCAPTCHA) by BestWebSoft」を

インストールしてみました。

これはGoogleが提供するシステムで、ロボットによるスパム投稿を排除させます。

設定を終え、投稿フォームにショートコードを記述する。

結果、残念ながら当ブログ（Wordpress）ではうまく起動しませんでした。

ショートコードが利用できない。認識しない。

後に、直接PHPをいじれば実装できることが判明。

その設定方法は追伸↓をご覧ください。

追伸

ロボットによるスパム投稿の撃退方法は「Google reCAPTCHA」を実装・・・

2016年8月にリリースされた最新バージョン「DW Question & Answer　1.4.5」には、

バグがあるようです。その症状と対処法をお知らせします。

症状としては、投稿の際、タイトルに記述した文章が送信時に文字化けします。

私的に色々と検証（他プラグインとの相性）してみましたが、やはりバグのようです。

それと仕様変更だと思うのですが、匿名投稿が出来なくなりました。

投稿には名前・メールが必須になったということです。

それでも1.4.5を利用したい！という方は、投稿フォームに

「匿名投稿は不可　名前・メールの記述が無い場合、タイトルが文字化けします。」

と一言書いておけばよさそう。

対処法としては、前のバージョンに戻せば良いだけです。

当方使用のバージョン1.4.3.4でよろしければどうぞ。

ダウンロードはこちら↓　

dw-question-answer1.4.3.4

FFFTP等で直接サーバーにアクセスし、最新バージョン1.4.5をフォルダごと削除。

削除フォルダの場所：***/wp-content/plugins/dw-question-answer

ダウンロードした圧縮ファイル（dw-question-answer.1.4.3.4.zip）を解凍し、

FTPでフォルダーごとアップロードする。そしてワードプレスのダッシュボードで、

「DW Question Answer」を有効化。

アップロード時にパーミッション（属性）の変更は必要ありません。

また、投稿されている質問も削除されることはありません。

最後に日本語化にして終了。

DW Question Answer日本語化はこちらをご覧ください。

DW Question Answer　日本語化｜ファイルダウンロード　【 WordPress プラグイン 】

先月気付いたのですが、Facebookページの投稿に下書き保存が出来てる。

いつからこんな機能が登場したんだろう・・・

で、試しに下書き保存してみた。中々使えそうな便利機能だけど、

普段「日付指定の投稿」使っている私にはいらんかも。

それよりも「写真アルバムを作成」に、日付指定の投稿を設けてもらいんですけど！！

それがですね、必要性ないので下書きを削除したんです。

そしたら下書きは削除されたのに、カウントが１件残ってるんです。

多分暫くすれば消えるんじゃなかろうかと、１週間ぐら放置してますが消えません。

何で？バグ？　対処するのめんどいので放置します。

フェイスブックを始めて１年ぐらい経ちますが、大体週２回ペースで記事をあげて

います。余り過去に書いた投稿記事を読み返すことはなかったある日、タイムライン

のとある記事が消えていることを見つけました。たまたま表示されなかっただけで、

その内表示されるだろうと軽く考えていました。しかし、昨日ずーっと過去の記事を

読み直してみると、半分ぐらいはごっそりタイムラインから消えてました。

勿論意図的に非表示した訳でもなく、アクティビティログで確認すると「ページに

表示」の選択にチェックがしっかり入ってます。ってことは、Facebookページのバグ

ですね。ググッて対処法見つけたので我がFBに投与しました。

消えた投稿記事を復元する方法はこうです。

Facebookページの場合、イベントを適当に書いて投稿するだけです。

↓　↓

Facebookの場合、ライフイベントを適当に書き投稿。

それだけで消えた記事は復元表示されます。

投稿記事が消えてしまっているかどうか？を確認する場合は、アクティビティログ

と、タイムラインを並べて表示させ、照らし合わせて見れば一目瞭然。

「フェイスブックページを編集」からアクティビティログを開く。

数時間経って確認してみましたが、タイムラインから消えた記事は復元されたもの

もあれば、いまだに消えっぱなのものもあり、必ずしも全て復元されるものでもな

いみたいですね。後はfacebook側のバグ修正をのんびり待つことにします。それに

しても利用する側にとってとても不愉快になります。そのことを主催者側はどの程

度理解しているのでしょうかね？

しまい