WordPressプラグイン診断をはじめます。今まではWordPressをインストールした状態での診断を行っていました。

WordPressセキュリティを考える会などで、プラグイン単体の安全性に興味を持つ人が結構いそうだ、という理由ではじめました。

診断フロー

以下のような流れで診断します。

発注者がプラグインを指定する → コードを精査する → プラグインのコードにセキュリティ上問題があるかどうかを報告する

報告は、「脆弱性と認められるもの」「脆弱性ではないが、危険な仕様」の2分類です。

「脆弱性ではないが、危険な仕様」というのは、WordPress本体の例でいえば
「パスワード変更時に、元のパスワードを入力しなくてよい」
のようなものです。元のパスワードを入力しなくてもパスワード変更できてしまうと、
「端末を共有している場合に、共有者にパスワードを変えられてしまう」
「(WPまたはプラグインに脆弱性があり、かつ)罠リンクをクリックしたときに、パスワードを変えられてしまう」
といった可能性があります。

「脆弱性と認められるもの」については、IPA(情報処理推進機構)等を介して作者に報告し、改善を促します。この診断サービスを利用する人が増えると、WordPressプラグインがどんどん安全になっていく、という皆にメリットのある仕組みです。

実際のプラグインの診断結果については、WordPress セキュリティニュース等で共有していく予定です。

キャンペーン1

WordCamp開催記念として、2014年10月15日まで、プラグイン診断の基本料金を20％オフの7,200円(+消費税)にします。

キャンペーン2

WordPress セキュリティニュース購読者の方には、購読月数に応じた割引を行います。2014年10月31日まで、お一人様1回のみです。

キャンペーン1とキャンペーン2は併用可能です。もっとも割引が多い方だと、なんと600円(+消費税)でプラグイン診断が受けられます。