ホストヘッダーインジェクションの修正 | Jeff Starr
ホストヘッダーインジェクションの修正

ホストヘッダーインジェクションの修正 | Jeff Starr

説明

WP電子メール通知のカスタムヘッダーを有効にします
また、WP <5.5の「設定して忘れる」セキュリティ修正

重要

WordPress 5.5以降、チケット#25239で報告されたホストヘッダーのセキュリティ問題を修正するためにこのプラグインは不要になり、最終的に修正され、この投稿でWordPress 5.5 Beta4 記載されています。WordPress開発者に感謝します!

このプラグインはまだ役に立ちますか?

はい。すべてのWP通知メールの「From」、「Name」、および「Return-Path」ヘッダーを選択できます。また、5.5未満のバージョンのWordPressの場合、このプラグインはホストヘッダーインジェクションのセキュリティ問題を引き続き修正します。

特徴

この単純なプラグインは3つのことを行います。

  1. WP通知のカスタムFrom、Name、およびReturn-Pathを設定します
  2. WordPressバージョン5.5未満のセキュリティの脆弱性を修正します
  3. 無効な電子メールアドレスが生成される可能性があるバグを修正します(WordPressバージョン<5.5)

次のオプションから選択します。

  • WordPressのデフォルトを使用します(WP <5.5の場合は安全ではありません)
  • WP一般設定から「メールアドレス」を使用する
  • カスタムの名前とアドレスを使用する

さらに、指定されたFromアドレスをReturn-Pathヘッダーとして使用するオプションがあります。

どうして?

このプラグインによって修正されたセキュリティの問題は、WordPressバージョン2.3に戻ってから知られています。修正についてはいくつかの話がありましたが、何も実装されていません。この問題はすべてのサイトに影響するわけではありませんが、私自身のプロジェクトの一部を含め、かなりの割合のサイトに影響します。そこで、ハッキングされたくないので、独自のソリューションを作成することにしました。うまくいけば、この問題はWordPressの将来のバージョンで修正され、このプラグインは不要になります。

ボーナスとして、明示的な差出人アドレスを設定すると、次の条件下で無効な電子メールアドレスが生成されるという長年のバグが解決されます。

  • 「差出人」アドレスが設定されていません。
  • そして、$_SERVER['SERVER_NAME']は空です

そのため、「差出人」アドレスを明示的に設定することで、このバグの発生を防ぎます。

保安上の問題

このプラグインによって対処されるセキュリティの問題は何ですか?以下は簡単な要約です。詳細については、次のセクションでリンクされているリソースを確認してください。

  • WordPressは$_SERVER['SERVER_NAME']、電子メール通知の「From」ヘッダーを設定するために使用します
  • これには、パスワードのリセットやユーザー登録などの機密性の高い電子メール通知が含まれます
  • 場合によっては、攻撃者が「From」ヘッダーを変更して電子メールを傍受する可能性があります
  • 傍受された電子メールを使用して、攻撃者はあなたのサイトにアクセスし、大混乱を引き起こす可能性があります

詳細情報

このセキュリティの脆弱性はよく知られており、長い間存在していました。詳細については、次の記事をご覧ください。

プライバシー

このプラグインは、ユーザーデータを収集または保存しません。Cookieを設定せず、サードパーティの場所に接続しません。したがって、このプラグインはユーザーのプライバシーにまったく影響を与えません。

このプラグインの開発をサポートする

私はWordPressコミュニティを愛して、この無料のプラグインを開発および保守しています。サポートを示すために、寄付をするか、私の本の1つを購入することができます。

および/または私のプレミアムWordPressプラグインの1つを購入します:

  • BBQ Pro –超高速のWordPressファイアウォール
  • Blackhole Pro –不良ボットを自動的にブロックします
  • Banhammer Pro –トラフィックを監視し、悪者を禁止します
  • GA Google Analytics Pro –WordPressをGoogleAnalyticsに接続します
  • USP Pro –無制限のフロントエンドフォーム

リンク、ツイート、いいねもありがたいです。ありがとうございました!🙂

インストール

HHIFのインストール

  1. プラグインをブログにアップロードしてアクティブ化します
  2. プラグイン設定にアクセスしてオプションを構成します

WPプラグインのインストールに関する詳細情報

アンインストール

HHIFはそれ自体の後でクリーンアップします。プラグインがプラグイン画面からアンインストールされると、すべてのプラグイン設定がデータベースから削除されます。

デフォルトオプションに戻す

デフォルトのオプションを復元するには、[WPプラグイン]画面からプラグインをアンインストールしてから、再インストールします。

プラグインが好きですか?

ホストヘッダーインジェクションの修正が気に入​​った場合は、5つ星の評価を付けてください。これは、開発とサポートを強力に維持するのに役立ちます。ありがとうございました!

プラグインの作者

Jeff Starr

プラグインの公式ウェブサイトアドレス

https://wordpress.org/plugins/host-header-injection-fix/
ホストヘッダーインジェクションの修正プラグインの使用で問題が発生した場合は、以下にコメントしてください。問題の解決に最善を尽くします

コメントを残す