2012
05/01

WordPressプラグイン[User Submitted Posts]がnonceを使っていないのをなんとかする

WordPressのプラグインでUser Submitted Postsという、外部からの投稿を可能とする便利なプラグインがあります。
画像アップロードも対応し設置も簡単なのですが、nonceを使用していないというセキュリティ上の問題があります。

サポートフォーラムにもあがっているけどプラグイン自体のバージョンアップはされていないみたい

プラグインファイルを編集し、wp_verify_nonceを追加します。

views/submission-form.php内の9行目あたり

user-submitted-posts.phpの266行目あたり

ADs

Post Comments

メールアドレスが公開されることはありません。

Comments

貴重な情報ありがとうございます。

余計なお世話かもしれませんが、念のため下記細かいバグを指摘させていただきます。

>user-submitted-posts.phpの266行目あたり
で追加されているボックスの8行目、
$newPost = wp_insert_post($postData)
において、最後に;が抜けております。

この記事のお蔭様で大変助かりました。ありがとうございます。

  • shingo
  • 2013年10月20日 3:47 AM

追伸ですが、最初のBOXも、4行目の最後に?が抜けてました。あと余分なスペースも。

//以下の2行をformタグ内で追加する

<input type="hidden" name="_wpnonce" value="" />

  • shingo
  • 2013年10月20日 6:00 AM

shingo さま
ご指摘ありがとうございます。
本文のコードを修正いたしました。