2008年4月25日の投稿

2008-04-25
晴れ

Ktai Entry は wp-mail.php 起動を対策ずみ

ゆりこ による 19:32:30 の投稿
カテゴリー: WordPressハック
タグ: ,

MobG 作者の norida さんが「wp-mail 問題」を提起されています。wp-mail.php は悪意ある他人にとって絶好の攻撃対象であるという内容です。しかし、拙作のメール投稿プラグイン Ktai Entry はすでに対策盛り込みずみで安全です。wp-mail.php を起動しようとしても、403 Forbidden エラーとなる仕掛けが盛り込んであります。別に wp-mail.php を削除する必要はありません。

とはいえ、WordPress 標準の wp-mail.php は作りがいまいちなのは同感ですね。デフォルトでマルチバイトおよびマルチパートなメールに対応してもいいのに。って trac にパッチ投げればいい??

[追記] Ktai Entry の開発時からこの問題には気付いていました。そのため、「wp-mail.php の起動を阻止する」仕掛けを盛り込んだわけです。実のところ、メールサーバーの設定を、WordPress の既存フィールドを使うか (wp-mail.php を起動されると危険)、独自設定フィールドを使うか (wp-mail.php 攻撃に対して安全) 悩みました。セキュリティー的には後者なのですが、「独自設定フィールドを使うと冗長になる」「wp-shot は WordPress の既存フィールドを使っていたので、その後継プラグインを目指すなら、同じ設定フィールドを使った方がよい」と考えたのです。wp-mail.php へのアクセスをエラーにする仕掛けが比較的うまく動いたので、それなりに安全だと考えています。この「仕掛け」が動かないのは、環境変数 REQUEST_URI が設定されないウェブサーバーの場合ですが、WordPress コア自体が REQUEST_URI の存在を仮定しているので、問題ないと判断しています。