「SI CAPTCHA for WordPress」がスパムコード混入で公開停止の模様
当サイトでは、コメント欄や掲示板にスパムコメントが投稿されるのを防ぐため、「SI CAPTCHA for WordPress」というWordPress用プラグインを使用していました。
このプラグインを使うと、こんな感じの画像認証をコメント欄やWordPress管理画面ログインページに追加することができ、ツールによるスパム投稿や、不正ログインをある程度防ぐことができます。
有名なプラグインなので、他にもこれを使っている人はたくさんいると思われます。
別の記事でこのプラグインを紹介するためにいろいろ調べていたところ、WordPress公式サイトのプラグインページから消えていることに気づきました。
不思議に思いググってみたら、SI CAPTCHA for WordPressのサポートフォーラムに以下の記事を発見。
日本語に翻訳すると、こんなことが書かれています。
私はSI CAPTCHA for WordPressの元の作者です。
このプラグインは、2017年6月からfastsecureというユーザが新しい所有者になっていました。新しい所有者は、自分が所有しているサードパーティのサーバに接続してローンなどのスパム広告を記事に表示するためのコードを、WordPressプラグインに挿入しようとしました。新しい所有者は、バージョン3.0.1と3.0.2にスパムコードを入れましたが、コードをsecureimage.phpに入れていたため、スパムの表示には失敗しました。
このコードは、WordPressライブラリをロードして実行する必要があります。
スパムコードが動作しない理由は、secureimage.phpがWordPress実行環境に含まれていないためです。
secureimage.phpは、WordPress実行環境外のHTML画像ソースから直接キャプチャ画像を読み込むときに使われる「securimage_show.php」から読み込まれます。
このスパムコードは有効化されなかったので、記事を壊したりWordPressデータベース内の何かを変更したりすることはありませんでした。これが原因でご迷惑をおかけして申し訳ありません。
私もこのようなことが起こるとは思っていませんでした。
このプラグインは、問題が解決するまでの間、WordPressのスタッフによってWordPressリポジトリから除外されます。
新しいバージョンが、おそらく近いうちに公開されます。
私が投稿していた状態に復元できる可能性があります。
それまでの間、プラグインを無効にするかアンインストールすることをお勧めします。
つまり、プラグインの作者が変わったあと、スパムコードが混入したことが発覚したため、公開が停止されたようです。
バグのため実害はなかったようですが、このプラグインを使用している人は、無効化かアンインストールをしておきましょう。
自分もこれを見てプラグインを停止しました。