今使ったらあかんWordPressプラグインの代名詞的存在のexec-php。

作者自身がもうクローズされているので、よほどのことがなければ入れることはないと思います。

が、「危ないのはわかってる。だけど影響範囲がデカすぎて止めるの怖い」というユーザーも少なからずいるのではないかなと思います。

そんな時こそWP-CLIの出番です。

DBを検索できる wp db searchコマンド

exec-phpはウィジェットやコンテンツエリアに書かれたPHPを実行するプラグインです。ということは、DBの中に<?phpのようなコードがなければexec-phpは止めて大丈夫そうです。

WP-CLIには、wp db search <word>というコマンドが用意されています。

ですので、以下のようにコマンドを実行することで、DB内にPHPコードが含まれていないかを調べることができます。

検索した結果

$ wp db search '<?php'                                                                                                         
wp_options:option_value
79::4:{s:5:"title";s:0:"";s:4:"text";s:71:"<?php 
 $variable="PHPテスト実行２";
 print "$varia

wp_posts:post_content
1708:<?php 
 $variable="PHPテスト実行２";
 print "$varia

wp_posts:post_content
1709:<?php 
 $variable="PHPテスト実行２";
 print "$varia

このケースでは、post_contentなので記事本文に２箇所、 wp_options なのでウィジェットに１箇所PHPコードが書かれていることがわかります。

オプションや他のコードを組み合わせることでいろいろ調べることもできそうなので、「止めたいんだけどなぁ・・・」という方はぜひトライしてみてください。

https://developer.wordpress.org/cli/commands/db/search/

技術ブログは・・・がんばって

なおこのやり方、PHPのコードを紹介するブログではそいつらも引っ掛けてしまいますのでご注意ください。

技術系ブログやってる人が、そんな危なっかしいプラグインいつまでも使ってるんじゃないよと思ったりしないでもないですが。