取り扱い注意!危険かもしれないプラグイン、ProfilePressを消そう!

パソコンがおかしい

どうも、さたぼです。

さたぼ

さて、今日もブログを書こうかなっと!

さたぼ

あれ、なんか、足りなくない?まぁ、いいや。ログインしよっ!

\\エラー:画像認証が間違っています//

さたぼ

なん……だと……!

おかしい、だって、なかったもの

画像なんてどこにもなかったものーーーー!!

落ち着きたまえ

次女

さたぼ

すごく落ち着いた

ちなみにいつものログイン画面はこちらです。

よく見ると全然違いますよね。

ウイルス感染前と感染後か!っていうくらい違います。

私は、「SiteGuard WP Plugin」というプラグインを入れています。

そのため、上の画像のように画像認証(上に表示された文字を入力してください)という文字画像が表示されます。

説明しましょう!

みなさんのサイトは、IDとパスワードを打ち込みさえすれば、誰でもログインでき乗っ取られる恐れがあります。

乗っ取りの方法ですが、ロボットがネットから収集したメールアドレスとランダムなパスワードを入力しまくってあなたのサイトに「ログインチャレンジ!」しまくるんですね。

でもこの「SiteGuard WP Plugin」を入れれば、画像で文字をランダムに表示させて、それを入力しないとログインできなくなります。

ロボットは画像から文字を読み取ることができないから、ログインできないというわけなんですね!

長女

その画像がないんですよ!

これは「SiteGuard WP Plugin」のやつが悪さしてるってことだな!消してやる!

という感じで何の罪もない「SiteGuard WP Plugin」様をFTPソフトを使って過去の記事では削除しました。

罪深いことをしたわね。

次女

しかし、犯人は別にいたのです

その名は「Profile Press」。

バージョンアップで名前が変わっており、以前は「旧WP User Avator」でした。

こやつが、本当の犯人でした。

さたぼ

お前のせいで「SiteGuard WP Plugin」が消されたんだぞ!

いや、消したのはあんただからね。

次女

原因が分かって、速攻でこのプラグインを削除しました。

今回の記事では、この「ProfilePress」を削除した方がいい理由について解説したいと思います!

なお、削除するだけでなく、いろいろな後始末もしないといけません

もし、導入してしまった方は参考にしていただければ幸いです。

そもそも「ProfilePress」とは一体何者なのでしょうか?

元々は「WP User Avator」という名前でした。

プロフィールのアバター画像を簡単に登録するためだけのプラグインでした。

プロフィール画像を登録できるのは確かにありがたいのですが、それだけの機能だったんです。

それなのに、とつぜん「ProfilePress」と名前を変え、元の機能はそのままに大幅なパワーアップが行われました

それも、元々の用途とは全く違う方向性で

パワーアップした「ProfilePress」がどんな機能を身につけたのか?

なんと、会員制サイトを作ることが出来るようになったんです

いろんなユーザがログインして使用することができる大衆向け利用サイトがこれ一つで実現できちゃうんです!

さたぼ

普通にいりません……。

ただ、機能がパワーアップしただけなら、別にいいんですよ。

プロフィール画像については役に立ちますので!

でもね、こいつはパワーアップと同時に私のサイトに対してあっちゃこっちゃ手を加えまくってくれたんです。

その被害について紹介したいと思います。

被害その1:ログインできない!

これは一番最初に書いた、「画像認証が表示されなくなった」というやつですね。

ログインページに入ろうとするといつものページから、「ProfilePress」用のログインページに自動的に転送してしまうんです。

なんでそんなことするの……。

長女

新しい会員用のログインぺージのためとかなんでしょうが、プロフィール画像を登録したいだけの人にとっては心底いらない機能です。

もし、このようなログインできない事態に陥ってしまった方がいたら、こちらの記事で書いた方法を使って、プラグインの中の「wp-user-avatar」というフォルダを消してしまいましょう!

コノハちゃん【画像でカンタン】FTPソフト「Filezilla」の設定方法!【Conoha Wing】

私は、こいつが原因と分かってすぐに削除しました。

被害その2:プロフィールぺージにアクセスできない

もし固定ページの中のプロフィールぺージについて、「https://watasitati-update.com/profile」といったふうに、ページ名をprofileという名前にしているとアクセスできなくなります。

別の目的でProfileという名前を使用しているからですね。

これも、ProfilePressを削除すれば解決します。

被害その3:英語でなぞの固定ページがたくさん作られて公開される

検索可能な自分のサイトページはどのくらいあるかご存じですか?

googleで以下のように検索すれば、自分のgoogleで検索可能な公開されているページを見ることができます。

「site:https://watasitati-update.com/」といった感じで「site:〇〇」と〇〇に自分のHPのトップページアドレスを入れれば検索できるんです。

 

さて、アドセンス合格のために変なサイトがないか探していたのですが、その中に自分のプロフィール画像だけのページとか、よく分からないページがでてきたんです。

さたぼ

←この顔だけのページが公開されている!?

こんなページどこにあるんだ、とWordpressの固定ページを開いてみたら、

見たことのない英語のページが8個くらいあって、全てインターネット上に公開されていたんです

しかもその固定ページの編集画面を開くと「PrfilePress=0」?みたいなことが本文に書かれていたんです!

 

しかし、私はこれで気づいたんです

なるほどね、googleアドセンス広告に落ち続けていたのは、君が中身のないページをたくさん公開していたからなんだね!

全部削除してやる!ひゃっはー!

結果は?

次女

さたぼ

英語の固定ページ削除してもアドセンス落ちました。

『ProfilePress』さんのせいではありませんでした。

謹んでお詫び申し上げます。

とはいえ中身のない固定ページが公開されていたら、アドセンスにも悪影響を与えると思います

もし同様の状況になっている人がいたら、使用しない固定ページを削除しましょう!

被害その4:アイコンが怖い!

よく見るとProfilePressの初期アバターのアイコンが怖い!

ヒゲの部分が口に見えてすごく怖い!

服も黒づくめで怖い!

さたぼ

小さくする薬を飲ませてきそうです!

危険:緊急性の高い脆弱性(セキュリティの問題)が見つかっていた

以下は、HP用のスペースをレンタルしている、Xserverが2021年7月3日に公開している注意喚起になります。

【重要】WordPressのプラグイン「ProfilePress(旧名:WP User Avatar)」(3.0~3.1.3)における緊急性の高い脆弱性について

セキュリティに問題があり、緊急にバージョンアップしないと危険!

という案内です。

最新のバージョンにアップデートすれば問題ありませんが、こういったトラブルが起こるプラグインを使用するのは怖いですよね。

まとめ:プラグインは必要最低限のものにして、怪しいものは削除や入れないようにしましょう!

Profile画像を登録するだけなら、WordPress公式のGlavatarを使えば十分です。

いろんなサイトでオススメプラグイン〇選といったものが見つかると思いますが、プラグインは無料で使える分リスクも大きく存在します

忘れたころに、「ProfilePress」のように全然違う機能に超進化する恐れがありますし、セキュリティに問題が見つかることだってあります

そのため、ProfilePressを入れている方は削除した方がいいと思いますし、入れないようにしたほうがいいと思います。

さたぼ

最低限、必要なプラグイン以外は、余分なものは入れないようにしましょう!

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA