[wp]ContactForm7のセキュリティ強化あれこれ

仕様に沿った話。

reCAPTHAをやる

Googleが提供してるアレ。

「お問い合わせ」下層メニューの「インテグレーション」からいける。

公式の案内を読めば迷わずやっていける。

reCAPTCHA (v3) | Contact Form 7

nonceをやる

CF7に入ってる機能で、文字列を生成して検証に使うことでスパム回避をやっていくやつ。

以前は標準で有効になってたのが無効に変更された。理由はあんまり意味なくね?ってことらしい。

ともあれ、functions.phpに記述することで有効化できる。

add_filter( 'wpcf7_verify_nonce', '__return_true' );

説明はこれ。

Contact Form 7 4.9 | Contact Form 7 [日本語]

共存について

reCAPTCHAとnonceは共存できるので両方やっとけばいいんじゃないですかね。自前のチェック機構と第三者のチェック機構のダブルなんで、お得なんじゃないでしょうか。

セキュリティ面の話

HTTPヘッダーを始めとしたセキュリティ周りのことを最近やってるのだけど、素敵な機能をつけたところでチェッカーがそれを判断してくれないと未対応扱いのままなわけで。しかし素人なので、チェックされてないだけで大丈夫って話なのか、チェックを通らないことをしたところで無意味だって話なのか、内訳がさっぱりわからない。

どうなんでしょうね。

CF7は「CSRF」が関係する。ヘッダーの宣言で済む問題じゃないっぽいんですが、どうなんですかこれ。

コメント

タイトルとURLをコピーしました