本当は怖いWordPress 2016」をキンドルで出版しました。2013年後半からのブログ記事をまとめたものです。記事本文は執筆時点でのWordPressバージョンですが、各記事の末尾に「ふりかえり」コメントを追加しています。

  • remove_action('wp_head', 'wp_generator'); では WordPress バージョンを隠し切れない
  • wpdb prepare 問題が WordPress 3.9 で解決
  • ユーザー名とパスワードが分からない場合WordPressにログインできない?
  • ログインURLをwp-login.phpから変更しても、URL/loginからリダイレクトされる
  • wp_localize_scriptの生成するJSONはHTMLエスケープされない
  • WordPressのバックアップを実行するスクリプト
  • hash_equalsによるハッシュ値比較の速度比較 タイミング攻撃対策
  • php.iniで無効化できる関数。evalは言語構造なので無効化できない
  • プラグイン開発の継続性。元の作者が更新しない場合、有志がメンテナンスを継続可能。
  • jQuery二重読み込みはWordPressの処理速度が遅い一因
  • WordPress 管理画面のアクセス制限で防げない不正操作がある

の11本です。PHPセキュリティウィザード論文「警告メッセージを改善することの効果 - WordPress のwpdb::prepareメソッドにおける実践」の元となった、「wpdb prepare 問題が WordPress 3.9 で解決」も収録しています。

2013年前半までのブログ記事は、「本当は怖いWordPress」として出版しています。記事タイトルは下記の通りです。

  • プリペアドステートメント
  • クロスサイトリクエストフォージェリと Setting API
  • カスタムフィールド出力のエスケープ
  • echo $post->post_content; を避ける3つの理由
  • MySQL バックアップデータからの WordPress 復旧方法
  • WordPress の権限周りで wp-config.php で設定可能なセキュリティ向上策
  • get_template_part とディレクトリトラバーサル
  • クリックジャック
  • ログイン失敗時のエラーメッセージ
  • WordPress のパスワード強度チェック
  • WordPress のユーザー権限


※キンドル出版に伴い、ブログでの各記事の公開は終了しております。

記事公開日: 2016年07月21日
#

PHP技術者認定試験の初級~上級認定者が投票して認定するPHP... 詳細はこちら

WordFes Nagoya 2015。WordCamp と同等のガイドラインが守ら... 詳細はこちら

#

WordPress5.2以降でリカバリーモード機能が利用できます。致... 詳細はこちら