東京都中央区新川1-3-4 PAビル5F
wpdb::prepare とSQLインジェクションについて
WP3.5で、使い方が間違っている場合に「Warning: Missing argument 2 for wpdb::prepare()」を出すようになるが、ダミー引数で回避されてしまう
「WordPressのオプションテーブルとそのデータの更新」について
WordPressは、データベースに重要なデータを保存している。たとえば「サイトのアドレス」「新規登録ユーザーの権限」等。これらのオプション項目を更新する関数にupdate_optionがあるが、このupdate_optionは、現在ログインしているユーザーが管理者権限を持つかどうかをチェックせずに値を更新する。
ユーザー権限をチェックしないため、「update_optionをテーマのindex.phpファイルに記述して、(管理者でないユーザーが)トップページにアクセスする」という方法でも更新できる。
資料はスライドシェアWordPressセキュリティを考える会第5回
参加者で議論。
過去の議論例「SSL証明書の意義について」「脆弱性スキャニングツールについて。wp-scan, rips等」
WordPress の更新にプラグインが追従しなかった場合の対処方法まとめ
All in SEO プラグインの有料版
自動アップデートとRC版(リリース候補)
など、メルマガ「 WordPress セキュリティニュース」で紹介した内容を、参加者の希望により、後半のディスカッションで取り上げるかもしれない。
水野 史土(みずの・ふみと)
レスキューワーク株式会社代表取締役。
PHP製オープンソースソフトウェアを用いたウェブサイト構築/サポート/診断を行っている。WordPress、FuelPHP、Novius OSなどのコミュニティで活動し、コアへのコード寄贈、日本語対応作業、ドキュメント翻訳、各種アドオン作成をしている。著書に徹底攻略 PHP5 技術者認定 [上級] 試験問題集 [PJ0-200]対応(共著)
WordPressは、オープンソースの CMS (コンテンツ管理システム) で、自由度/拡張性が高く、様々なウェブサイトを構築する事ができるため、世界で人気があります。 しかしその一方で、適切に使いこなすには、利用者に要求される知識や技術が多いです。 WordPressセキュリティを考える会では、 前半: 主催者によるプレゼン 後半: 参加者同士で議論する という形式で、WordPress...
メンバーになる