WordPressプラグイン[User Submitted Posts]がnonceを使っていないのをなんとかする

WordPressのプラグインでUser Submitted Postsという、外部からの投稿を可能とする便利なプラグインがあります。
画像アップロードも対応し設置も簡単なのですが、nonceを使用していないというセキュリティ上の問題があります。

サポートフォーラムにもあがっているけどプラグイン自体のバージョンアップはされていないみたい

プラグインファイルを編集し、wp_verify_nonceを追加します。

views/submission-form.php内の9行目あたり

user-submitted-posts.phpの266行目あたり

AD

Share

Commentsコメント

メールアドレスは公開されません。コメントは必ずご入力ください。

HTMLタグは使用できません。ソースコードを書き込みたい場合はCodetterGistCodePenなどのご利用が便利です。

shingo さんより
貴重な情報ありがとうございます。

余計なお世話かもしれませんが、念のため下記細かいバグを指摘させていただきます。

>user-submitted-posts.phpの266行目あたり
で追加されているボックスの8行目、
$newPost = wp_insert_post($postData)
において、最後に;が抜けております。

この記事のお蔭様で大変助かりました。ありがとうございます。
shingo さんより
追伸ですが、最初のBOXも、4行目の最後に?が抜けてました。あと余分なスペースも。
---


//以下の2行をformタグ内で追加する

<input type="hidden" name="_wpnonce" value="" />
管理人 さんより
shingo さま
ご指摘ありがとうございます。
本文のコードを修正いたしました。