Avast ソフトウェアのセキュリティツールが Contact Form 7 に関するセキュリティアラートを発しているとの報告が、ここ数時間の間に多数の Contact Form 7 ユーザーから寄せられました。具体的には Contact Form 7 のスクリプトファイルの一つにトロイの木馬が仕込まれているのを発見したと主張しているようです。
Contact Form 7 にそのようなマルウェアは存在しないことを確認しており、誤報である可能性が高いと考えています。なお、この件に関して Avast からは何ら連絡を受けておりません。
新たな情報が入り次第本投稿を更新します。
プラグインとテーマの自動更新機能が WordPress 5.5 から導入されました。プラグインとテーマを更新し常に最新バージョンに保つことは WordPress サイトを安全に管理する上で非常に重要です。Contact Form 7 プラグインに対して自動更新を有効にすることを強く推奨します。ただ同時に自動更新の使用にまつわるリスクの存在についても留意するべきでしょう。
続きを読む 自動更新に関する注意喚起Contact Form 7 の開発リポジトリを GitHub に移行しました。GitHub のリポジトリでは以下のことが可能になります:
リリースリポジトリはこれまでと同様に WordPress.org プラグインディレクトリの SVN ベースのシステムに置かれます。
Microsoft Excel や OpenOffice Calc などのスプレッドシートアプリケーションに影響を及ぼす脆弱性が最初に報告されてから5年以上が経過しますが、残念ながら未だに解決されていないようです。
これは WordPress やそのプラグインの脆弱性ではありませんが、私たちの製品ユーザーの多くがこれらの脆弱性のリスクにさらされていることは疑いなく、また考えられる損害は非常に大きなものであるので、この問題に関する注意喚起のためにここに投稿するべきだと判断しました。
続きを読む スプレッドシートの脆弱性に関する注意喚起Contact Form 7 は Akismet、reCAPTCHA、コメントブラックリストなど、多種多様な対スパムモジュールを用いてフォームをスパマーの魔の手から守ります。これらのモジュールは大変役に立ちますが、送信されたメッセージがどのモジュールによってブロックされたか、またどういった理由でブロックされたか、どうすれば知ることができるでしょうか。
追加設定 “on_sent_ok” はフォーム送信が完了しメールの送信にも成功した時に実行される JavaScript コードを割り当てるために使用されるものです。ウェブアナリティクスサービスでフォーム送信をトラッキングしたり、フォーム送信後に異なるページにリダイレクトさせる用途でよく使われます。
“on_sent_ok” とその兄弟設定 “on_submit” は非推奨となっており、2017年末までに廃止される予定です。これらの設定を使うことが即危険だということではないですが、万が一このプラグインやあるいはあなたのサイトの他の部分に脆弱性があった場合にリスクを増大させる可能性があります。より安全な代替方法に置き換えるべきです。
続報: on_sent_ok と on_submit は Contact Form 7 5.0 で正式に削除されました。
コンタクトフォーム編集画面の「メッセージ」タブにて、Contact Form 7 がさまざまな状況に表示するのに使うメッセージを編集できるのはご存じかと思います。このメッセージ内では平文のテキストのみ使用可能です。HTML のタグや実体参照は使えません。
メッセージの中での HTML の使用を認めるのはセキュリティ上好ましくないので、Contact Form 7 4.4 以降ではメッセージを表示する際に強制的に HTML を取り除きます。「メッセージ」タブに HTML が使われていないことを確認しましょう。
続きを読む HTML はメッセージでは使えません現在サポートフォーラム上で、ある似通ったパターンのトラブル報告が見られています。その共通した内容は:
これはボランティア翻訳者に向けたお知らせです。
みなさんの多大な努力により、Contact Form 7 は現在64もの言語で利用可能になっています。これは素晴らしいことです。みなさんの貢献に心から感謝しています。
もうご存じでしょうが、WordPress と関連プロジェクトのための翻訳基盤として translate.wordpress.org (GlotPress) が導入されています。昨年、プラグインの翻訳のサポートもそこに加えられました。
translate.wordpress.org での翻訳には有利な点が多くあります。たとえば翻訳を協調的に行うことで負担を分担することが可能になります。
私たちは、translate.wordpress.org へ翻訳を移行させるつもりです。
今後、翻訳を更新する時には translate.wordpress.org で行ってください。translate.wordpress.org の詳細に関しては、翻訳者ハンドブック を参照してください。また、初心者翻訳者のための解説ページも更新しました。
Contact Form 7 4.4 は来月リリースされる予定です。そのリリースの直前に、私は翻訳の状態を確認します。そしてその時点で100%翻訳が終わっている言語があれば、それに対応する言語ファイル (.mo) をプラグインのパッケージから削除し、translate.wordpress.org 上の翻訳が優先的に使われるようにします。
Contact Form 7 の便利な使い方や開発中の新機能に関する情報をお届けするメールマガジンの有料配信を始めます。月に1回、毎月15日前後に配信したいと考えていますので初回の配信は12月15日頃になる予定です。関心をお持ちの方はこちらからご登録ください。実験的な取り組みですのでいつまで続けるか保証はできませんが、最低でも1年間は続けたいと思っています。当面は日本語のみでの提供になります。