Count per Dayの開発者が個人情報を盗聴

この際、Count per Dayなどのプラグインも最新にしようということで、昨日のお昼に3.6.1にアップデートしたのですが、これが最悪でした。

アップデート自体は普通にできたのですが、GeoIPのチェックを促されたので、そちらもアップデートしようとしたところ、GeoIPのデータベースが読み込めず、GeoIPのデータが真っ白になってしまいました。

それで、プラグインのサポートフォーラムを見に行ったのですが、そこでとんでもない情報を見つけました。

まず、プラグインの開発者が変わりました。以前はTom Braiderでしたが、3.5.8からEasyPlugin (Jon Highham)に変わったようです。現時点での最新版は、3.6.1です。

何かいやな予感がしたのですが、さらに調べていったら、こんなことが書かれていました。

AleksCee (@alekscee)

8 months, 3 weeks ago

Not a nice „feature“ to track all hit/access of any contend from any site that uses the plugin on your website. I have deactivated the plugin now. Sorry.

え?

データを盗み出している???

HAL-9000 (@hal-9000)

8 months, 2 weeks ago

@easyplugin: can you elaborate verbosely why you are opening a connection to your website and transferring private data of every website using the plugin?

どうやらそういう話らしいです。

Handoko (@handoko-zhang)

8 months ago

I’m a web designer not programmer. Can anyone tell me what did this code in the link below does?
https://plugins.trac.wordpress.org/changeset/1970157/

I’ve been using this plugin for years, it seems I have to uninstall it and find another one.

これですか?

げっ・・・。変なところに、怪しいURLが・・・。

結論。

Count per Dayは3.5.7でアップデートを停止すべきです。

問題はどうしたらいいかです。

重症なのは、もう一方のブログの方で、バックアップからリストアしても、Count per Dayからエラーが出て元に戻りません。夜中までかかってやっと回復する手段にたどり着くことができました。

うまくいったのは、WP Rollbackというプラグインで元に戻す方法です。まず、とりあえず、サイト全体をバックアップから修復作業直前の状態まで戻しました。この状態ではCount per Dayは3.6.1です。

ここでWP Rollbackをインストールして、有効化します。

プラグインのページから、Rollbackをクリックして、3.4.1を選択して、インストールし、有効化します。これで全部元に戻りました。

GeoIPのデータベースが新たに入手できないため、3.5.7にはアップデートできません。よって、あちらのブログは、事態が変化しない限り、3.4.1のままです。3.4.1はCount per Dayのプラグインの中にGeoIPが含まれています。

このブログでは、かなり前に3.5.7にアップデートしてありました。これを昨日、3.6.1にアップデートしてしまったわけです。こちらは簡単で、同様にWP Rollbackで3.5.7に戻すだけでした。3.5.7の時点のGeoIPがインストールされた状態で、3.5.7に戻りました。

3.6.1だと、動作しないというわけではありませせんが、個人情報がどんどん流出するプラグインなんて使えませんので、Count per Dayを使うのなら、Tomが開発した3.4.1または3.5.7までですね。

何年後かわかりませんが、このままでは、いつかはCount per Dayが使えなくなる日が来るでしょう。その時は、適当なアクセス解析ソフトを別サーバーにインストールしようかと考えています。

[ Count per Dayの開発者が個人情報を盗聴 ]Web技術2019/07/31 23:59