今回、ほぼすべてのプラグインのバージョンアップをおこないました。
- Announce from the Dashboard
- Archive Posts Sort Customize
- Screen Options and Help Show Customize
- Media Insert from Themes Dir
- CUSTOM OPTIONS PLUS POST IN
- Post Lists View Custom
- Js Css Include Manager
- WP Admin UI Customize
更新するまでの経緯
とあるアメリカ?の方からWordPress.orgのサポートフォーラム経由で「あなたにプラグインのバージョンアップ版をあげます。」と、今までにない、不思議な問い合わせ?プレゼント?がありました。
怪しいな。 😈
とりあえず、そんな気持ちはおいといて。バージョンアップ版を確認してみることにしました。
確認してみると、確かに今のプラグインに導入したほうが機能性は良くなりそうでした。
なんていい方なんでしょう! 🙂
すぐに導入させてもらいました。
すると、「あなたのプラグインにNoncesを導入したほうがイイヨ!」とご返事がありました。
Nonces? 全く聞いたことの無い言葉でした。何かの注意表示のこと?
プラグインの使い方について、注意を表示したほうがいいという事かな??
う~ん。。分かりません。 😕
こういう時は素直に「分かりません」と言う事にしています。 返事いただけたら嬉しいですが。 🙁
で、その後返事が来ました。 😮
そのNoncesはというと、
http://codex.wordpress.org/Glossary#Nonce
http://markjaquith.wordpress.com/2006/06/02/wordpress-203-nonces/
セキュリティに関する事のようでした。(正直、長文の英語のほうはあまり理解できていません。英語力不足…。 😆 )
今回、問い合わせのあった方の意見として「あなたのプラグインにXSS攻撃から保護する仕組みを導入したほうが良い」という意見だと解釈しました。
WordPressってそんな仕組みがあったんですね。
というか、私のプラグイン、XSSから保護されていなかったんですね。。これはすぐに対応しなきゃ。。 😳
やったこと
今回はセキュリティに関する事でしたので、ほぼすべてのプラグインを更新しました。
プラグイン設定フォーム内に
wp_nonce_field()
を追記。
フォームデータの更新直前に、
check_admin_referer()
にて、wp_nonce_field()にて設定されたワンタイムトークンのチェック。
あとはAjax経由でデータを取得しているプラグインには、Ajaxでデータを取得する際にワンタイムトークンのチェック確認を入れました。
既に利用されている方は出来るだけ最新バージョンを使用してください。
コメントを残す