WordPress セキュリティを考える会第二回を開催しました。

今回は、プラグインとプラグイン作成時のお作法について取り上げました。SQLインジェクションには wpdb::prepare、CSRF には settings API、が用意されています。しかしながら、WordPress が用意しているお作法に従っていないプラグインもあります。

プラグインを使う場合は、導入者の責任でプラグインを検証する必要があります。「WordPress が用意しているお作法に従っているかどうか」をまず調べましょう。もし、WordPress が用意しているお作法に従っていないプラグインを使う場合は、検証作業をいっそう入念に行う必要が有ります。「プラグインのコードは問題があるが、機能面では有益なので、どうしても使いたい」という場合は、コードを修正して作者に送るのが最適だと思います。どこどこのブログで紹介されていたので何も調べずに使う、ということは絶対避けましょう。

後半のディスカッションは、第一回よりも人数が少なかったせいもあるのでしょうが、かなり踏み込んだ内容になりました。スキャニングツールもいくつか紹介させていただきました。

WordPress セキュリティを考える会第三回は、10月26日(土)、株式会社ニューキャスト セミナールーム(愛知県名古屋市東区葵3-22-8 ニューザックビル6F)で開催します。ショッピングカートプラグイン welcart を題材に取り上げたいと思います。