[wp]ContactForm7のセキュリティ強化あれこれ

仕様に沿った話。

reCAPTHAをやる

Googleが提供してるアレ。

「お問い合わせ」下層メニューの「インテグレーション」からいける。

公式の案内を読めば迷わずやっていける。

reCAPTCHA (v3)
reCAPTCHA protects you against spam and other types of automated abuse. With Contact Form 7’s reCAPTCHA integration module, you can block abusive form submissio...

nonceをやる

CF7に入ってる機能で、文字列を生成して検証に使うことでスパム回避をやっていくやつ。

以前は標準で有効になってたのが無効に変更された。理由はあんまり意味なくね?ってことらしい。

ともあれ、functions.phpに記述することで有効化できる。

add_filter( 'wpcf7_verify_nonce', '__return_true' );

説明はこれ。

Contact Form 7 4.9 | Contact Form 7 [日本語]

共存について

reCAPTCHAとnonceは共存できるので両方やっとけばいいんじゃないですかね。自前のチェック機構と第三者のチェック機構のダブルなんで、お得なんじゃないでしょうか。

セキュリティ面の話

HTTPヘッダーを始めとしたセキュリティ周りのことを最近やってるのだけど、素敵な機能をつけたところでチェッカーがそれを判断してくれないと未対応扱いのままなわけで。しかし素人なので、チェックされてないだけで大丈夫って話なのか、チェックを通らないことをしたところで無意味だって話なのか、内訳がさっぱりわからない。

どうなんでしょうね。

CF7は「CSRF」が関係する。ヘッダーの宣言で済む問題じゃないっぽいんですが、どうなんですかこれ。

コメント

タイトルとURLをコピーしました