WebReapirでは改ざん被害を復旧した際に必ずWordPressコアやプラグインのアップデートを行ったうえで納品させて頂いております。

この中には、有効化されていない、つまり無効化されて使用していないプラグインも含まれます。

本来、使用していないテーマやプラグインは削除したほうが良いのですが、実際には一時的に無効にしているだけだから…といったケースもあるためです。

先日ある事案で、「制作会社の人に聞いたら有効化していないプラグインはアップデートしなくても問題ないと言われた」という声がありました。

残念ながらこれは間違いです。

プラグイン制作者の方などはよくご存じかと思われますが、直接PHPファイルが呼び出されることのないよう、

といった書き出しでスタートするようにし、WordPress経由でないと処理がなされないようにする、ということが行われています。

ところが、プラグインやテーマなどで各種ライブラリを用いる場合、そのファイルに直接アクセスすることが可能となってしまい結果として脆弱性が生まれるといったことがあります。

例として2020年にFile Managerプラグインに脆弱性が見つかり、多くのサイトが改ざんされる被害に遭いました。

File Managerプラグインでは、サーバー上のフォルダやファイルを簡単に操作できるelfinderというライブラリが用いられていますが、この中のサンプルファイルがFile Managerプラグインを有効化していなくても、つまり無効化された状態でも直接アクセスすることができてしまうことから発生したものです。

こうしたリスクがあるためWordPressのサイトヘルス機能では使用していないプラグインやテーマを削除するよう警告しますし、OWASPでもWordPressの運用について同様に勧めています。

削除しない理由があるのであれば、有効化していなくてもきちんとアップデートしておく必要があります。