WordPress セキュリティを考える会、SQLインジェクション、CSRF
•
3 gefällt mir•1,001 views
WordPress セキュリティを考える会 第二回 at コワーキングスペース茅場町 Co-Edo (東京都中央区新川1-3-4 PAビル5F) SQLインジェクション、CSRFには、WordPress 側で対策できるようにヘルパーが用意されている。 しかし、ヘルパーを使用していないプラグインもある。また、WordPress 公式ディレクトリにあるプラグインは、セキュリティ面でのチェックはほとんどなく、ヘルパーを使用していないプラグインでも公式ディレクトリに登録されている。 もし、プラグインを使うのであれば、プラグインを使う人が、自身の責任において、取捨選択する。 プラグインに関する相談は http://www.rescuework.jp/service.html
Empfohlen
Empfohlen
Weitere ähnliche Inhalte
Kürzlich hochgeladen
Kürzlich hochgeladen (8)
Empfohlen
Empfohlen (20)
WordPress セキュリティを考える会、SQLインジェクション、CSRF
- 2. 自己紹介 WordPress 日本語化チーム フォーラムの常連回答者 Novius OS のコントリビュータ
- 5. 公式ディレクトリのプラグイン WordPress の公式ディレクトリの要件 http://wordpress.org/plugins/about/ ● 画像等も含めて GPL 互換 ● 法律違反でない ● Subversion ● (デフォルトでは)宣伝リンクを表示しない など
- 8. HTMLでは <b> => 太字にする命令 b => テキスト「b」 混同すると、意図しない表示になる
- 9. SQLでは delete => 削除する命令 ‘delete’ => テキスト「delete」 混同すると、意図しない操作をする
- 10. WP の標準の作法1 esc_sql $name = esc_sql( $name ); $wpdb->get_var( "SELECT something FROM table WHERE foo = '$name'" );
- 11. WP の標準の作法2 wpdb::prepare $wpdb->prepare( " SELECT sum(meta_value) FROM $wpdb->postmeta WHERE meta_key = %s ", $meta_key )
- 12. 標準の作法に従っていないプラグイン 従っていないプラグインの例 ● WordPress HTTPS 3.3.6 ● Yet Another Related Posts Plugin 4.0.7 従っていなくても、 公式ディレクトリに登録できる
- 14. トークンを発行し、チェックする
- 15. WP の標準の作法 Settings API 管理画面のフォーム作成ヘルパー CSRF対策用のトークンを自動生成 wp-includes/plugin.php setting_fields
- 16. 標準の作法に従っていないプラグイン 従っていないプラグインの例 ● Sharebar 1.2.5 ● Broken Link Checker 1.8.3
- 17. 標準でない場合 プラグイン作者が独自に実装する必要がある きちんと実装していれば OK だが … WordPress が用意している物を使わずに、 独自実装する意義はあるのか? => 古くからあるプラグインは仕方ないかも
- 19. プラグインと責任の所在 「プラグインを導入する人が責任を持つ 自分でチェックして安心できる物を使う 自分がわかなければ、分かる人にお願いする」 by WordCamp Tokyo 2013 の三好さん http://www.youtube.com/watch? v=Ez4J7PVyRwc 34:10ぐらいから