Mobile Eye+タグの投稿

2009-02-26
くもり

つくば観光協会に電話した

ゆりこ による 10:23:36 の投稿
カテゴリー: ソフトウェア, 社会問題
タグ: , ,

つくば方面で素の Mobile Eye+ を使っているサイトがある」という報告を発見したのですが、執筆者は「サイト運営者に連絡していない」ようでした。「それはあかんやろ」と思ったので、つくば観光協会にサイトについて電話で質問してみました。すると、以下のような回答でした。

  • ウェブサイトの更新は、観光協会の職員さんが行なわれている。
  • サイトの構築は業者に発注。
  • 携帯対応は、業者からの提案で、設置作業も業者が実施。
  • 発注先の業者がどこかは教えられない。

その後、Mobile Eye+ の脆弱性についてしゃべってサイトが危険なことを伝え、口頭では分かりにくいため、回避策・対応策についてはメールいたしました。ウェブサイト担当者の方には真摯に受け止めて頂けました。ありがとうございます。

つくば方面というと、わたしが以前叩いた「ある業者」がありますが、わたしの指摘以降、ちょっとはマシになったかと思っていました。もし、梅まつりウェブサイトの構築が「そこ」ならば、やっぱしまだスキルが低いままなのかなーということですね……。そういう業者は、市や観光協会が「指名停止処分」にするべきでしょう ;-) 土木や建築だったら、欠陥工事レベルですから、指名停止になってておかしくないわけで、IT 関連でも同じ措置があってもよいかと。

[追記 18:35] 昼すぎに観光協会から連絡があり、業者に対応を取って頂いたそうです。こちらでも、脆弱性が回避できていることを確認できました。さすがに「直接電話する」のは効果がありますね。もちろん、観光協会および業者さんの対応が早かったことは特筆すべきことだと思います。(業者さんは) 知識や情報収集能力が足りないっぽいですが、それを行動力でカバーといったところでしょうか ;-)

2009-02-10
晴れ

脆弱性あり Mobile Eye+ を使っていた業者

ゆりこ による 03:38:30 の投稿
カテゴリー: ソフトウェア, 社会問題
タグ: , , ,

Mobile Eye+ に XSS 脆弱性があることを発表して以来、ブログ検索などで、素の Mobile Eye+ を使っている人を見つけては、拙作のパッチを紹介するという活動をしています。多くの方がびっくりされますが、パッチを適用して頂いています。ありがたいことです。反面、書いたコメントが「承認待ち」のまま放置という状態もあって、これは悲しいです。放置していても、自身のサイトが攻撃されたり、他のサイトを攻撃する踏み台にされるだけで、それは自業自得ですから、仕方ないのですが……。

このとき、いくつかの Mobile Eye+ 利用サイト (Google 検索へのリンク) が、ほぼ同じデザインなことに気がつきました。どう見ても、「業者から購入したテンプレートそのままの状態」で、非常に情けないです。念のため、見つけたサイトすべて (コメントが閉じられている1サイト除く) にコメントを書きましたが、5日ほど経過しても反応がありません……。(すべて「承認待ち」のため、わたし以外にはコメントの存在は見えません)

よーく調べてみると、どうやら、「HyperBlogger (ハイパーブロガー)」というツール (というかテンプレートセット) で作ったを購入した人向けの専用テンプレートを適用したサイトのようでした。つまり、販売業者は「脆弱性がある Mobile Eye+ を含むツール」を売っている代行インストールしたわけです!!

Mobile Eye+ の XSS 脆弱性が見つかったのは今年1月7日ですから、それ以前に販売した顧客への対応が困難なのは仕方ないです。でも、手前が販売したソフトウェアならば、脆弱性情報などもきちんと入手して、利用者に通知するのがあるべき姿でしょう。(まあ、スパムブログ生成ツールを作っている時点で、到底「マトモ」とは言えないですが ;-) →先方から連絡があり、「顧客に案内を行う予定である」とのことでした。すばらしい!!

まっとうな WordPress ブロガーがこのようなツールを買う代行インストールサービスを利用するとは思えませんが、じゅうじゅう注意されるようお願いします。なお、拙作の Ktai Style をベースに「PC & 携帯サイト同時生成ツール」を売っている業者もあるようですが、Ktai Style の最新版情報をいち早く入手されて、顧客に通知されることをお願いいたします。

ちなみに、WordPress, Ktai Style はどちらも GPL に基づくオープンソースなので「自動生成ツールと抱き合わせで配布することを禁止する」なんてのは無理なんです。オープンソースソフトウェアは、「利用する分野を制限してはならない」ので、極端な話、テロリストが使用することも認めないといけないのです。

[追記: 2009-02-11 03:30] 本日、深夜0時20分ごろ、HyperBlogger 開発元の「デジステイト」さんからメールが届きました。以下のような概要です。

  • HyperBlogger はあくまで、ローカルアプリケーションであること (WordPress、Mobile Eye+ やブログテンプレートは含まない)
  • HyperBloggerの開発の意図としては、決してスパムを目的としたブログを生成することではない。(ただし、利用者の多くはアフィリエイトを目的としている現状である)
  • キーワードなどを指定して自動的に同一のページが生成される機能はない。必ずユーザ側での編集作業が必要。
  • 既存の企業ポータルサイトや一部会員制サイトでの利用実績がある。
  • HyperBlogger の購入者に対して、特製のテンプレートや必須プラグインを含む WordPress 代行インストールサービスを行なっている。
  • 設置代行したユーザーに対して、Mobile Eye+ パッチの適用またはKtai Style などの代替プラグインを自身にて適用されるよう案内する予定。

わたしは完全に誤解していて、HyperBlogger (14,800円) には WordPress, Mobile Eye+、特製テンプレートが附属しているのだと思っていました (GPL アプリを有償で売ることは問題ないので)。自身で WordPress インストールが難しい人向けに、2,500円で代行インストールを行なっているのだと思っていました。実は、Mobile Eye+ の設置は、代行インストールの一環で行なっていたようです。

上記のような指摘がありましたので、タイトルおよび本文を修正し (旧タイトルは「脆弱性あり Mobile Eye+ を含むツールを売る業者」)、「ヘボ業者」タグは外させて頂きました (このようなタグを付与して申し訳ありません)。アフィリエイト目的のブログ作成という行為は個人的に感心はしませんし、それに使えるツールについては全く興味がないです。でも、この記事の目的は「セキュリティーの向上」にあるので、それに対する対策を取って頂けるならば、何の問題もありません。

このような「毒記事」なのに、素早く丁寧な連絡を行なってくることは驚きでした。自社製品によっぽど自信があるのだと思いますね〜〜。

2009-01-07
くもり

Mobile Eye+ パッチ (その2) リリース

ゆりこ による 13:07:37 の投稿
カテゴリー: WordPressハック
タグ: , , , , , ,

以前公開したMobile Eye+ へのパッチですが、セキュリティーホールが発見されたため修正版をリリースいたします。

  • 全角→半角変換に伴なうセキュリティーホールを修正します。
  • イー・モバイルの音声端末 H11HW, H12HW でも携帯表示にします。(EMONSTER, Touch Diamond 等スマートフォンは携帯表示になりません)

ダウンロードは「Mobile Eye+ パッチ配布ページ」から行なってください。急いで修正を行ないたい場合は、mobile_eye/lib/functions.php だけ更新すれば OK です。なお、脆弱性の詳細については後日発表いたします。

2008-10-05
晴れ

匿名プロキシーからコメントされた

ゆりこ による 04:19:35 の投稿
カテゴリー: ネットワーク
タグ: , , ,

先日、旅行記に記載した「鉄道事業者による乗客への恫喝」という記事ですが、さきほど、駅員を騙る者から嫌がらせコメントがつきました。内容が稚拙なことに加えて、匿名プロキシーを経由したと思われるところが腹立たしいです。メールアドレスも、架空の JP ドメインであるため存在し得ないことが確実で、これも許せません。

具体的な投稿元 IP アドレスは 203.191.235.65 で、逆引きしてみると sv0436.dc01.axelmark.net. となりました。なんと、http://sv0436.dc01.axelmark.net/ はPC →携帯を行う「mobazilla」サービス (http://mobazilla.jp/) のようです。コメントが投稿できるということは、実質的には匿名プロキシーですよね。よく似たホスト名で http://sv0133.dc01.axelmark.net/ というのもあり、これは1ページだけのウェブサイトがあるだけで実態が不明です……。

旅行記や当サイトでは、いろんなスパム対策をしていますが、匿名プロキシーからの書き込みには特に対策をしていません。匿名プロキシーや、使い捨てメールアドレスは拒否するようなプラグインを作るべきかもしれませんね。とりあえず内部使用しておいて、来年のプラグインコンペティションに応募かな ;-)

mobazilla は、あの「Mobile Eye+」の URLGATE が使用する外部サービスの1つにもなっています。mobazilla はポルノ広告が出ないようなので安心できるサービスかと思っていたんですが、匿名プロキシーのような動作をするならば、イケナイサービスと言えますね……。こりゃ Mobile Eye+ パッチの改訂が必要かも。

[追記 2008-10-05] また悪質なコメントがついたので (今回はスパム扱いで非表示)、mobazilla.jp からのアクセスを禁止することにしました。コメント禁止ではなく、Apache のレベルでアクセス拒否です。pc2m.net もとりあえず禁止としておきます。なお、2回あった嫌がらせですが、コメント書き込み自体は mobazilla.jp 経由としても、書き込みに成功したかどうかはプロキシー経由でなく直接閲覧している可能性が大なので、前後のアクセスログを見て、それっぽい端末があれば然るべき箇所に報告するかもしれません (ただ、端末 ID は記録されてない可能性が大なので特定不可能かも)。

わたしは「長いモノに巻かれる」のが大きらいなので、権威を振りかざしたりされると、余計に燃えて反論するタチなんですが、今回の嫌がらせ者は、わたしの性格が分かってないようで……。

2008-08-01
晴れ

Mobile Eye+ パッチ (その1) リリース

ゆりこ による 06:58:08 の投稿
カテゴリー: WordPressハック
タグ: , , , , ,

製作中だった Mobile Eye+ へのパッチですが、やっと形になったので公開いたします。パッチその2をリリースいたしましました。

パッチによる修正点は以下の通りです。

  • PC 表示で Mobile Link Discovery を追加しました。これにより、「同じ URL で携帯対応している」ことを検索エンジンや Ktai Style に通知することができます。
  • イー・モバイルの音声端末 H11T でも携帯表示にします。(EMONSTER, H11HW は携帯表示になりません)
  • フロントページ (トップページ) は携帯電話にキャッシュされないようにします (au 端末対策)。
  • URLGATE 機能で、使用する外部サービスを個別に ON/OFF できる機能を追加します。
  • 「ブログのパーマリンク」の設定機能を削除します。(WordPress 2.3 以降では「使用しない」で不具合が出るため、「使用する」に固定です)
  • 自サイト内のリンクなのに URLGATE 画面が出てしまう場合があった不具合を修正します。
  • URLGATE 画面で、ドコモ端末では URL のコピー用テキストフィールドが出なかった不具合を修正します。
  • 「画像リサイズ (srea.jp)」のサーバー削減に対応します。
  • ホスト名にポート番号がつく場合 (http://example.com:8080/ のような URL) でも正常動作するようにします。
  • 「ユーザー登録してログインしたユーザーのみコメントをつけられるようにする」の設定をしている場合、コメント投稿フォームが出ないように修正します。
  • 設定パネルを WordPress 2.5 以降の見た目に適応させます。
  • 設定パネルにおいて、WordPress Japan フォーラムへのリンクを WordPress 日本語フォーラムに変更します。
  • テーマのフッターから「十六夜.JP」へのリンクを削除します。
  • Ktai Style の default テーマに似たテーマが添付しています (UTF-8 文字コード専用)。

ダウンロードは「Mobile Eye+ パッチ配布ページ」から行なってください。さすがに「WordPress Plugins/JSeries」で配布するわけにいかないので、当サイトで配布することにします。

今後継続してパッチを開発するかどうかは分かりません。あまり改変しまくるとまおうさんが開発再開するモチベーションを失なってしまいそうなので、最低限の修正に留めたいと思っています。できれば、今回のパッチを取り込んでもらって「Mobile Eye+ v1.4.0」をリリースしてもらいたいところですが、今回の修正点が作者の意向と合うかどうかは分からないので、実現可能性は謎ですね〜〜。

2008-07-31
晴れ

Mobile Eye+ のパッチ製作中

ゆりこ による 04:34:45 の投稿
カテゴリー: WordPressハック
タグ: , , , , ,

Mobile Eye+URLGATE 機能を修正するなどのパッチを作っていますが、だいぶ形になってきたので動作画面を公開してみます。パッチ本体はすぐ実装できたのですが、Mobile Eye+ 自体をあまり触ったことがないのでテストに苦労しています。

Mobile Eye+ URLGATE 設定画面

まず設定画面です。管理パネルの「外部リンクのゲートウェイ」という項目は単純に「URLGATE」という名称に変更し、利用するサービスを個別に ON/OFF できるようにしました。そして、「あやしい広告が出そう」なサービスは注意を喚起する文言を入れるようにしました。デフォルトは MT4i にならって「通勤ブラウザ」だけ ON とします ;-)

URLGATE画面サンプル

次は URLGATE 動作画面です (Firefox 3 でウィンドウサイズを狭めて画面キャプチャ)。これはテストサイトで、画像URLGETおよびファイルシークも ON にしてある場合です。現行の Mobile Eye+ v1.3.0 は何の説明もなく訪問者に不親切すぎたんですが、簡単な説明および「アダルト広告警告」を出すことにしました。こうしておけば、「ファイルシーク」が何モノか知っている人は (ポルノ広告があったとしても) 使うでしょうし、よく分からない人は「アダルト広告が出るなんて!!」と思って避けてくれるでしょう。比較的マシな状態になったと言えます。

で、テストをしていて気がついたのですが、画像リサイズ/画像URLGET で出る広告が Google Adsense に変更されていて、ポルノ/出会い系ではないものになっています。「注意事項」には、以前同様「スポンサーのほとんどは未成年はご利用になれないサイトです。」と書いてあるので、「たまたまアダルト広告が出なかった」のか、注意事項の変更ができてないだけなのか、判断できません。とりあえずは安全側に振っておいて「アダルト広告注意」としておきましょう。

肝心のパッチですが、だいたいテストはできたので今週中には出す方向で進めてみます。本体の再配布ではなく単なる差分ファイルなので、まおうさんの許可は不要でしょう (パッチってそういうものだから)。修正によって「Mobile Eye+ が安全に使える」ようになってしまうと、Ktai Style の普及にブレーキがかかったりして ;-) うかうかしていると、MobilePress の新バージョンも出てしまいましたし、WordPress の携帯閲覧プラグインは活況になってきたようです ;-)

なお、Mobile Eye+ のパッチは継続開発するかどうか不明なので、やりたい人がいれば喜んで引き継ぎいたします。

[追記] パッチ(その1)をリリースいたしました。

2008-07-28
晴れ

Mobile Eye+ のパッチを作ればいいのかも

ゆりこ による 03:40:38 の投稿
カテゴリー: WordPressハック
タグ: , , ,

前エントリーMobile Eye+ の問題について述べたのですが、まおうさんの動きが鈍そうなら、「Mobile Eye+ に対するパッチ」を作るのはどうだろうか、と思いつきました。PHP5 未対応環境におけるツールとして Mobile Eye+ は有用なので、「まずいと思われる部分」を修正できればよさそうです。あくまで「作者にパッチを提供する」というスタイルにしたいので、差分ファイルだけの配布がよいでしょうか。

  • WordPress 2.6 対応
  • URLGATE 機能で、外部サービスを個別に ON/OFF する。
  • URLGATE 機能はデフォルトで OFF。
  • 省パケ機能は、半角カナの ON/OFF 機能に変更する。それ以外は使用に決め打ち。
  • ブログのパーマリンクは「使用する」に決め打ち。(「使用しない」はWordPress 2.3 以降で不具合が出る)
  • コメント投稿受け付けファイル mobile-comments-post.php を mobile_eye ディレクトリー配下に移設した方がいい?? (配布ファイルとインストールの簡易化)
  • 設定画面や附属テーマのフッタのリンク修正。
  • その他、細かいバグの修正

[追記 2008-07-29] WordPress 2.6 対応 (wp-config.php, wp-content の移設対応) は大幅な修正が必要そうなので、パッチ作成者の仕事ではないと判断して、やめておきます。省パケ機能も、まおうさんの実装意図を尊重してそのままにしておきます (単に変更が面倒という説もある ;-) )。

2008-07-27
晴れ

ユーザー視点と作者視点

ゆりこ による 23:58:36 の投稿
カテゴリー: WordPressハック, ソフトウェア
タグ: , , , , , , , , , ,

今ごろ気がついたのですが、wpmob, wpmobExpress の作者さんから「そっとしておいてもらえると嬉しい」と言われていました (リンクするかわりに引用しておきます)。「作者の視点」としてはまさにその通りで、そう言いたい気持ちもよく分かります。

あと最近、ソフトウェアを批評する方のサイトから良くリンクを頂いているようですが、正直そっとしておいてもらえると嬉しい。

紹介して頂けるのは本当に有り難いのですけれど、単なる趣味としてやってんだから類似したソフトウェアといちいち何回も細かく比較されるのは不快です。
自作のソフトウェアの機能アピールに当て馬として使われるのはもっと不快です。

他のソフトを引き合いに出して自作をアピールするなら、もっと優秀なソフトウェアのみ選出すると良いでしょう。
拙作は明らかに「機能不足」で「時代遅れ」なソフトウェアなワケだから無視して下さい。

ただ、わたしが「メール投稿ツールの比較表を作った」のは、純粋にユーザーの便宜のためでした。WordPress 用メール投稿ツールは、日本語に対応したものだけでも7種あり (Ktai Entry 含む)、選択基準を提示すべきではと考えたのです。網羅性を重視したため、見つけたものはすべて掲載しました。そして、ユーザーの立場としては「機能の劣る点」「問題点」も重要な情報ですから、○×表として記載したり、日本語ファイル名の対応などを確認したわけです。確かに「作者としての立場」を考慮しない書き方なのはまずかったですが、「作者さんにはがんばってメンテナンスしてほしい」という願いがありました。

「当て馬」があるとすれば、それは拙作の wp-mta および、Otsukare さん作の wp-shot になるでしょう。wpmob および wpmobExpress は、古いというより「枯れている」というのが合っていると考えていて、けなす意図はありません。優劣を判断してツールを選択するのはユーザーですから。

ついでに書いておくと、WP MOBILE の非難は、どちらかというと作者視点セキュリティー啓発者としての活動です。同様の機能を持つプラグインを作っているために「ライバル潰し」と誤解される可能性が大なのですが、あくまで「危険なプラグインの啓蒙」です。Ktai Syle は、「安全なものの代替案」として提示していると考えてください。(その割にバージョン 1.3x はバグが多くてご迷惑をおかけしましたが……)

幸い、WP MOBILE はユーザーがほとんどいなくて安心しているのですが、Mobile Eye+アダルト広告問題が見つかってしまい、これを啓発せざるを得ないのは残念なところです。セキュリティー欠陥ではないので「ほっとけばいい」という考えもあるでしょうが、危機管理という面では放置できないネタなので、広報しています。ライバルとなるソフトウェアを開発している人が言うのは、告知効果という面ではいまいちなので、利害関係のない第三者にやってもらいたいところです……。というか、まおうさんに修正して頂くのがベストですね ;-) 例えば、URLGATE 機能にリストアップするサイトを個別に ON/OFF できるようにして、画像リサイズ/画像URLGET/ファイルシーク/pic.to の横に「アダルト広告注意」と書いておく (デフォルトはすべてオフ) などの実装が考えられます。

ユーザー視点としてみると「便利なものを使いたい」「機能豊富なものを使いたい」となるでしょうし、多くのプラグイン作者は「自分が必要なものを作りたい」「ハック欲を満たしたい」となるでしょう。わたしの場合、そこに加えて「セキュアなものが普及してほしい」「危険なものは使うべきではない」という考えも持っています (「使うべきでないプラグイン12選」はその一例)。そのへんのバランスはなかなか難しいですね。WordPress コミュニティーに「セキュリティーを重視する」という文化が醸造されればいいのですが……。

2008-07-15
晴れ

いまだに URLGATE 機能オンのサイトが多い

ゆりこ による 10:54:10 の投稿
カテゴリー: ジェンダー・セクシャリティー, 社会問題
タグ:

以前、「子供向けサイト構築に Mobile Eye+ を使ってしまう業者」がいることを取り上げましたが、この業者「あどあどは未だに同じことを続けているようです……が手掛けたサイトでまだ URLGATE オンのサイトがありました。「次世代教育研究会」のサイトは主に固定ページで構成されていますが、こちらも Mobile Eye+ が URLGATE オンで使用されています。「次世代の教育環境を整える」ことを研究されている方が、アダルト広告が容易に出る状態を放置しているのはいかがなものかと思います。固定ページが主だと Mobile Eye+ でのナビゲートは困難なので、携帯サイト自体を停止した方がいいでしょう。

少し話が変わりますが、「メンバー登録」で性別欄が必須というのもダメですよね ;-) 性別が不詳な人/男女の枠に入らない人は多様性の一例であり「次世代の教育を考える」のに必要だと思われるのに、そういう人を排除しているようでは、まだまだです。

つくばオールスターチア」のウェブサイトも WordPress を使ってリニューアルしたようです。ご多分に漏れず Mobile Eye+ が URLGATE オンで設定されています。チアのメンバーには小学生も含まれるため、これはまずいですよね……。また、URL が少し変です。本来 http://www.cheerspirit.jp/allster/ のはずが、こちらには旧サイトが残っており、新サイトが http://www.cheerspirit.jp/allster/allster/ となってしまっています (たぶん製作者のミス)。こちらは例の業者の仕事かどうか不明ですが「筑波近郊」「Mobile Eye+使用」という面から、たぶんそうだと推測できます。

こうなると、「あどあど」は「WordPress を使って安価にサイト構築してくれる良心的な業者」とは言えなくなってきますね。「Mobile Eye+ を使ってアダルトサイトを増産する業者」と言わざるを得ません。(さっさと Ktai Style を使えばいいのに〜〜)

とりあえず、ここで叩いても仕方がないので、「問い合わせフォーム」から「Mobile Eye+ を使うなら URLGATE をオフにしてよ」という提案をしておきました。さて、どんな返事がくるやら。

[追記] さっそく返事がありました。「事象については把握しており、弊社が携帯対応した場合はアダルト広告が出ないように設定している。お客さんが後からインストールされる場合にそうなっていると思わます」という内容でした。ということで、「アダルトサイト増産業者」というくだりは撤回いたします。大変失礼いたしました。「ヘボ業者」タグも削除しておきます。今後は、PHP5 対応サーバーを提案して Ktai Style を使って頂きますようお願いいたします。Ktai Style が使えれば、Mobile Eye+ を使う必要もなく、アダルト広告問題も発生しませんから。

なお、次世代教育研究会およびつくばオールスターチアへも、すでに個別に問い合わせを送信しています。ユーザーが自身で Mobile Eye+ を入れたとすると、こちらからの返事が重要になってきますね。

使うべきでないプラグイン12選

ゆりこ による 00:19:06 の投稿
カテゴリー: WordPressハック
タグ: , , ,

トラックバック企画「WP2.5に入れるプラグイン10選」ですが、中間集計が始まったようなので、「使うべきでないプラグイン10選」を挙げてみたいと思います ;-) (追記: ヤバいものが増えてしまい、12選になりました) Masayan さんはこういうリストアップを好まないと思いますが、「やばいものは避けよう」という注意喚起としてあえて出してみます。もし、自身で使っているプラグインが該当していると不快になるかもしれませんが、セキュリティー向上のための情報ですので、気を悪くされないようにお願いします。

危険なプラグイン

以下のプラグインは、セキュリティーホールがある/ありそうなため、即座に使用停止した方がいいものです。

WP MOBILE
デジタルスタジオ製のモバイル対応プラグインです。当サイトでは度々危険性を告知しています。当初発見された脆弱性は塞がれていますが、まだ突破口があるのでないかと思われます。また、WordPress 2.3 以降には未対応なこと、IE, Firefox, Opera 以外の PC 向けブラウザー (Safari など) では閲覧できない、という重大な問題があります。(Safari ユーザーお断りサイトができてしまう ;-) (追記: このプラグインがあまりにふがいないため、Ktai Style の開発を始めました。Ktai Style の普及のために WP MOBILE を叩いているのではありません)
Plug ‘n’ Play Google Map
Lightweight Google Maps の前身である Google 地図対応プラグインです。XSS 脆弱性があること (作者に報告しても梨のつぶて)、位置情報が多くなると PHP およびブラウザーのメモリエラーになること (16MB だと 1000個が厳しい) などの問題があります。(追記: こういう問題があるので、Plug ‘n’ Play Google Map の使用をあきらめて自作することにしたのです)
まだベータ版なので、ここに挙げるのはかわいそうなのですが、2回も脆弱性を指摘したのにまだ同じ箇所が直ってないのは残念です。今後修正版が出るでしょうが、多くのテスターによる確認が済むまで使わない方が賢明です ;-) (作者がんばれ!!)

新しい WordPress に対応していないもの

以下のプラグインは最近の WordPress に対応していないものです。また、作者が開発を中止した/新バージョンが今後出ないと思われるものです。コードを自分でいじれる人ならば、改造して使ってもいいですが、プログラミングの知識がないならば、避ける方が無難です。

SOMY Mobile Gate
SOMY さんのメール投稿ツールです (厳密にはプラグインではありません)。残念ながら 2006 年秋頃に開発を中止されてしまいました。そのため、WordPress 2.3 以降の新しいカテゴリーテーブルには未対応となっています。後継の MobG を使いましょう。こちらはメンテされています。
SOMY SpamBlock JP
SOMY さんのスパム対策プラグインです。こちらも 2005年3月以降メンテナンスされていません。トラックバック・ピンバックの識別方法が古く、すべてコメントとして処理してしまっています。また、ブロック時の表示が文字化けしやすいこと (Shift_JIS 表示かつ HTTP ヘッダで Content-type 未指定)、コメント/トラックバックを必ずデータベースに一度保存させていること、どうにかがんばれば SQL インジェクションを起こせるかもしれないこと、将来 $tablecomments が廃止されたら動かないこと、などいくつか問題などがあります。
WordPress 2.0 以前 (2.0 含む) でセキュリティー欠陥があることが判明しました。WordPress 2.0 以前ではインストール禁止です。
SOMY IMG Collect
SOMY Logined Publish
SOMY さんのギャラリープラグインと、ログインユーザー判別プラグインです。どちらも、設計が古く将来の Wordpress で動くかどうか不明です。なんとか WordPress 2.6 でも動きそうですが……。なお、WordPress 2.0 以前 (2.0 含む) でセキュリティー欠陥があることが判明したため、インストール禁止です。

アダルト広告が出てしまうもの

以下のプラグインは、取り扱い注意な機能を含むため、万人にはおすすめできないものです。設定を変更するか、「ポルノ広告表示機能」を了承の上使うのならば問題ありません。

Mobile Eye+
まおうさんの携帯対応プラグインです。Otsukare さん作の Mobile Eye がベースとなっていますが、大幅に変更されています。これも、当サイトで口が酸っぱくなるほど書いている通り、「画像や外部リンクをクリックしたときの URLGATE 画面には、ポルノ・出会い系広告が出る外部サービスがリストされる」という問題があります。しかも、この機能はデフォルトで ON にかかわらず、ドキュメントや配布サイトには記述されていません。このため、Mobile Eye+ をデフォルト設定で使うと、「アダルト広告に繋がる携帯サイト」ができあがってしまいます。
URLGATE 機能がドキュメント化されているならば、「ポルノ広告が出てもいい」というユーザーだけが ON にすればいいのですが、そうでないため、取扱注意なプラグインとなっています。PHP5 未対応のため Ktai Style が使えない、という人は、ちょっと機能が低いですが「MobilePress」も検討してみてください (ただし、short_open_tag が off だと動きません)。
(追記: WordPress 2.3 以降で「ブログのパーマリンク」が「使用しない」の設定の場合、標準 URL (Canonical URL) の仕組みにより、パーマリンクを使った URL に常にリダイレクトがかかってしまいます (ドコモ携帯ではダイアログが出ます)。また、前後ページのナビゲーションで URLGATE 経由になってしまいます。「使用する」に設定すればどちらも回避できます)
(追記その2: Ktai Style 開発動機のもう1つの理由が、「Mobile Eye+ の挙動が好みと違う」ことでした (まおうさんも「かなり自分仕様な設計」と明言されています)。わたしには「ページ分割機能がない」「パケット節約が十分でない」「コメントとトラックバックを強制的に分離する」「スマイリー画像をそのまま出す機能がある」などは不満でした。このため「もっといいものが作れるんじゃないか」と考えて、携帯対応プラグインの開発を検討したのです。その後、「アダルト広告問題」が発覚したため、Mobile Eye+ も非難せざるを得なくなってしまいました。これは残念なことです)

お行儀が悪いもの

以下のプラグインは実装が凶悪で、他のプラグインに悪影響を出すものです。

Events Calendar
イベント表示プラグインです。標準のカレンダーの代替を提供します。しかし、プラグインの初期化段階で wp-includes/pluggable.php を require してしまうため、「プラグインが先に関数宣言することでオーバーライドできる」という pluggable.php の仕掛けを台無しにしてしまっています。WordPress コアの動作をまるで理解していない人が作っているわけで、これだと Extends から削除すべきぐらい酷いものです ;-) Ktai Style とコンフリクトするから敵対視しているわけではありません……。
All in One SEO Pack
人気のある SEO 増強プラグインです。しかし、タイトル書き換え機能が ob_start() を使うという凶悪な実装で、Ktai Style や Mobile Eye+ では title 要素が化けます (現在の Ktai Style では対策ずみ)。お行儀が悪い、という意味ではトラブルメーカーなわけで、初心者の方は避けた方が無難です。

セキュリティーを落とすもの

WordPress のセキュリティーを下げてしまうプラグインです。

Exec-PHP
runPHP
どちらも、投稿に PHP コードを記述できるようにするプラグインです。テーマの改造では不可能な動的なサイトを作ることができます。しかし、複数の投稿者がいる場合、ユーザー登録が自由なサイトではセキュリティーがかなり落ちますので、使ってはなりません。ページテンプレートや自作関数/自作プラグイン/自作ショートコードを作れば、これらのプラグインに頼らなくても済みます。逆に言うと、これらのプラグインを使うということは、まだ初心者の域であると言えるかもしれません ;-)

閲覧者が困るもの

他人のプラグインばかり非難していると「何様やねん」と言われそうなので、自作のものをオチとして出しておきましょう。

Ktai Style Shuffle (PC 向けバージョン)
Ktai Style のエイプリルフール版です。なんと、アクセスの度に表示される投稿が変化するという「ランダム表示」を強要します。閲覧者が困惑すること必死です ;-) 強烈なジョークプラグインですので、真面目なサイトで使ってはいけません。

なお、ここに挙げられていないものが「安全」というわけではありません。プラグインは便利ではありますが、PHP コードそのものですので、すべてセキュリティーの脅威となり得ます。プラグイン紹介サイトでは、コードの確認をしていない場合もありますので、「人気サイトで紹介されているから大丈夫だろう」と思わないようにしてください。

[追記] もちろん、上記のリスクを承知の上で、ここに挙げたプラグインを使うのは自由です。また、問題点がさほど重大でない場合もありますので (設定で回避できる etc)、一概に全部がダメ、というわけではありません。本当にダメなのは、一番最初の2つだけです。

[さらに追記 2008-07-15 09:20] デッドリンクチェッカーは、作者さんが根本的な改良をされたようなので、削除しました。そのかわり、Events Calendar を追加しました。

[もっと追記 2008-07-17 01:15] SOMY プラグインの欠陥を追記して、他のプラグイン2つも追加しました。

[本文中に追記 2008-07-27 22:45] WP MOBILE, Plug ‘n’ Play GoogleMap と Mobile Eye+ と拙作プラグインの関係について、本文中に追記しました。既存品に問題や不満があったため代替品を作ったという経緯なので、それらを非難するのは必然なわけです……。

1 2