今まで、Pluginの更新については、管理画面の上部に更新のお知らせがあれば、内容を確認してから更新をすませてきました。
ところが、今回は、セキュリティの問題解決の一環として、注意していたところ、データベースのバックアップをとってくれる「wp-dbmanager」がいつのまにか日本語から英語になっていました。
そこで、詳細を確認しましたので、記録として残しておきます。
管理画面で確認すると、以前、日本語化したはずの「wp-dbmanager」が、いつのまにか、英語になっています。
FTPで確認すると、日本語化のファイル2つが消えています。
いったい、誰が消したんだ? と不安になってしまいます。
「wp-dbmanager」の日本語化のファイルをアップロードしました。
管理画面で確認すると、無事、日本語化されていました。
管理画面の上部に更新ができるファイルがあるメッセージが出ていました。
管理画面からいつものように更新をします
更新後、今まで日本語化されていた「wp-dbmanager」が英語に戻っていました。
FTPでサーバーの中を確認すると、日本語化のファイルはなくなっていました。
そこで、再び、日本語化のファイルをアップロードしました。
日本語化のファイルがアップロードされました。
再び、管理画面で確認したら、無事、日本語化されていました。
ということは、Pluginを管理画面から更新すると、そのPluginのフォルダーの中味が全取っ替えになる、ということみたいですね。
どういうことか、というと、今回、WordPressのセキュリティ上問題になっている事例を詳しく調べてみると、不正な内容のphpファイルがサーバー上に置かれていたんですね。
その置かれた場所は、wp-content/uploads/2015/07の中でした。
ここは、通常は、画像ファイルやPDFファイルなどが保存されている場所ですが、ここに不正ファイルがありました。
確かに、この場所は、WordPressを運営する際に、追加更新されることはあっても、中味が入れ替わることはありません。
それに対して、もし、Pluginの場所だと、更新のたびに入れ替わるのであれば、不正ファイルを置く場所としては、よくない(不正ファイルを操作する相手からすると、です)、ということになります。
そうすると、WordPress自体のバージョンアップがある場合には、どうなるんでしょうね。
もし、wp-adminやwp-includesの中身が、全部取っ替えになるとしたら、不正ファイルを探す場合には、そのフォルダー以外を念入りに見ればいい、ということになりそうです。
現在、いろいろ検証中で、この点まはだ未確認でどこかに誤解があるかもしれませんが、現段階で気づいたことを記録に残しておきます。
