9682PV
wp_bing、悪意のあるプラグイン
Wizup!(ウィズアップ)は、「小さな会社の知恵袋」をテーマに中小企業向け経営コンサルティング会社、Cross&Crown LLC(クロスアンドクラウン合同会社)が運営する、ビジネスポータルサイトです。
この記事は約 2 分で読めます。2013年6月7日
Xoops Cube等で、ページを「友人に紹介する」ためのTell a friendというモジュールがあります。
これを利用したスパムがありましたので、Xoops Cube等をご利用の方はその設定について再調査をしてみてください。
このモジュールはページ下部のリンクから友人宛に紹介メールを送るためのもので、このリンクをクリックすると以下のような画面が表示されます。
不正配信者は、これをスパムの踏み台として利用し、本文を自分たちのURLなどに誘導するために書き換えて配信します。
もちろんこの際に送信者の偽装などが行われます。
この配信は一日に数千通にも及びますので、レンタルサーバーなどでは当然アカウントの停止などの措置を受けることとなります。
管理画面からの設定によりこの被害をある程度防止できます。
Tell a Friendモジュールの管理画面、アクセス権限設定で、ゲストがこのモジュールにアクセスできるようにするかどうか、決定できます。
一般設定画面より、登録ユーザーやゲストの配信数制限が可能です。
デフォルトでは以下のようにゲストは5通/1日、ユーザーが10通/1日となっています。
スパム配信を目的とする場合、本文の変更が必須となりますので、本文の編集許可を「いいえ」に設定しておいたほうが良いでしょう。
とても便利なモジュールですが、止めなければならないことも。
不正送信者が配信に失敗しても、結果的にDAEMONメールがやってきます。
メールのリターン先がサイトに登録してあるメールアドレスになるからです。
こうなるとレンタルサーバー側で「不正な大量配信」としてアカウントの凍結などの措置がとられます。
いくらゲスト送信数制限などを行っても、これが来てしまっては仕方ありません。
こうした場合には、Tell a Friendモジュールの使用を中止しましょう。
