确保接触表格7

Question

我有一个客户谁的网站，我创建了Wordpress。它有一个由联系人表单7创建的联系人表单。这个客户端是一个更大的组织的子公司，它的It部门对他们的子域进行扫描。要求我的客户保护联系人表7免受恶意脚本的攻击，或者将其删除。

当我询问他们测试的例子时，我的客户告诉我，他们运行测试，看看是否可以将脚本插入到输入(即：<script>alert('hello');</script>)字段或作为url字符串(即：www.mydomain.com/contact?<script>alert('hello');</script>)。

使用查询字符串，联系人表单将操作设置为：action="/?scriptalert('hello');/script#wpcf7-f1-p6-o1"

有什么我可以补充，以消除运行脚本的联系表格7的可能性？

Answer 1

试试这个而不是http://wordpress.org/extend/plugins/si-contact-form/

最安全的事情就是没有联系表格和一个普通的旧电子邮件链接。

Answer 2

这里没什么好担心的。通过以上操作，您可以看到输出被更改为安全的内容，不会对用户或服务器造成任何危险。如果你的IT团队认为这是值得担心的事情，那么他们就不应该处理网站的安全问题。

您对网站黑客的最佳防御是确保您的WordPress安装是最新的，并尽快插件更新出来，升级到它。还要确保您有定期备份。

如果你觉得有必要再往前走一步的话，还有一吨的插件会使WordPress http://wordpress.org/extend/plugins/search.php?q=security&sort=变硬。