セキュリティに問題のあるコードの改善を行いました。
jp5以前をお使いの方はバージョンアップを強く推奨します。

ダウンロードはこちら [NP_TrackBack v2.0.3 jp6][576clicks]
セキュリティfix版のNP_TrackBack v2.0.3jp7をリリースしています。
※使い方についてはplugins:trackback [Nucleus CMS Japan Wiki]を参照してください。

動作確認はNucleus 3.23（UTF-8）、PHP 4.4.4環境で行っています。
動作確認報告、バグ報告はこのエントリへ、コメント・トラックバックをお願いします。

Nucleusの日本語版はSourceForge.jpのnucleus-jpからリリースされていますが、本日、プロジェクトにDeveloper（コミッタ）としてジョインすることになりました。ちょっとビビッてますが、Nucleusの普及に貢献できるということは喜ばしいことです。

まずはできるところから手をつけていきたいということで、利用者が半端じゃなく多いので、リリースするたびに恐怖を覚えていた２本のプラグイン、NP_TrackbackとNP_Blacklistについてnucleus-jpのリポジトリに移したいと思います。

以上、ご報告まで。

NP_ShowBlogsは使っている人も多いと思うので、僕のところでも告知に協力しようと思います。

とても重要なお知らせです。NP_ShowBlogs v.2.6緊急配布！ @ nakahara21

3) NP_ShowBlogsをバージョン2.6に差し替える
サーバに置いているプラグインファイルを上記ファイルに差し替えてください。
※今回のセキュリティ強化版はkimitakeさんが手を加えてくれました。ありがとうございました！

上記のとおり、今回のバージョンアップはセキュリティ対策を施したものになっているのでなるべく早急なアップグレードが推奨されています。

NP_Blacklistを入れると動作が緩慢になってしまって困っている方もいると思います。これはページが表示される直前にアクセス元がブラックリストに載っていないかどうかDNSを使って問い合わせを行っているためで、PHPの時間制限が厳しいサーバの場合にはこの動作が致命的になる場合があります^*1。

別にブラックリストに載っているIPからページを閲覧されてもかまわなくて、とりあえずspamトラックバックとコメントだけが弾ければOKと割り切ってしまうのであれば、ちょっとした改造でかなり体感速度を上げることができるので、その方法を記載しておきます。

本家ではNP_SpamBayesというベイジアンフィルタでspamを防ぐプラグインが話題になっているようです。先日リリースされたばかりなのですが、積極的にバージョンアップされています。

spambayes [Wiki:NucleusCMS]

This plugin will add Spam bayesian filtering to your weblog.

ベイジアンフィルタは確率を利用して推論を行うためのアルゴリズムで、身近なところだとSpamAssassinやThunderbirdなどspam振り分けとしてはいろいろなところに搭載されています。非常に興味があるプラグインなのですが、現在のところ日本語のspamを認識することができません。

細かいBugfixが溜まってきたのでこのあたりで一度jp5をリリースしたいと思います。
バグ報告をいただきました皆様に感謝します。

ダウンロードはこちら [NP_TrackBack v2.0.3 jp5][225clicks]
※セキュリティバグをFixしたNP_TrackBack v2.0.3 jp6をご利用ください。

※使い方についてはplugins:trackback [Nucleus CMS Japan Wiki]を参照してください。
※アップグレードの際には一旦プラグインをアンインストールすることをお忘れなく。

動作確認はNucleus 3.23（UTF-8）、PHP 4.4.4環境で行っています。
動作確認報告、バグ報告はこのエントリへ、コメント・トラックバックをお願いします。

jp6まではコメント中にURLを記入するとデフォルトでspam判定されてしまう問題がありました。
この問題を修正したjp7をリリースします。そのほかにも細かなバグ修正を行っています。

ダウンロードはこちら [NP_Blacklist v0.98 jp7][176clicks]
※バグFix版のNP_Blacklist v0.98 jp8をご利用ください。

※利用方法についてはNucleusCMS Japanのplugins:np_blacklist [Nucleus CMS Japan Wiki]^*1にまとめてあります。

動作確認はNucleus 3.23（UTF-8）、PHP 4.4.4環境で行っています。
動作確認報告、バグ報告はこのエントリへ、コメント・トラックバックをお願いします。

こちらの問題は新バージョン(jp7)で解決しています。新バージョンをご利用ください。
(06/09/16 13:31追記)

藤咲さんに教えていただいて判明したのですが、現在配布しているNP_Blacklist 0.98 jp6にはURLを入れてコメントしようとすると、デフォルトで設定いている"href="というパターンにより、該当のコメントを自動的にspam扱いしてしまうというバグがあることがわかりました。

Blacklist誤爆 - 備忘録とかもろもろ

何が問題有りかというと、コメントへのhttp://～という記述をNucleusは自動的にリンク変換するんですが、その自動変換後にBlacklistが働いているらしく、spam判定されてしまうのです…。

週末を目処にこの問題に対応したjp7を用意しますが、暫定的な対処方法について記載しておきます。

Nucleusのユーザーさんでウチはチェックしているけれども、フォーラムはあまり読んでないという人はいないと思いますが、念のためここでも告知しておきます。Nucleusをお使いの方はこのプラグインをインストールすることを推奨いたします。ただし、思わぬ副作用が起こることもあると思いますので、導入の際には十分な検証が必要になります。

Nucleus(JP)フォーラム :: トピックを表示 - プラグインとコアの脆弱性を解決するプラグイン(NP_0PatchBlogid)リリースについて

コアとプラグインに関わる形でのセキュリティ脆弱性の報告があり、報告者であるkosugiatkipsさんの協力の下、暫定対策として、脆弱性を解決するプラグインをリリースすることができました。また、このプラグインで解消できない脆弱性を持つプラグインもあり、そちらに関してはプラグイン自体のアップデートが必要になります。

今回の件に関しては、いちおうMLのメンバーにも入っているんでそれなりに追っていってはいるんですが、ちょっと胃の調子が元に戻らないので作成関連ではぜんぜん役に立てませんでした。仕事もプライベートもいろいろと予定が詰まっていて時間が取れなさそうなんですが、自分のプラグインについても同様の脆弱性がないかどうかについては順次チェックを行っていく予定です。

リファラを眺めていて気づいたんですが、知らないうちに本家のWikiにNP_MetaTagのページができていました。

meta_tags [Wiki:NucleusCMS]

This plugins is listed on the Japanese Plugin Repository.

どういう経緯なのかはちょっとよくわからないのですが、とりあえず英語圏でも使ってくれている人がいるっていうことなんでしょうか。本家のWikiもそうなんですが、とりあえずNP_MetaTagについては日本語のWikiの解説を書くほうが先かも。