Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
Help us understand the problem. What is going on with this article?

WordpressにFlamingoを入れるべきではない

More than 1 year has passed since last update.

1年以上前にハッキングされたWordpressから難読化されたコードを見つけた件を書いたんですが
また献体をもらったので思ったことを書きます(献体とは関係ない、なお本業とも関係ない)

Contactform 使ってますか?

問い合わせフォームを作るやつです。
8割方入っている印象があります。
そんなContactformですが、お問い合わせ内容は保存されません。
送信された瞬間に、メールが配信されて終わりです。
メールなくしちゃったらどうしよう?
問い合わせがロスしてしまうので困りますよね。

そんなときに・・・

Flamingoをインストールすると
問い合わせ履歴がWP上で確認出来ます。便利ですね。

便利なのになんで駄目?

改竄されるWPサイトが多すぎる問題

もうコレに尽きます。
身の回りだけでも毎月1回ぐらい改竄されたって聞きます。
おそらくもっと多くのWPが日常的に改竄されているはずです。

改竄を受けるWPでは攻撃者は下記の捜査をできる事がほとんどです。

  • 任意のファイルを設置できる(改竄)
  • 管理者ログインを行う
  • WP上のデータ閲覧
  • サーバから任意のメール発信

これらの事が出来てしまいます。

で、何が言いたいかというと

改竄を受ける確率が高いWPに大切なデータ(顧客情報)を置くのは避けた方がいい

  • メールは無くさずに管理する(フィルタ処理でコピーしてアーカイブ残す)
  • CRMにメールなげてそのまま管理してもらう
  • contactformではなくEFOのSaaSを入れる

など他にもやりようがあると思うので、絶対に入れるなとは言いませんが
改竄受けたらサイトが見れるだけじゃなくて中に入っているデータも盗られる可能性大なので
リスクを考慮した上で導入を検討して欲しいと思います。

PS.

  • そもそも改竄されたら保持してなくても抜かれる可能性ある
  • WPは改竄されるという先入観は捨てるべき?
mikkame
兼業フリーランス
yyphp
PHPerが毎週集まり、ざっくばらんに情報交換する雑談コミュニティ
https://yyphp.connpass.com/
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away