「WordPress Securityを考える会 vol.3」が10/26(土)に名古屋でありましたので、参加しました。

• http://connpass.com/event/3574/

レガシーコードが一部で問題視されているWordPressですが、プラグインについては、さらに悲惨な状況のようです。

まず、プラグイン作成に関する資料が整備されておらず、プラグインの実装はかなり実装者依存のようです。WordPressで用意されている関数などを使えば、かなりセキュアなコードになる部分でも、そもそもWordPressの関数の存在を知らずに独自に実装していたり、WordPressの関数を使っているが、使い方が間違っており安全になっていないような事例もあるようです。

プラグインのコードはWordPress本体の比でなくレガシーなものもあるようですが、そもそも、コードを見ている人がほとんどいないようで、実装者のスキルが上がらない限り改善の可能性は低そうです。ダウンロード数が多くても、有名な企業が作成していても、それだけでは安心はできないようです。

WordPress公式サイトに登録されているプラグインでも、セキュリティ上安心とは言えず、プラグインの評価（Rating）もほぼすべてがユーザ視点の使い勝手のみの評価なので、コードがセキュアかどうかはわかりません。

少し前に、Top 50プラグインの脆弱性についてのレポートがありましたが、20%のプラグインには脆弱性があったようです。Top 50でその割合なので、ユーザが少ないプラグインはさらに悲惨な状況であることが予想されます。

もし、WordPressのプラグインの利用について指針を示すとすると、

1. プラグインは使うな
2. どうしても使う場合は、ソースコードをレビューせよ

となると思いました。が、これは非常に敷居が高く、一般的なWordPressユーザにとっては現実的ではないとも思いました。

もし、このあたりの状況の改善にコミットする気がある人がいたら、まず、プラグイン作成のガイドラインをもっと整備したり、お手本となるプラグインを示すなどして、きちんとしたプラグインの作成方法がわかるようにする必要があるでしょう。それと同時に、現在あるプラグインのコードをレビューして脆弱性を地道にIPAに報告していくしかないのかなと思います。

関連

• WordPressセキュリティを考える会第三回を開催しました。
• 書き換え事件でも使われた？ WordPressプラグインの脆弱性とシンボリックリンク