CMSのプラグイン、何でもかんでも入れてませんか？

2016年4月、国内の複数のWebサイトが不正アクセスを受け、個人情報が流出したことを明らかにした。原因は、CMS（Content Management System：コンテンツ管理システム）「Movable Type」のプラグインとして提供されている「ケータイキット for Movable Type」に存在していたOSコマンドインジェクションの脆弱（ぜいじゃく）性だ。 OSコマンドインジェクションは、比較的古くから存在していた問題だ。Webサイト内のフォームに文字列を入力することでサーバ上でOSのコマンドを実行させ、リモートからさまざまな意図しない操作を可能にしてしまうものだ。 確かに危険性は高いが、IPAが公開している「安全なWebサイトの作り方（pdf）」などにまとめられている通り、対策は示されている。また、OSコマンドを呼び出すのではなくライブラリを利用するといったプログラミング作

[ockeghem]

高橋さんに取材いただいた内容が記事になりました

[mumincacao]

とりあえず入れとけ感あるおーるいんわんぷらぐいんも考え物かなぁ？ ８割ぐらい使わない機能なのに機能の数だけ予期せぬ不具合が紛れ込む確率上がるのです（－ω【みかん