[WP]WordCampKansaiまとめ２：安全なコードの書き方

＊はじめに

当日諸事あって二日酔い状態で参加していました。
その関係でちょいちょいメモが取れていない箇所や記憶違いがあると思います。
「そんなこと言ってない！」「重要なポイントが抜けている！」などがありましたら、コメント欄やFacebookなどで躊躇無く突っ込みを入れてもらえると非常に助かりますm(_ _)m

WordPressでサイトを構築する際の注意点と安全なコードの書き方

登壇者：森川 琢磨さん

Learn only four things

1. セキュリティは難しい
2. この領域に踏み込んではいけない
3. 知識と技術を身につけよう
4. 仲良くなろう

セキュリティは難しい

codexデータ検証 – WordPress Codex 日本語版の内容がわかりますか？
「変に手を出さない」「わかる人・理解できる人に相談・お願いする」のが最善策。

この領域に踏み込んではいけない

「どこに踏み込んでは行けないのか？」
キーワードは：echo
テーマ制作・スクリプトコピペ・プラグイン・functions編集時など、随所で登場する。
もしechoが出てきたら「要注意」。

公式テーマを見ると、echoがあるところにはサニタイズ（＝データの無害化）がある。
→つまりechoには「サニタイズが必要」

テンプレートタグの使用が勧められる理由の１つでもある。

処理によっては不要な場合もあるが、echoには要注意。

４つの質問

　
1. その処理にサニタイズが必要かわかりますか？

　

2. どのようにサニタイズを行えばいいかわかりますか？

　

3. どのバリデーションを実行すべきかわかりますか？

　

4. 本当に安全ですか？

知識と技術を身につけよう

必要・正しい知識を身につけよう！
ゴール：Codexの検証ページを理解しよう。

「WordPressを構成する技術」について理解する必要がある。
例：TCP/IP,PHP,MySQL,Apache…
→クラッカーは知識と技術を理解した上で攻撃してくる。

もし勉強したいならば・・・

　１、徳丸本を読んでみよう：徳丸さんの著書
「体系的に学ぶ、安全なWebアプリケーションの作り方」

体系的に学ぶ 安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践

２、IPA本を読んでみよう
「情報セキュリティ白書」

情報セキュリティ白書2013

３、SCを目指してみましょう
「情報セキュリティスペシャリスト試験」

詳細はこちら：IPA 独立行政法人 情報処理推進機構：制度の概要：情報セキュリティスペシャリスト試験

仲良くなろう

詳しい人と知り合おう。
技術や知識を持っている人の集まりに参加しよう
そんな集まりはどこにある？→「懇親会」へいざ参らん！

質疑応答など

安全なテーマ・プラグインはどこにある？

公式テーマの審査は尋常じゃなく厳しく、安心して使える。
公式プラグインは、公式テーマと比較するとちょっと緩い。
そのためDL数や制作者・評判で判断するといい。

テーマチェック系プラグインについて

テーマチェックプラグインを通過したから安全と言い切るのは危険。
「何をチェックしているのか、どこまでチェックしているのか」を把握すべき。