何か導入したいのですが不安点として、入力フォーム欄にプログラムの不具合を突く文字列を入れて送信されると色々とトラブル・問題が出ると思うので導入を心配しております。
入力フォームにはXSS、CSRFなど色々と問題があるそうですね。
どのプラグインもオープンソースですから、ソースを見て精査することができます。よく知られた攻撃手法に対しては比較的簡単に検出できますが、複雑な手法になるとセキュリティー専門家でも発見することは困難です。
少なくとも、「WordPress 2.8 以降に対応」をうたっているような、頻繁に更新が行なわれているのは比較的安全と言えます。ここ最近は安全なプラグインを簡単に書ける仕組みがととのっているので、それに従っている可能性が高いためです。
1年以上更新されていないものは、「十分に枯れている」場合もありますが、「単に古いだけ」の場合もあるので、避けた方が無難でしょう。古いプラグインの場合、古い WordPress に対応せざるを得ず、その場合、WordPress が持つセキュリティー機構を使えないため、安全性が少し落ちます。WordPress 2.3 以前でも動くものはちょっと微妙だと言えます。(内部的に、2.3 以前と 2.5 以降で完全にコードを分けている場合もありますが)
利用を検討しているプラグインがあれば、フォーラム回答者がよってたかって個別にコード検査することもできます。
XSS に対しては、echo とかで画面出力している部分を確認すればいいですし、CSRF に対しては wp_nonce() を正しく使っているかを確認すればよいです (使ってないなら CSRF を受ける可能性あり)。
SQL インジェクションに対しては、$wpdb->prepare を使っているかどうかを確認します。使ってない場合は危険な可能性があります (しかし、使っていてもヤバい場合があります)。
何と素晴らしいご回答でしょうか・・・感謝いたします。
> ここ最近は安全なプラグインを簡単に書ける仕組みがととのっているので、それに従っている可能性が高いためです。
なるほど、なるほど。仕組みが整ってきているというわけですか。これはウレシいな。
echo、wp_nonce()、$wpdb->prepare
などのことはノンプログラマなのでわかりませんでしたがこれをきっかけにしたいです。
ありがとうございました。
やはりContact Formになるかなぁ・・・
