Yuriko.Net 個別記事

2008-04-25
晴れ

Ktai Entry は wp-mail.php 起動を対策ずみ

ゆりこ による 19:32:30 の投稿
カテゴリー: WordPressハック
タグ: ,

MobG 作者の norida さんが「wp-mail 問題」を提起されています。wp-mail.php は悪意ある他人にとって絶好の攻撃対象であるという内容です。しかし、拙作のメール投稿プラグイン Ktai Entry はすでに対策盛り込みずみで安全です。wp-mail.php を起動しようとしても、403 Forbidden エラーとなる仕掛けが盛り込んであります。別に wp-mail.php を削除する必要はありません。

とはいえ、WordPress 標準の wp-mail.php は作りがいまいちなのは同感ですね。デフォルトでマルチバイトおよびマルチパートなメールに対応してもいいのに。って trac にパッチ投げればいい??

[追記] Ktai Entry の開発時からこの問題には気付いていました。そのため、「wp-mail.php の起動を阻止する」仕掛けを盛り込んだわけです。実のところ、メールサーバーの設定を、WordPress の既存フィールドを使うか (wp-mail.php を起動されると危険)、独自設定フィールドを使うか (wp-mail.php 攻撃に対して安全) 悩みました。セキュリティー的には後者なのですが、「独自設定フィールドを使うと冗長になる」「wp-shot は WordPress の既存フィールドを使っていたので、その後継プラグインを目指すなら、同じ設定フィールドを使った方がよい」と考えたのです。wp-mail.php へのアクセスをエラーにする仕掛けが比較的うまく動いたので、それなりに安全だと考えています。この「仕掛け」が動かないのは、環境変数 REQUEST_URI が設定されないウェブサーバーの場合ですが、WordPress コア自体が REQUEST_URI の存在を仮定しているので、問題ないと判断しています。

トラックバック・コメント »

  1. 有些脑残你就算是给他耐心解释科学道理他也是一根筋听不进,正所谓人蠢没药医。
    宜宾市秀江园林有限公司 http://www.ybxjyL.com

  2. 中国的航母根本无用武之地,这跟我们的军政领导有关,你敢到美国领海去军演吗?人家航母开到我们领海也最多放几个屁,中国造航母有啥用????
    福州市名人视觉形象设计职业培训学校 http://www.mrssjy.com

  3. 女人如果没有找到一个关心自己爱护自己的男人就是最大的悲哀,真想骂一句让那些对自己老婆不好的男人都去死吧
    网通传奇 http://www.3000ok.es

  4. 明白这种感受,我一个月子都是在郁闷中度过的
    重庆网站建设 http://www.cqwzjs.com.cn

  5. 应该吵的内容是 凭什么我家里生的是女娃!然后…
    吴桥新闻网 http://www.wuqiao.net.cn/

上に戻る

※スパム対策プラグインの影響により、すぐにトラックバックが反映されない場合があります。お手数ですが、半日ほど待ってみてください。

コメント投稿

※発言の責任を明確にするため「名無し」「通りすがり」「匿名希望」等の匿名は不可とします。捨てハンドルでもいいので必ず名乗ってください。
XHTML (使えるタグ): <a href="" title="" ktai=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <img localsrc="" alt=""> .
※スパム対策プラグインの影響により、すぐにコメント内容が表示されない場合があります。お手数ですが、半日ほど待ってみてください。

上に戻る