サポート » プラグイン » contact form7 クロスサイトスクリプティング対策って…?

  • クロスサイトスクリプティングの対策について、どなたかご教授いただけませんでしょうか。

    利用しているcontactform7がクロスサイトスクリプティングの対策がなされているか
    確認したいのですが、これといった明確な情報を見つけることができません。

    contact form7のバージョンは4.3.1 です。

    参考URLや情報などお持ちの方いらっしゃいましたら、ご共有いただけますと幸いです。
    どうぞよろしくお願いいたします。

5件の返信を表示中 - 1 - 5件目 (全5件中)
  • モデレーター Takayuki Miyoshi

    (@takayukister)

    Contact Form 7 のことでよろしいでしょうか? (もし “contact form7” なるものが別にあるのなら私にはわかりません)

    質問が大まかすぎるので「している」としか答えようがないのですが、具体的にどのようなクロスサイトスクリプティング対策が必要だと認識されていますか?

    Contact Form 7 4.3.1 を使われているということはまる1年間プラグインのアップデートをしてないですね。セキュリティのことが気になるのでしたらまずはそういうところから見直されてはいかがでしょうか。

    早速のご回答、ありがとうございます。

    Contact Form 7のことで間違いございません。

    以前制作を担当したサイトの担当者より上記のような質問があったのですが、
    恥ずかしながら当方もシステム面での知識が乏しく、こちらで質問させていただきました。

    フォームに入力した個人情報がそのままメールの本文に記載された状態でメール送信がなされるため、
    個人情報の抜き出しなどの対策が必要と考えております。。

    アップデートについても、検討するようお伝えしたいと思います。

    それは、クロスサイトスクリプティング対策 だけではダメでしょうね。

    内容から読み解くと
    1. フォーム通信の暗号化
    2. WordPressの管理ダッシュボードの暗号化
    3. メール送信の暗号化
    4. 利用するシステムを最新にする
    WordPress, OS(サーバー), 各種プラグイン等

    はざっと一般的なところかと思います。
    これを全部フォーラムで説明するのは難しいので、やりたいことを実現してくれる誰かに依頼するのが安全かと思います。

    • この返信は3年、 6ヶ月前にkimipoohが編集しました。

    ご丁寧に、回答ありがとうございます。

    重ね重ねの質問で申し訳ありません、
    1、3に関しては、SSLを入れることで補えているという認識なのですが、
    それだけでは不十分と考えた方がよろしいでしょうか?

    >やりたいことを実現してくれる誰かに依頼するのが安全かと思います。
    仰る通りです。状況を整理してその辺りも考えてみます。ありがとうございます。

    1, 2 は WordPressに対して、SSLによる暗号化導入で問題ないです。
    3 は、WordPressではなく、利用するメールシステムの問題になります。

    たとえば、
    1. WordPress の Contact Form 7のデータをメール送信
    2. 送信サーバー → 送信先へ送付

    という流れになりますが、送信サーバ自体をたとえば Gmailの SMTPサーバーに指定しているなら
    Gmailに届くまで SSL 暗号化されているので問題はないということになります。
    そうではなくて、WordPress のおいているサーバーの SMTPサーバーを利用して、hogehogeなメールアドレス宛に送付するなら
    そのSMTPサーバーが SSL対応していて、かつ相手先の hogehogeのメールアドレスの提供元サーバーもSSL対応している必要があります。

    他の方策としては、メールでの送付は限定的にしておいて、Contact form DB プラグインなどで WordPress 内で、Contact Form 7 のデータをダウンロードするという手もあります。

    いずれにしても、WordPress 自体やプラグインが古くて脆弱性があると元も子もありませんので、これが出来る限り早めに最新になるようにしておく必要はあると思います。またセキュリティ系プラグインを導入するなどして、WordPressへの攻撃を緩和するなどの対策も必要かなと思います。

5件の返信を表示中 - 1 - 5件目 (全5件中)
  • トピック「contact form7 クロスサイトスクリプティング対策って…?」には新たに返信することはできません。