Advanced Contact form 7 DBプラグインには、SQLインジェクションの脆弱性を発見

セキュリティ企業 Sucuriによると、4万以上のサイトにインストールされて有効になっている WordPress プラグインAdvanced Contact form 7 DBエサSQLインジェクションの脆弱性（SQL injection vulnerability）が発見されたします。

無料コンタクトフォームのプラグインであるContact Form 7を使用する場合、ユーザーが送信した情報がDBに保存されません。 Advanced Contact form 7 DBプラグインを使用すると、Contact Form 7で送信したデータを使いやすいインターフェイスでDBに保存することができます。

このプラグインで発見されたSQLインジェクションの脆弱性が1.6.1のリリースで修正されたが、サブスクライバ（Subscriber）以上のアカウントを持つ攻撃者によって悪用されることができるとします。

Though the bug has been fixed in the 1.6.1 release、it can be exploited by an attacker who has（at minimum）a subscriber account。

このプラグインを使用する場合は、可能な限り迅速に最新バージョンに更新し、会員登録を受けるサイトの場合は、削除することが安全と思われる。 このプラグインを削除する場合は、代替プラグインでContact Form 7の開発者が作成したFlamingoというプラグインを使用してみることができます。

• Contact Formのメッセージを管理するFlamingo

Contact Form 7は、500万個以上のサイトに設置されて使用される人気の無料コンタクトフォームのプラグインです。 Avada などの一部のテーマでは、このプラグインを利用したコンタクトフォームテンプレートを提供しています。

シンプルなコンタクトフォームを作成Contact Form 7が良いようです。 しかし、このプラグインは、以前にセキュリティの脆弱性が発見されたことがあり、機能を拡張するには、追加のAdvanced Contact form 7 DBのようなプラグインをインストールする必要があります。 Contact Form 7の安全性についてJetPackでは、次のように評価しています。

We have rated Contact Form 7 as Good（current version safe）which means that we have found vulnerabilities in older versions。

We recommend that you only use the latest version of Contact Form 7。

つまり、最新バージョンのContact Form 7について「Good」（良好）と評価しており、常に最新バージョンのみを使用することを推奨しています。 時々古いContact Form 7バージョンを使用しているサイトがあります。

事実、安全なサイト運営のために、常に WordPressとテーマ、そしてプラグインを最新バージョンに維持することが重要であり、長い間更新されていないプラグインは削除してください。

ドラッグ・アンド・ドロップ方式でコンタクトフォームを作成したい場合 WPForms などのプラグインも考慮してみることができます。 このプラグインは、無料版と有料版が提供されます。

私 Quformという有料のプラグインを使用しているが、きちんとしながら機能的な面でも大丈夫それなりに満足しています。 このサイトのサービスお問い合わせページに、現在Quformで作成されたコンタクトフォームが適用されています。

• Quformコンタクトフォームプラグインは、段階的にフォームを入力することができる複数のページ機能を追加

メモ：

• WordPress セキュリティ